Apple heeft al zijn actieve besturingssystemen geüpdatet om drie beveiligingslekken te repareren die allemaal (in verschillende combinaties) actief uitgebuit worden. De meest verontrustende van de drie grijpt in op de kernel van het systeem en werkt zich van daaruit omhoog tot in het hele besturingssysteem. Daarbij is geen systeem veilig, of het nu oud of nieuw is. In macOS, iOS en iPadOS worden daarnaast een aantal problemen opgelost met een kwetsbaarheid in WebKit. iOS 15.7.7 en iPadOS 15.7.7 adresseren nog eens een ander probleem met WebKit. In nieuwere versies van deze besturingssystemen zijn deze waarschijnlijk al verholpen maar kennelijk speelt het probleem nog steeds in oudere systemen, vóór 15.7.

Dit zijn de kwetsbare systemen:

• iOS 16.5.1 en iPadOS 16.5.1
• iOS 15.7.7 en iPadOS 15.7.7
• macOS Ventura 13.4.1
• macOS Monterey 12.6.7
• macOS Big Sur 11.7.8
• watchOS 9.5.2
• watchOS 8.8.1

Software voor de Apple TV en voor de HomePod zijn kennelijk niet aangetast. Mogelijk zijn de kwetsbaarheden niet gevaarlijk voor deze apparaten maar het kan ook zijn dat Apple binnenkort nog met relevante updates komt.

iOS 16.5.1 en iPadOS 16.5.1 lossen ook een probleem op dat het onmogelijk maakte om op te laden met de Lightning naar USB-3 Camera-adapter. Deze update wachtte waarschijnlijk al een tijdje in de coulissen en vond bij het uitbrengen van deze serie updates zijn moment.

Hoewel de urgentie van een specifieke beveiligingsupdate op zich vaak niet in te schatten is, lijkt alles er in dit geval op te wijzen dat het hier om een ernstige situatie gaat. Ik lees dat af aan de teksten van Apple over actieve uitbuiting van kwetsbaarheden in zowel nieuwe als oude systemen; aan de hoeveelheid updates die tegelijkertijd aangeboden worden en tenslotte aan het feit dat zelfs een update voor de Apple Watch Series 3 (watchOS 8.8.1) verschijnt. Dus voer de update zo snel uit als redelijkerwijs mogelijk is.

Apple heeft bekend gemaakt dat het Self Service-reparatieprogramma wordt uitgebreid met de iPhone 14-serie en de M2-modellen van de 13-inch MacBook Air en 13-inch MacBook Pro. Self Service-reparatie is ook beschikbaar voor de M1 Mac-desktops: de 24-inch iMac, de Mac mini en de Mac Studio. Verder is het reparatieprogramma ook beschikbaar voor de True Depth-camera en bovenste speaker in alle iPhone 12- en iPhone 13-modellen. 

Bovendien zegt Apple dat het Systeemconfiguratie-proces, dat nodig is om originele Apple-onderdelen te verifiëren, om updates bij te werken en om onderdelen te kalibreren, vereenvoudigd is. Voorheen moesten gebruikers contact opnemen met het ondersteuningsteam van Self Service-reparatie om de laatste stap van het reparatieproces te voltooien, dat is nu niet meer nodig.

De berichtgeving van Apple rond Self Service-reparatie blijft mij intrigeren. Lees dit stukje uit de aankondiging maar eens, waarin Apple zichzelf op de borst klopt voor het steunen van de Recht op reparatie-beweging maar tegelijkertijd gebruikers waarschuwt tegen het gebruik van Self Service-reparatie. 

Self Service-reparatie maakt deel uit van het beleid van Apple om reparaties beter toegankelijk te maken. Laagdrempelige reparatieopties zorgen ervoor dat producten een langere levensduur krijgen. Daar hebben gebruikers profijt van maar het is ook nog eens goed voor de planeet. Voor de meeste gebruikers, die geen ervaring hebben met de reparatie van elektronische devices, is de veiligste en betrouwbaarste oplossing een bezoek te brengen aan een professionele, erkende reparateur met gecertificeerde technici die originele Apple onderdelen gebruiken.

Dit is misschien een juiste weergave van de moderne wereld, waarin veel mensen denken dat ze hun eigen apparaten moeten kunnen repareren en de Recht op reparatie-beweging in filosofische zin ook ondersteunen, terwijl ze het vertrouwen in zichzelf missen om een reparatie succesvol af te ronden. 

Heb jij al gebruikgemaakt van het Self Service-reparatieprogramma? Wat is je ervaring?

De discussie over het schermpje dat de Vision Pro van Apple voor elk oog plaatst deed me terugdenken aan een handige ontdekking die ik een tijdje geleden deed: als je bijziend bent kun je in plaats van je bril een iPhone gebruiken en zelfs in het donker zien.

Tot een paar jaar geleden droeg ik contactlenzen in verband met mijn bijziendheid, die ik rond bedtijd omwisselde voor een bril. Op een avond realiseerde ik me, nadat ik mijn lenzen had uitgedaan, dat mijn bril nog ergens beneden lag, omdat ik had gereisd en nog niet al mijn bagage had uitgepakt. En hoewel ik genoeg zie om ook zonder bril door ons huis heen te lopen (ik zie grote voorwerpen en kleuren prima) zou ik wel moeite gehad hebben om mijn bril terug te vinden op een tafel of aanrecht, zeker in een slecht verlichte ruimte. Die transparante brillenglazen en het minimalistische montuur zijn nou niet heel opvallend.

En toen ging me een lichtje op. Ik kan alles op enkele decimeters van mijn gezicht prima zien. Dat is onder normale dagelijkse omstandigheden niet van heel veel nut, maar prima geschikt om bijvoorbeeld aan elektronica en andere kleine zaken te werken, en ik lees ook vaak in bed zonder mijn bril op, op mijn iPhone, die ik prima op die afstand kan vasthouden.

Ik had mijn lenzen uit, ik moest naar beneden om mijn bril te vinden, en ik had mijn iPhone bij de hand. Ik opende de app Camera en hield de iPhone voor mijn gezicht zodat de zoeker scherp was. Om me heen kijken met een iPhone in plaats van met mijn ogen voelde wel wat vreemd aan, maar het werkte prima. Om niet alle lampen aan en uit te hoeven doen (dit was nog voordat ik al mijn lampen had verbonden met HomeKit-compatibele schakelaars) schakelde ik over naar Video-modus. Ik veegde naar boven op het beeld om de instellingen te tonen, tikte op de Flash-knop, en stelde hem in op Flash On.

Met mijn ad-hocnachtkijker in de aanslag liep ik naar beneden en wandelde ik door het donkere huis totdat ik mijn bril gevonden had. Als extraatje zoomde ik zelfs een paar keer flink in om bepaalde dingen beter te zien dan normaliter mogelijk zou zijn geweest. Ik voelde me net een cyborg.

Ik heb sindsdien mijn iPhone niet meer zo hoeven te gebruiken. In 2020 had ik er genoeg van om steeds te moeten wisselen tussen brillen over mijn contactlenzen om te kunnen lezen, autorijden, of om te gaan met fel zonlicht. Dus stapte ik over op een fotochrome bril die voor al die dingen werkt en die ik altijd bij me heb. Maar ik was niet vergeten hoe goed die hack met de iPhone werkte, en wist dat als mijn bril ooit stuk zou gaan ik me ermee zou kunnen redden.

In bepaalde opzichten is de Vision Pro de ultieme versie van deze hack, met een combinatie van een naar voren kijkende camera en schermen recht voor je ogen. En hoewel Apple optionele Zeiss-lenzen voor brildragers heeft, is het niet duidelijk of die nodig zijn voor wie een schermpje op die afstand goed kunnen zien. Daar gaan we nog wel achter komen.

Ik kwam er ook achter dat het idee niet nieuw is. Een publicatie uit 2015 getiteld “ForeSee: A Customizable Head-Mounted Vision Enhancement System for People with Low Vision”, door Yuhang Zhao (Tsinghua-universiteit), Sarit Szpiro (Harvard Medical School) en Shiri Azenkot (Cornell Tech) beschrijft een op het hoofd gedragen zichthulpsysteem dat gebaseerd lijkt te zijn op een Oculus Rift headset. Voor zover ik kan nagaan is daar overigens verder nooit wat mee gedaan.

Wat ik wel kon vinden was iets dat lijkt op een op het hoofd gedragen iPhone-houder, de inmiddels achterhaalde Google Cardboard, uit 2014. Dat was een kartonnen geval waar je je iPhone of Android-smartphone in kon schuiven als een goedkope VR-bril. Ik heb er nog ergens een liggen, maar die heeft geen hoofdband en heeft ingebouwde lenzen voor 3D-afbeeldingen. Google Cardboard werd opgevolgd door Google Daydream, die wel een hoofdband heeft, maar verder minstens even achterhaald is. Beide gevalletjes waren vooral bedoeld voor Virtual Reality, en niet zozeer om je normale zicht te verbeteren.

Google beschreef verder ooit ook hoe je zelf een Google Cardboard kunt maken, en veel andere sites kwamen met hun eigen versies, dus het zou heel wel mogelijk moeten zijn om zelf een zichthulpsysteem te knutselen op basis van een iPhone, inclusief hoofdband. Dat laat ik aan onze lezers over, en ik zal bonuspunten uitdelen aan iedereen die er eentje maakt en er een afbeelding van plaatst. Ik was vooral onder de indruk van de persoon die daarvoor het doosje hergebruikte waar de iPhone in verkocht wordt.

 

Heb je een melding op je Mac gekregen die beweert dat je abonnement op McAfee-antivirussoftware is verlopen, "Je iCloud wordt gehackt" of dat iemand probeert toegang tot je bankrekening te krijgen? Deze pogingen tot phishing door middel van meldingen zijn eenvoudigweg malware, en wel de vorm die bekendstaat als adware. Met de waarschuwingen wordt geprobeerd om gebruikers een nepwebsite te laten bezoeken en inlog-gegevens of creditcard-informatie in te laten vullen om zo identiteitsfraude mogelijk te maken, net als een phishing-poging via e-mail. Als je probeert de meldingen te verwijderen door anti-malware-apps zoals Malwarebytes, DetectX Swift of VirusBarrier te draaien, dan zal dat niet lukken. Wat gebeurt hier?

Randy Singer, die de MacAttorney User Group beheert en allerhande pagina’s met nuttig Mac-advies publiceert, heeft deze waarschuwing over nepmeldingen recentelijk gedeeld. Dergelijk misbruik van push-meldingen op webpagina's bestaat al jaren, maar ik had er nog nooit een op mijn Mac gezien. Tegen de tijd dat lezer David Roessler een paar dagen na de waarschuwing van Randy over een soortgelijk artikel schreef, was ik tot de conclusie gekomen dat het tijd is om dit onderwerp aan te snijden.

In tegenstelling tot gewone malware is voor adware in de vorm van meldingen geen besmetting nodig, waardoor anti-malwaresoftware niets zal kunnen vinden of verwijderen. Daarentegen wordt de mogelijkheid van webbrowsers om systeemmeldingen in websites weer te geven (zoals dat in native apps gebeurt) misbruikt door adware. Natuurlijk zal niemand zich doelbewust voor adware-meldingen opgeven, maar websites kunnen gebruikers vragen of zij meldingen willen ontvangen, en in toenemende mate doen ze dat ook. In principe is er niets mis met een website die meldingen aanbiedt. Een van de vele voorbeelden hiervan is Discourse, de software die we voor TidBITS Talk gebruiken, die meldingen aanbiedt voor diegenen die graag op de hoogte willen worden gebracht van nieuwe berichten of antwoorden op berichten. Maar net als veel goedbedoelde technologieën kan er aan webmeldingen ook een schaduwkant zitten.

Een deel van het probleem zit hem in het akkoord gaan met het ontvangen van meldingen. Hier is niet meer voor nodig dan op de Return-knop te drukken om ze toe te staan als het toestemmingsvenster in Safari verschijnt. Websites kunnen, nog voordat een Safari-venster geactiveerd wordt, hun eigen dialoogvensters presenteren om gebruikers te misleiden. Zodra meldingen zijn toegestaan, lijkt het alsof ze van macOS komen, waardoor ze nog geloofwaardiger overkomen.

Als je goed oplet en voldoende technisch onderlegd bent, zoals de meeste TidBITS-lezers, klik je natuurlijk gewoon op “Niet toestaan” als een website om toestemming voor meldingen vraagt. Dat doe ik bijna altijd. Ik heb sites slechts in een beperkt aantal gevallen toestemming gegeven om meldingen te presenteren.

Als je absoluut tegen meldingen bent, of iemand helpt die misschien niet begrijpt waar hij of zij mee instemt: er is in Safari een eenvoudige manier om ervoor te zorgen dat je nooit wordt gevraagd om meldingen toe te staan. Ga naar ‘Safari > Instellingen > Websites > Meldingen’ en haal onderaan de vink bij "Sta toe dat websites toestemming vragen voor het versturen van meldingen" weg.

Andere webbrowsers kunnen ook worden gemanipuleerd om misbruikmeldingen te tonen, en ook zij bieden je de mogelijkheid om helemaal niet te worden gevraagd. De interfaces variëren enigszins, maar de meeste lijken op Google Chrome, zoals hieronder te zien is.

• Arc: kies ‘Arc > Settings > General > Notifications’ en selecteer “Don't allow sites to send notifications”.
• Brave: navigeer naar ‘Brave > Instellingen > Privacy en beveiliging > Site- en Shields-instellingen > Meldingen’ en selecteer "Niet toestaan dat sites meldingen sturen".
• Firefox: ga naar ‘Firefox > Instellingen > Privacy & Beveiliging > Notificaties’ en selecteer "Nieuwe verzoeken voor het toestaan van notificaties blokkeren".
• Google Chrome: navigeer naar ‘Chrome > Instellingen > Privacy en beveiliging > Site-instellingen > Meldingen’ en selecteer "Niet toestaan dat sites meldingen versturen".
• Microsoft Edge: kies ‘Microsoft Edge > Instellingen > Cookies en site-machtigingen > Meldingen’ en zet “Altijd vragen voordat de gegevens worden verzonden. (aanbevolen)” uit.

In theorie zou Chrome minder gevoelig moeten zijn voor phishing-meldingen dan Safari, mogelijk samen met andere van Chrome afgeleide browsers (alle in de lijst behalve Firefox). In 2020 introduceerde Google de middelste optie hierboven voor "makkelijker berichten", die het toestemmingsdialoogvenster vervangt door een belpictogram naast de sitenaam in de adresbalk. Klik erop om meldingen toe te staan. In daaropvolgende updates in 2020 begon Google websites te identificeren die onrechtmatige meldingen weergeven en deze te noemen in het toestemmingsverzoek. Ik zeg "in theorie" omdat Apple-consultant Adam Rice me vertelde dat hij in Chrome vooral spammeldingen ziet.

Door "Sta toe dat websites toestemming vragen voor het versturen van meldingen" voorkom je dat nieuwe sites je spammen met meldingen. Maar hoe zit het met sites die al toestemming hebben? In Safari kun je ook hun meldingen eenvoudig blokkeren. Als je sites hebt met Toestaan in het pop-upmenu rechts van hun naam in het scherm Meldingen, kies in dat menu dan gewoon Weigeren. De interface van Firefox is vergelijkbaar. Verwijder de site niet, want afhankelijk van andere instellingen kan de site dan opnieuw om toestemming vragen.

Op Chrome gebaseerde browsers scheiden de geblokkeerde en toegestane sites. Om een website te blokkeren waarvan je de meldingen niet langer wilt ontvangen, klik je op de knop aan de rechterkant en kies je Blokkeren.

Tot slot: als deze meldingen jou of iemand die je kent tot last zijn, denk dan eens na over de websites die worden bezocht. Websites die gebruikers verleiden om meldingen toe te staan zodat ze phishing-meldingen kunnen weergeven, zijn kwaadaardig, of zijn op zijn minst medeplichtig aan het doelwit maken van hun bezoekers door elementen van derden op te nemen die zich bezighouden met deze phishing. Idealiter zou je ze vermijden.

Het is misschien niet zo eenvoudig. In 2020 schreef beveiligingsjournalist Brian Krebs over een dienst genaamd PushWelcome die adverteerde met de mogelijkheid voor website-eigenaren om hun verkeer te gelde te maken. Hen werd gevraagd om een klein script op te nemen dat de vaak misleidende meldingsverzoeken op legitieme sites genereerde. PushWelcome lijkt nu ter ziele, maar andere dergelijke advertentienetwerken kunnen nog steeds bestaan.

Ik realiseerde me dat het makkelijker is om te zeggen "Bezoek geen dubieuze websites" dan om uit te leggen wat een site problematisch maakt. Maar als jij, of de persoon die je helpt, twijfelt over de legitimiteit van een website of de beveiligingsvaardigheden van de website-eigenaar (om de site te beschermen tegen ondermijning door hackers of tegen misleiding door een advertentienetwerk zoals PushWelcome) wil je er misschien niet op vertrouwen dat deze op eerlijke wijze meldingen weergeeft of persoonlijke informatie verzamelt.

Als je een site tegenkomt die je spamachtige meldingen stuurt, meld deze dan bij Google Safe Browsing, dat gebruikers waarschuwt voor problematische sites. Het geeft momenteel meer dan 3 miljoen waarschuwingen per week uit, wat veel lijkt totdat je ziet dat het halverwege 2016 meer dan 50 miljoen waarschuwingen per week aanbood.

Om veilig te blijven op het internet, moet je voorzichtig surfen en bewust klikken.