Skip to content
Al 28 jaar doordacht, gedetailleerd verslag van alles over Apple
en het TidBITS Content Network voor Apple professionals

Vorige aflevering | TidBITS Nederlands | Volgende aflevering




#1499: Apples record-winst in Q1 2020; Google Voice als bescherming tegen spearfishing; iOS 13.3.1, iPadOS 13.3.1, macOS 10.15.3, watchOS 6.1.2 en tvOS 13.3.1

De financiële resultaten die Apple heeft gepubliceerd voor het 1ste kwartaal van 2020 zijn opnieuw een record, met een omzet van bijna $ 92 miljard en een winst van meer dan $ 22 miljard, dankzij de opbloei van de iPhone 11 en de immer populaire wearables. Het bedrijf heeft ofgelopen week ook alle besturingssystemen geüpdated, iOS 13.3.1, iPadOS 13.3.1, macOS 10.15.3 Catalina, watchOS 6.1.2 en tvOS 13.3.1 — lees verder voor de details en ons advies met betrekking tot updaten. Verder hebben we, ook heel belangrijk, Apple consultant Ivan Drucker, die uitlegt hoe je Google Voice gebruikt als centrale factor in een twee-factor verificatie-aanpak die een aantal problemen met twee-factor verificatie-apps oplost. Belangrijk Mac-app nieuws is deze week Security Update 2020-001 (Mojave en High Sierra), Safari 13.0.5, DEVONthink 3.0.4, URL Manager Pro 5.0 en Fantastical 3.0.

Artikelen
 

De Nederlandse editie van TidBITS is een letterlijke vertaling van de oorspronkelijke Engelse versie. Daarom is het mogelijk dat een deel van de inhoud niet geldt in bepaalde landen buiten de VS.


Dit nummer werd uit het Engels vertaald door:
• Henk Verhaar
• Thierry Kumps
• Paul Bánsági
• Dirk Paul Flach
• Elmar Düren
• Jos van den Berg
• Jos Poelmans

Verder werkten mee:
• Coördinatie: Renate Wesselingh
• Montage: Elmar Düren
• Eindredactie: Sander Lam

Hoe je ons kunt bereiken kun je lezen op <de contactpagina>


Michael E. Cohen Josh Centers Geen reacties

iPhone herstelt en wearables gaan torenhoog in het eerste kwartaal van 2020 voor Apple

[vertaling: TK]


In informatie over de resultaten over het eerste kwartaal van 2020 heeft Apple een nettowinst van $ 22,2 miljard bekendgemaakt ($ 4,99 verwaterde winst per aandeel) op totale inkomsten van $ 91,8 miljard. De bruto inkomsten zijn jaar op jaar met 9% gestegen en de netto inkomsten met 11% (zie Resultaten Apple over het eerste kwartaal van 2019: iPhone slecht, de rest goed, 29 januari 2019).

De algemene resulaten van Apple zijn heel goed - het woord fantastisch is hier zelfs op zijn plaats - maar een blik op de afzonderlijke productcategorieën laat een meer genuanceerd beeld zien, met gestegen inkomsten jaar op jaar voor iPhone, Wearables en Diensten, en een daling voor zowel iPad als Mac.

Q1 2020 inkomsten per productcategorie

Q1 categorie-inkomsten over de tijd

Apple zag zijn verkoop in Noord- en Zuid-Amerika en Europa toenemen met dubbele cijfers, maar slechts een matige stijging van 6,5% in Asia Pacific en 3,1% in Greater China en een daling van 9,9% in Japan. De gestegen inkomsten in China zijn dan wel beperkt maar niettemin een reden voor optimisme, aangezien zij een ommekeer inluiden voor de dalende inkomsten in de vorige kwartalen voor die geografische sector. In Europa verdiende Apple $ 23,3 miljard, en $ 41,4 miljard in Noord- en Zuid-Amerika.

Q1 2020 inkomsten per regio

Voor het lopende kwartaal krijgt Apple af te rekenen met een unieke virusbedreiging. Geen computervirus maar het coronavirus, dat ter sprake kwam in het driemaandelijkse gesprek met de investeerders. CEO Tim Cook bevestigde dat enkele leveranciers van Apple in de regio van Wuhan zitten, het epicentrum van de epidemie, en dat hun vestigingen minstens tot 10 februari 2020 op aanbeveling van de Chinese regering gesloten zouden blijven. Apple heeft al zijn winkels en kantoren in mainland China gesloten tot 9 feburari 2020. Apple heeft ook alle niet-essentiële reizen naar China voor werknemers stopgezet en terwijl zij redelijke voorzorgsmaatregelen treffen, zoals winkels schoonmaken, is dit een factor waar Apple uiteindelijk geen controle over hee§§ft.

iPhone

Na een daling in Q1 2019, veerden de iPhone-verkoopcijfers weer op met 7,6% in Q1 2020, van $ 51,9 miljard naar $ 55,9 miljard jaar op jaar. Cook zei dat de iPhone 11 elke week in het kwartaal het best verkopende model van Apple was. Volgens Cook was het succes van de iPhone 11 deels te danken aan de nieuwe betalingsopties voor wie een Apple Card heeft, wat het belang van de kredietkaart voor Apple bewijst, naast gewoon rente en transactiekosten.

Q1 iPhone inkomsten over tijd

iPad

De iPad had een teleurstellend kwartaal achter de rug, met een daling van $ 6,73 miljard in Q1 2019 naar $ 5,98 miljard in Q1 2010, een daling met dubbele cijfers van 11,2%. Cook vestigde echter de aandacht op de stijging in de verkoopcijfers van de iPad in opkomende markten zoals Mexico en India. Volgens CFO Luca Maestri valt de daling grotendeels te verklaren door de lancering van de iPad Pro in het eerste fiscale kwartaal van vorig jaar en het ontbreken van een dergelijke lancering dit jaar. Dat klinkt wel logisch, aangezien het eerste kwartaal van 2020 voor het overige in lijn is met het eerste kwartaal van 2017 en 2018.
Q1 iPad inkomsten over tijd

Mac

De verkoopcijfers voor de Mac vielen ook wat tegen, met een daling jaar op jaar van 3,5%. Apple verkocht $ 7,16 miljard aan Macs in Q1 2020, vergeleken met $ 7,46 miljard in Q1 2019. In het kwartaal werden wel nieuwe Mac-modellen uitgebracht maar de lancering van de 16-inch MacBook Pro en de langverwachte Mac Pro kan te laat gekomen zijn (of te high-end zijn) om het verschil te maken dat de lancering van de nieuwste MacBook Air en de opgefriste Mac mini vorig jaar wel maakten.

Q1 Mac inkomsten over tijd

Diensten

In lijn met de recente trend lieten de inkomsten uit Diensten nu ook weer een enorme jaar op jaar groei optekenen, met een stijging van 16,9%, van $ 10,9 miljard in het kwartaal van een jaar eerder naar $ 12,7 miljard in Q1 2020. “Apple TV+ heeft een succesvolle start gemaakt”, zei Cook, al moeten we wel veronderstellen dat de meeste abonnees van Apple TV+ het gratis hebben gekregen bij de aankoop van Apple hardware. Diensten heeft een groei met dubbele cijfers gekend in alle geografische sectoren en Maestri meldde dat Apple nu 480 miljoen abonnees heeft voor hun betalende diensten. Apple verwacht dat dit zal stijgen tot 600 miljoen tegen het einde van dit kalenderjaar.

Q1 Diensten inkomsten over tijd

Wearables

De categorie Wearables vertoonde recordcijfers in Q1 2020 (Cook noemde het een “blowout quarter”), met een oogverblindende stijging van 37% in inkomsten tegen vorig jaar, van $ 7,31 miljard in Q1 2019 naar $ 10 miljard vorig kwartaal. Cook houdt de echte cijfers wel wat geheim, maar volgens hem behaalde de Apple Watch all-time recordinkomsten in het kwartaal en is de categorie Wearables alleen nu al zo groot als een onderneming uit de Fortune 150, grotendeels dankzij het succes van de AirPods. De inkomsten uit AirPods zouden zelfs nog groter geweest zijn als de grote vraag niet was gehinderd door tekorten.
Q1 Wearables inkomsten over tijd

Algemeen

De inkomsten van Apple worden elk jaar moeilijker bij te houden en te voorspellen: bijvoorbeeld berekenen in welke mate de abonnementen op Apple TV+ bijdragen aan de algemene inkomsten voor Diensten is ingewikkeld door de gratis abonnementen die Apple biedt aan kopers van nieuwe hardware en door variabele kosten voor de productie van Apple TV+ content — er is geen business als showbusiness, iedereen weet dit!

Bovendien zijn de wereldwijde toeleveringsketen en verkoop van Apple altijd afhankelijk van onverwachte externe factoren, zoals de huidige coronavirusepidemie en het politieke klimaat. Desalniettemin ziet het ernaar uit dat Apple op de goede weg is, met zijn nieuwe producten en diensten die hun vruchten afwerpen en met meer in de pijplijn. Je hebt geen AR-bril nodig om de nabije toekomst van Apple rooskleurig in te zien.


Josh Centers 13 reacties (Engelstalig)

Apple komt met iOS 13.3.1, iPadOS 13.3.1, macOS 10.15.3, watchOS 6.1.2 en tvOS 13.3.1

[vertaling: PAB]


Nadat zijn technici na de kerstperiode weer aan het werk zijn gegaan, heeft Apple updates uitgebracht voor alle belangrijke besturingssystemen, maar zonder een bepaald thema. iOS 13 krijgt een nieuwe privacy-instelling, iOS en iPadOS ontvangen een oplossing voor gemakkelijk te omzeilen ouderlijk toezicht en macOS sleutelt aan de prestaties voor recente Apple-hardware. En weer krijgen watchOS en tvOS geen gedetailleerde uitleg.

iOS 13.3.1 en iPadOS 13.3.1

iOS 13.3.1 en iPadOS 13.3.1 bieden een greep aan fixes en één privacy-gerelateerde verbetering. Over het algemeen zien we geen reden om de upgrade met meer dan een week uit te stellen om ervoor te zorgen dat er geen onverwachte problemen op de loer liggen in de bijgewerkte code.

Nadat privacykwesties naar voren kwamen over de ultrabreedbandtechnologie in de iPhone 11, heeft Apple een functie toegevoegd om deze volledig uit te schakelen in iOS 13.3.1. Ga naar 'Instellingen > Privacy > Locatievoorzieningen > Systeem' en schakel 'Netwerk en draadloos' uit.

De nieuwe 'Netwerken en draadloos'-instelling

Bijna onmiddellijk nadat iOS 13.3 en iPadOS 13.3 na een lange vertraging de mogelijkheid voor ouders introduceerde om te beperken met wie hun kinderen contact kunnen opnemen via oproepen, FaceTime en iMessage (zie “Apple brengt iOS 13.3, iPadOS 13.3, iOS 13.3 for HomePod, macOS 10.15.2 Catalina, watchOS 6.1.1 en tvOS 13.3 uit”, 10 december 2019), vonden kinderen er een weg omheen. iOS 13.3.1 claimt hier een fix voor te hebben.

Andere wijzigingen zijn onder meer:

  • Zowel iOS 13.3.1 als iPadOS 13.3.1 lossen een fout op in Mail waardoor externe afbeeldingen konden worden geladen, zelfs wanneer de instelling 'Laad afbeeldingen' is uitgeschakeld.
  • Zowel iOS als iPadOS repareren een fout waardoor meerdere 'Herstel'-dialoogvensters in Mail kunnen verschijnen.
  • Beide besturingssystemen verhelpen een bug die verhinderde dat pushmeldingen via wifi konden worden afgeleverd.
  • iOS 13.3.1 maakt een einde aan de korte vertraging voordat een Deep Fusion-foto wordt bewerkt, die is genomen op een iPhone 11 of iPhone 11 Pro.
  • iOS lost een probleem op waarbij FaceTime de naar achteren gerichte ultrabrede camera in plaats van de brede camera zou kunnen gebruiken.
  • iOS pakt een CarPlay-bug aan die vervormd geluid kan veroorzaken bij het bellen in bepaalde voertuigen.

Onze bijdrager voor de Volglijst, Agen Schmitz, vertelt ons dat iPadOS 13 op zijn iPad Air 2 langzaam was en haperde, maar de update voor iPadOS 13.3.1 heeft zijn snelheid hersteld.

De iOS 13.3.1-update bevat 21 beveiligingsoplossingen.

Je kan de iOS 13.3.1-update —278,8 MB op een iPhone 11 Pro installeren en de iPadOS 13.3.1 update —180,6 MB op een 10,5-inch iPad Pro - via 'Instellingen > Algemeen > Software-update', in de Finder in macOS 10.15 Catalina, of iTunes gebruiken in eerdere versies van macOS.

Voor oudere apparaten die niet kunnen upgraden naar iOS 13, heeft Apple ook iOS 12.4.5 uitgebracht met "belangrijke beveiligingsupdates" maar publiceerde geen enkele CVE-vermeldingen.

iOS 13.3.1 for HomePod

De 117,3 MB grote iOS 13.3.1 update for HomePod introduceert een Indiase Engelse Siri-stem, samen met algemene oplossingen.

Je kan je HomePod Siri-stem wijzigen door de Woning-app te openen, de HomePod-tegel aan te raken en vast te houden, op het tandwielsymbool in de rechteronderhoek te tikken en vervolgens de Siri-stem te selecteren.

Als je de HomePod handmatig wilt bijwerken (deze zou zichzelf snel genoeg moeten bijwerken), open je de Woning-app, raak je de HomePod-tegel aan en houdt deze even vast, tik je op het tandwielsymbool om HomePod-instellingen weer te geven en tik je vervolgens op Installeren.

macOS 10.15.3 Catalina

De 2,96 GB-grote macOS 10.15.3 Catalina-update biedt 27 beveiligingsoplossingen en een paar zeer specifieke verbeteringen voor recent uitgebrachte Apple-hardware:

  • Optimaliseert gamma-afhandeling van lage grijswaarden op Pro Display XDR voor SDR-workflows bij gebruik van macOS
  • Verbetert multi-stream videobewerkingsprestaties voor HEVC en H.264-gecodeerde 4K-video op de 16-inch MacBook Pro
  • Apple maakte geen melding van gegevensverlies-bugs in Mail waarover we hebben gehoord (zie “Pas op voor verlies van e-mailgegevens in Catalina”, 11 oktober 2019), maar onze eigen Michael Cohen meldt dat macOS hem na installatie van de update liet weten dat hij zijn Mail-database aan het updaten was. Laat het ons weten als je problemen ondervindt met gegevensverlies met Mail in 10.15.3.

    Michael Tsai, die dit probleem heeft bijgehouden, schreef:

    Er staat niets over in de toelichting van Apple maar van wat ik heb gehoord lost macOS 10.15.3 de bug op waarbij grote aantallen berichten opgeslagen op "Op mijn Mac" konden worden verwijderd bij het updaten naar Catalina of het opnieuw opbouwen van de database van Mail. Het lost de bugs niet op waardoor berichten tussen postbussen (via slepen en neerzetten, regels of AppleScript) worden verwijderd, gedupliceerd of gewoon helemaal niet verplaatst.

    Je kan de macOS 10.15.3-update installeren via 'Systeemvoorkeuren > Software-update'. Als je video op een 16-inch MacBook Pro bewerkt of een Pro Display XDR gebruikt, moet je deze waarschijnlijk binnenkort installeren. Anders, ervan uitgaande dat je Catalina al gebruikt, is het de moeite waard om een paar dagen te wachten met installeren om ervoor te zorgen dat er geen nieuwe problemen gemeld worden. Voor degenen die nog geen upgrade van Mojave hebben uitgevoerd en vooral voor degenen die berichten vaak in Mail verplaatsen, kan het vooralsnog geen kwaad om rustig te blijven zitten.

    watchOS 6.1.2

    De watchOS 6.1.2-update "biedt belangrijke beveiligingsupdates en wordt aanbevolen voor alle gebruikers". Je kan de update installeren, die 98,8 MB groot is op een Apple Watch Series 4, vanuit de Watch-app van de iPhone: ga naar 'Watch > Algmeen > Software Update'.

    Er is geen reden om deze update te vermijden, maar het is moeilijk om enthousiast te worden over de snelheid van installeren. Doe het op een avond wanneer je Apple Watch toch wordt opgeladen.

    tvOS 13.3.1

    Zoals gebruikelijk zijn de tvOS 13.3 update-opmerkingen schaars en beloven alleen "algemene prestaties en stabiliteitsverbeteringen". De update bevat 13 beveiligingsupdates, grotendeels gedeeld met de andere besturingssystemen. Als automatische updates niet zijn ingeschakeld, kan je je Apple TV HD of Apple TV 4K bijwerken via 'Instellingen > Systeem > Software-updates'. We laten de onze gewoon automatisch updaten wanneer ze er aan toe komen. Laat het ons weten als je veranderingen opmerkt.


Ivan Drucker 26 reacties (Engelstalig)

Alternatieve manieren om jezelf te beschermen tegen spearfishing

[vertaling: DPF, HV, PAB]


Als je publiek bekend bent, veel geld hebt of op een andere manier aantrekkelijk bent voor online dieven, of als dat geldt voor iemand die je kent, dan heb je wellicht niet genoeg aan de gebruikelijke veiligheidsmaatregelen. In toenemende mate richten deze criminelen zich direct tot individuen met de techniek “spearfishing”. Bij deze techniek steelt men een mobiel telefoonnummer (kinderlijk eenvoudig) en gebruikt men dit nummer om wachtwoorden opnieuw in te stellen. (Zie “Inlogcodes via sms worden automatisch ingevuld in iOS 12 en Mojave, maar blijven onveilig”, 4 oktober 2018.) Verificatie-apps kunnen een oplossing bieden maar hebben ook nadelen. Ze zijn onder andere vaak te ingewikkeld voor de gemiddelde gebruiker.

Mijn partner Caroline Green en ik zijn de eigenaars van een Mac-consultancybedrijf in Manhattan. Dit jaar hebben we twee gevallen van spearfishing gezien, en gehoord over een aantal andere gevallen. In de gevallen waar wij aan gewerkt hebben, waren er belangrijke accounts gestolen, zoals e-mail, domeinen en social-mediasites. We konden de meeste schade herstellen, maar is geen garantie dat dat in alle gevallen zo is. Bovendien waren de accounts een paar dagen ontoegankelijk, en in het geval van misbruik van de accounts is snel sprake van reputatieschade.

We maken ons er zorgen over dat spearfishing vaker zak gebeuren als de technieken zich verder ontwikkelen. De uitdaging voor consultants en tech-experts is om onze cliënten (in het bijzonder die bekend zijn of veel geld hebben) online veiligheid te bieden die ook te beheren is.

We bedachten een techniek die tekstberichten via Google Voice gebruikt als alternatief voor verificatie-apps. Hoewel dit wat meer instelling vereist, denken we dat het uiteindelijk eenvoudiger is. Daarnaast is vereist dat mensen consultants of andere vertrouwde mensen tot hun accounts toelaten. De reden om deze techniek te delen, is tweeledig: ten eerste hopen we dat andere mensen hierdoor in staat zijn om een vergelijkbare oplossing te bieden, en daarnaast hopen we dat anderen wellicht potentiële gevaren van deze benadering blootleggen.

Waar ben je blootgesteld?

Laten we als eerste aandacht besteden aan de basis van veiligheid rond online accounts.

  • Prioriteer je accounts: niet iedere account heeft hetzelfde beveiligingsniveau nodig. Een gemiddelde retail- of contentsite hoeft wellicht minder goed beveiligd te worden dan je e-mailaccount, je Apple ID, je Google-account, je Microsoft-account, social-mediasites, financiële sites, domeinregistraties, DNS-hosts, webhosts, website content management systems, online business applicaties, cloudopslag, cloudback-up en sites voor het delen van foto's. Om kort te gaan, zul je je meer inspannen voor het beschermen van accounts die iets bevatten dat je niet kwijt wil raken of niet met anderen wilt delen, of waarover je geen foute indruk wil laten ontstaan.
  • Gebruik sterke, unieke wachtwoorden: we weten het allemaal, maar het blijft belangrijk om te herhalen. Probeer niet ieder wachtwoord te onthouden. Als je dat probeert, ga je waarschijnlijk dezelfde wachtwoorden herhalen, of kleine variaties maken van dezelfde wachtwoorden. Je loopt dan risico dat als de ene site lek is, wat verontrustend vaak gebeurt, dieven toegang hebben tot al je accounts. Ieder account heeft een uniek wachtwoord nodig dat door een computer gegenereerd is, dus gebruik een programma voor wachtwoordenbeheer zoals 1Password, Dashlane, LastPass, of op zijn minst de eenvoudiger alternatieven die in veel webbrowsers ingebouwd zijn. Ik ken slechts drie wachtwoorden uit mijn hoofd: het beheerderswachtwoord voor mijn Mac, het master wachtwoord voor 1Password, en het wachtwoord voor mijn Apple ID. 1Password kent de rest.
  • Gebruik dubbele verificatie: bij dubbele verificatie (Two factor authentication, 2FA) gebruik je een wachtwoord en krijg je een aparte code op een ander apparaat dat van jou is. Dit is een manier om te verifiëren dat jij het echt bent, en niet zomaar iemand die je wachtwoord kent. De meeste mensen gebruiken dit voor hun Apple ID. Je zou 2FA in moeten stellen voor iedere account die het ondersteunt. Er zijn een paar varianten van 2FA die ik hieronder zal bespreken.
  • Geef nepantwoorden op veiligheidsvragen: over het algemeen heb je geen veiligheidsvragen nodig als je 2FA aan hebt staan. Sommige sites vereisen het echter, en bedenk dan dat er onbekende kwaadwillende databases kunnen zijn die combinaties maken tussen allerlei soorten gegevens die er over ons bestaan (de bekendsten heten “Facebook” en “Google”). Stel je voor dat iedereen alles over je te weten kan komen met een paar zoekopdrachten. Het veiligste is dus om onzinantwoorden te geven op veiligheidsvragen (uiteraard verschillende voor iedere site) en die te bewaren in je wachtwoordenbeheerder. De naam van je eerste huisdier? “Macatma Gandhi”. Je geboortedatum? Een willekeurige datum zoals “1/9/1919”.
  • Bedenk dat je belangrijk bent: het is normaal om te denken dat goede beveiliging belangrijk is voor andere mensen, omdat je te onbetekenend bent om voor een online dief interessant te zijn. Helaas, het is 2020, en daardoor zijn we een stuk zichtbaarder en belangrijkder dan we denken. Het gestolen telefoonnummer waarover ik je ga vertellen, was interessant omdat het gekoppeld was aan een Instagram-naam van twee letters, erg waardevol op de zwarte markt van het Dark Web, zo bleek.

Je mobiele telefoonnummer is de zwakke schakel

Zelfs als je je aan de regels hierboven houdt, ben je misschien niet veilig. Eén van de twee accountdiefstallen die we hierboven beschreven, ging om een slimme aanval waarbij het telefoonnummer van het slachtoffer, die gebruikmaakte van een wachtwoordenbeheerder en sterke wachtwoorden, werd verplaatst van zijn eigen simkaart naar die van de dief. Toen dat eenmaal gelukt was, konden alle wachtwoorden opnieuw worden ingesteld, want de bevestigingscodes werden nu via sms naar de telefoon van de dief gestuurd.

Je vraagt je waarschijnlijk af hoe dit kan. De dief heeft iemand van de provider van de klant overgehaald om dit nummer over te zetten. Je denkt wellicht dat dit een onwaarschijnlijk scenario is, maar denk eens goed na: werkelijk iedereen, vanaf elke locatie, kan de klantenservice van je provider bellen, en iedere werknemer van je provider kan een nummer van de ene simkaart overzetten op een andere! Dat is feitelijk een enorm gevaar. De meeste providers hebben echter wel de mogelijkheid om dit te beschermen, bijvoorbeeld met een wachtwoord of PIN.

Ik heb zelf mijn provider gebeld en een PIN ingesteld die ik in mijn wachtwoordenbeheerder bewaar. Ik raad je ten sterkste aan om dat ook te doen. Hier zijn wat koppelingen die je daarbij kunnen helpen voor AT&T, Sprint, T-Mobile en Verizon. Dit is voor mij echter niet genoeg: ik weet niet hoe goed mijn provider zich hieraan houdt, en ik ga ervan uit dat sommige criminelen hier zo goed in zijn dat ze personeel wellicht toch kunnen overhalen.

Het probleem met verificatie-apps

Beveiligingsexperts raden meestal aan om in plaats van sms'jes een verificatie-app te gebruiken voor dubbele verificatie, zoals Authy (zie “Authy beschermt je dubbele-verificatietokens”, 6 november 2014), Google Authenticator of Duo Mobile. De app genereert zelf een code die elke 30 seconden verandert. Sommige wachtwoordenbeheerprogramma's, zoals 1Password, kunnen ook werken als verificatie-app. We kunnen beamen dat verificatie-apps een bijzonder veilige manier zijn om een 2FA-code te ontvangen.

Schermafbeelding van Authy

Het probleem met losse verificatie-apps waar we altijd tegen aanlopen, is dat ze niet bijzonder goed ontworpen zijn. Onze klanten hebben problemen met het aanmaken van nieuwe accounts, en de apps zijn onhandig in het gebruik, zelfs nadat je erin geslaagd bent om ze succesvol te installeren. Natuurlijk kunnen jij en ik er wel mee werken, maar ik moet ook denken aan al die mensen die geen TidBITS lezen. Zelfs personen die al een wachtwoordenbeheerder gebruiken die als verificatie-app kan werken, moeten QR-codes scannen en zich verdiepen in concepten als “time-based one-time password” om 2FA werkend te krijgen.

Bovendien hebben verificatie-apps voor mensen als jij en ik de volgende nadelen:

  • Als een assistent, collega, of adviseur toegang moet hebben tot een account, moeten beide personen de verificatie-app op hetzelfde moment configureren, met dezelfde seed [startcode - nvdv].
  • Soms is de naam van een account in de app onherkenbaar gemaakt, wat problemen op kan leveren als een gebruiker meerdere accounts op dezelfde site heeft.
  • Ondersteuning voor verificatie-apps is op een bureaubladmachine soms beperkt of moeilijk bruikbaar, of bestaat helemaal niet.
  • Er is altijd het risico dat je 2FA-codes kwijtraakt nadat je van apparaat wisselt (we hebben dit zelf meegemaakt met Google Authenticator).
  • Een gebruiker krijgt niet precies te horen wat hij of zij moet doen om in te loggen, maar moet er zelf aan denken om de juiste verificatie-app te checken en de enig juiste code te vinden in een hele lijst van codes.
  • Veel sites ondersteunen helemaal geen verificatie-apps, en dwingen je om sms-berichten te ontvangen voor 2FA.

1Password lost (wellicht niet als enige wachtwoordenbeheerder) veel van deze problemen op een elegante wijze op, bijvoorbeeld doordat de beveiligingscode tijdens autofill in het klembord te zetten, en je hiervan op de hoogte te stellen. Maar ondersteuning voor 2FA in een een wachtwoordenbeheerder brengt weer hele andere problemen met zich mee:

  • Als je het wachtwoord en de eenmalige code in dezelfde app hebt, loop je het risico de toegang tot een account te verliezen als je door welke oorzaak ook ook de wachtwoordenbeheerder niet (meer) kunt gebruiken, bijvoorbeeld doordat je het master-wachtwoord kwijt ben of doordat gegevens gecorrumpeerd zijn.
  • En als er in je wachtwoordenbeheerder wordt ingebroken, heeft de inbreker toegang tot al je accounts, ook al is 2FA geactiveerd.
  • Een collega of andere vertrouwde partij toegang geven vereist nog steeds een gelijktijdige installatie, of een duurder 'Teams'-abonnement, wat de complexiteit ook weer verhoogt doordat er een tweede gedeelde kluis nodig is.
  • En ook hier geldt dat veel sites 2FA via verificatie-apps niet ondersteunen, maar alleen via tekstberichten.

Dus gingen we op zoek naar een andere oplossing.

Google Voice als alternatief voor verificatie-apps en mobiele telefoonnummers

Google Voice is een gratis dienst die je een telefoonnummer geeft waarmee je zowel kunt bellen als sms'en. Je krijgt toegang via de iOS-app Google Voice of via een webbrowser, en je kunt via beide routes meldingen krijgen.

Google Voice

De dienst Google Voice is aantrekkelijk omdat die veel problemen met echte mobiele telefoonnummers en verificatie-apps, die we hierboven hebben aangekaart, oplost:

  • Het telefoonnummer kan niet gemigreerd worden zonder login-toegang tot het bijbehorende Google account, en er is geen tussenpersoon die via social engineering om de tuin geleid kan worden.
  • Sms'jes kunnen via elke browser of telefoon bekeken worden, waardoor het voor een assistent, collega of consultant eenvoudig is om een code te ontvangen.
  • Gebruikers krijgen een melding op hun telefoon, net als bij andere sms-berichten, dus de gebuikservaring verandert niet.
  • Het is voor onze klanten heel eenvoudig om nieuwe accounts aan te maken: het enige dat ze moeten doen is een alternatief telefoonnummer doorgeven. Ze hoeven niet met een verificatie-app en een QR-code aan de slag.

Onze aanpak is om een nieuwe Gmail-account te maken (zonder echte, identificerende informatie in de velden e-mailadres, voornaam, achternaam of geboortedatum) om dit Google Voice-nummer onder te brengen. Vervolgens voegen we de app Google Voice toe aan de iPhone van de gebruiker (en iPad indien nodig) en loggen we in. Omdat het e-mailadres van de account de gebruiker op geen enkele manier identificeert en voor niets anders wordt gebruikt dan het onderbrengen van het Google Voice-nummer, zou een dief het nooit tegen kunnen komen. En zelfs als iemand dat zou doen, zouden ze niet weten van wie het is. (Als je deze Google Voice-aanpak probeert, moet je je echte mobiele nummer uit je account verwijderen dat standaard wordt toegevoegd tijdens de installatie. Als je dat niet doet, krijgt een aanvaller die je mobiele nummer steelt nog steeds de sms-codes van Google Voice. Schakel ook het standaard doorsturen van sms-berichten naar je e-mailadres uit.)

Met een sterk wachtwoord is de Google Voice-account veilig. Wat als die gegevens verloren zijn gegaan? Dit kan overkill zijn, maar voor accountherstel van het Google Voice-account gebruiken we, indien nodig, een andere niet-identificerende e-mailalias gekoppeld aan het iCloud-adres van de gebruiker. Het werkelijke, niet-identificerende iCloud-account achter de alias kan direct worden gecontroleerd of worden doorgestuurd naar het daadwerkelijke e-mailadres van onze klant. Dus als een dief het hersteladres voor het Google Voice-account zou ontdekken, zouden ze er nergens mee kunnen inloggen. We registreren ook de aanmaakdatum van de account en de vervalste verjaardag, omdat Google er tijdens het herstel van de account naar kan vragen.

Door het Google Voice-telefoonnummer te gebruiken, kunnen onze klanten eenvoudig voor elke account dubbele verificatie instellen door eenvoudig een ander telefoonnummer te gebruiken. Wanneer een code nodig is, worden ze actief op de hoogte gebracht via een sms-melding. Een assistent, collega of consultant heeft ook toegang tot de code. En het alternatieve telefoonnummer kan niet naar de simkaart van een dief worden verplaatst zonder inlogtoegang tot het Google Voice-account.

Nadelen van Google Voice voor dubbele verificatie

Het belangrijkste nadeel dat we kunnen zien aan deze Google Voice-aanpak is dat het nummer verloopt als je niet om de zes maanden een sms-bericht verzendt of belt. Google waarschuwt je hier natuurlijk voor, maar het is het beste om zelf de vinger aan de pols te houden, net als wij doen voor onze klanten. Het is verstandig om alle e-mail die naar het Gmail-adres van het Google Voice-account wordt verzonden, door te sturen naar een actief gecontroleerd account, zodat eventuele waarschuwingen van Google worden gezien. Het zou ook slim zijn om daarnaast een halfjaarlijkse herinnering op een kalender in te stellen.

Sommige websites weigeren een Google Voice-nummer of accepteren sms-berichten niet als primair middel van 2FA. Ik heb dit in enkele gevallen gezien. Facebook, bijvoorbeeld, accepteert geen Google Voice-nummer tenzij dit het eerste nummer is dat je aan het account toevoegt. CrashPlan ondersteunt verificatie-apps, maar geen sms. Voor dit soort accounts moet je een strategische beslissing nemen of je een verificatie-app (of een wachtwoordenbeheerder die als zodanig fungeert) wilt gebruiken, je echte mobiele nummer wilt invoeren of het zonder 2FA wilt doen. Ook ondersteunen sommige prominente websites helemaal geen 2FA. (Ik kijk naar jou, Spotify.)

Spam filteren in de app Google VoiceAdam Engst suggereerde een ander mogelijk nadeel, namelijk de mogelijkheid dat het Google Voice-nummer spam-oproepen ontvangt. We moeten onze klanten adviseren alle oproepen en voicemails in de app Google Voice te negeren. Beter nog: in de app-Instellingen kan je inkomende oproepen uitschakelen en mogelijke spam filteren, hoewel hierdoor het risico bestaat dat je een belangrijke code mist als Google deze verkeerd categoriseert.

Ten slotte is Google Voice meer een randproduct van Google, dus wie weet of het bedrijf het ooit laat vallen. Desalniettemin zal Google gebruikers waarschijnlijk voldoende waarschuwen om alternatieve plannen te maken.

Wat denk jij?

Ik ben geen professionele beveiligingsexpert, maar dit systeem lijkt het juiste evenwicht te vormen tussen veilig genoeg en bruikbaar genoeg voor onze klanten met een hoog profiel of een hoge waarde, of voor degenen met een extra niveau van beveiligingsbewustzijn. Zie je flagrante fouten of risico's? Laat het ons weten in de reacties.


Ivan Drucker is de oprichter en CEO van IvanExpert Mac Support in New York City. Hij is een voormalig technicus softwarekwaliteit bij Apple en begon in 1978, op achtjarige leeftijd, zijn eerste Apple II te gebruiken.


Volglijst

[vertaling: LmR, JWB]


Beveiligingsupdate 2020-001 (Mojave en High Sierra) Geen reacties

Beveiligingsupdate 2020-001 (Mojave en High Sierra)

Apple heeft Beveiligingsupdate 2020-001 for macOS 10.14 Mojave en 10.13 High Sierra uitgebracht, als oplossing voor een aantal kwetsbaarheden in deze oudere besturingssystemen. De updates verhelpen een paar fouten die te maken hebben met de kernel, waardoor boosaardige programma's willekeurige code zouden kunnen uitvoeren met systeem-rechten of beveiligd geheugen zouden kunnen uitlezen. Er is een geheugen-corruptieprobleem opgelost dat te maken heeft met het verwerken van afbeeldingen, waardoor een speciaal gecreëerde JPEG willekeurige code zou kunnen uitvoeren, er is een geheugenlek opgelost in het framework CoreBluetooth en de toegangsbeperkingen zijn verbeterd om te voorkomen dat boosaardige software willekeurige bestanden overschrijft. (Gratis. Voor 10.14 Mojave, 1,62 GB; voor 10.13 High Sierra, 1,92 GB; toelichting beveiligingsinhoud)

Safari 13.0.5 Geen reacties

Safari 13.0.5

Apple heeft Safari 13.0.5 voor macOS 10.14 Mojave en 10.13 High Sierra uitgebracht, met oplossingen voor twee kwetsbaarheden die Apple ook heeft aangepakt in de versie van de webbrowser voor macOS 10.15.3 Catalina. Zie “Apple komt met iOS 13.3.1, iPadOS 13.3.1, macOS 10.15.3, watchOS 6.1.2 en tvOS 13.3.1”, 28 januari 2020. In de update is een inconsistentie in de gebruikerinterface verholpen met verbeterd statusbeheer om adresbalk-spoofing tegen te gaan en de automatische invul-functie in Safari is verbeterd zodat een gebruiker wachtwoorden niet meer onversleuteld over een netwerk kan versturen. Safari 13.0.5 is alleen beschikbaar via Software-update. (Gratis, macOS 10.13.6 en 10.14.6)

DEVONthink 3.0.4 1 reactie (Engelstalig)

DEVONthink 3.0.4

DEVONtechnologies heeft DEVONthink 3.0.4 online gezet, met nu een voorkeuren-optie om de Donkere modus uit te schakelen voor documenten terwijl de rest van de gebruikersinterface wel donker blijft. In de update is ook het importeren en indexeren van bestanden en mappen in cloudmappen verbeterd, standaard worden zoekresultaten nu gesorteerd op score, er zijn nu geldige Markdown-koppelingen naar afbeeldingen die vanuit de Finder in Markdown-bestanden zijn gedropt, de opmaak van links blijft nu behouden als je RTF-documenten afdrukt of converteert naar PDF, het programma reageert vlotter als je geïndexeerde mappen op netwerk-volumes gebruikt en er wordt nu een garbage collection van opgeslagen synchronisaties uitgevoerd meteen nadat veranderingen zijn geüploadet, om te voorkomen dat er onnodige en mogelijk grote downloads plaatsvinden op andere apparaten en om ruimte vrij te maken. ($ 99 nieuw voor DEVONthink, $ 199 voor DEVONthink Pro en $ 499 voor DEVONthink Server met 15 procent korting voor TidBITS-leden; gratis update; 92,8 MB; macOS 10.11.5+)

URL Manager Pro 5.0 4 reacties (Engelstalig)

URL Manager Pro 5.0

Alco Blom heeft versie 5.0 uitgebracht van zijn vermaarde URL Manager Pro, in TidBITS voor het eerst vermeld in 1996. (Zie “More Bookmarks than Books, Part III”, 29 april 1996.) Met de app kun je bladwijzers verzamelen en beheren in een systeembreed bladwijzermenu dat je kunt openen vanuit de menubalk en dat de meeste webbrowsers ondersteunt, waaronder Safari, Chrome, Chromium, Opera, Firefox en Vivaldi. URL Manager Pro is compleet herschreven als een 64-bits toepassing en ondersteunt nu macOS 10.14 Mojave en 10.15 Catalina, en heeft nu ook macOS-functies als Automatisch bewaren, Versies en de Deel-knop. De app is gratis te downloaden, maar het kost $ 35 om alle functies te ontgrendelen (inclusief werkbalkaanpassing en het importeren van bladwijzers). Je kunt voor $ 25 upgraden vanaf eerdere versies naar de volledige versie van URL Manager Pro 5.0. ($ 35 nieuw, $ 25 upgrade, 8,7 MB, toelichting, macOS 10.13+)

Fantastical 3.0 4 reacties (Engelstalig)

Fantastical 3.0

Flexibits heeft Fantastical geüpdatet naar versie 3, een belangrijke uitgave voor het alternatief voor Apples app Agenda. Fantastical 3.0 heeft een vernieuwde gebruikersinterface, een uniform uiterlijk op alle platforms (macOS, iOS, iPadOS en watchOS) en een nieuw prijsmodel voor abonnementen. Nieuwe functies zijn onder meer de mogelijkheid om meerdere vergadertijden met anderen voor te stellen, AccuWeather-voorspellingen voor 10 dagen die op elke dag als een klikbaar pictogram verschijnen, ondersteuning voor Todoist-taken en kalendersets die op alle platforms werken. Fantastical laat gebruikers ook "interessante" kalenders toevoegen met sportteams van over de hele wereld (zoals Fjölnir FC in Reykjavik, IJsland), favoriete televisieshows en vakantieperiodes in verschillende landen, religies en onderwijssystemen.

Mogelijkheden van Fantastical 3

De prijs, oorspronkelijk $ 49,99 als eenmalige aankoop van Fantastical 2 voor de Mac, is voor Fantastical Premium $ 4,99 per maand (of $ 39,99 per jaar, een besparing van 33%). De iPhone- en iPad-apps zijn nu inbegrepen bij Fantastical Premium, terwijl ze voorheen respectievelijk $ 9,99 en $ 4,99 kostten.

Als je een Fantastical 2-licentie bezit, biedt de app bij het starten automatisch aan om deze bij te werken naar versie 3.0 met Fantastical 2-functies ontgrendeld en bruikbaar. Die beperkte versie ondersteunt echter niet het toevoegen van taken, samenwerkingsfuncties en zelfs het bekijken van de dag-, week-, maand- en jaaragendaweergaven, waardoor je wordt beperkt tot alleen de navigatiekolomweergave. Als je een van de nieuwe Fantastical 3-functies of de standaard agendaweergaven wilt gebruiken, moet je je abonneren op Fantastical Premium.

Een gratis, volledig functionele 14-daagse proefversie van Fantastical 3 is beschikbaar na het aanmaken van een Flexibits-account en het verstrekken van creditcard-informatie. ($ 39,99 jaarabonnement van Flexibits en de Mac App Store, 21,7 MB, toelichting, macOS 10.13.2+)


ExtraBITS

[vertaling: HV, JP, PAB]


1 reactie (Engelstalig)

Antivirusmaker Avast verkocht gegevens van miljoenen gebruikers

Een gezamenlijk onderzoek van Motherboard en PCMag heeft aan het licht gebracht dat antivirusmaker Avast surfgegevens verzamelde van gebruikers van hun antivirusproduct en die gegevens verkocht via dochterbedrijf Jumpshot. Jumpshot gaat er prat op dat ze toegang hebben tot "Elke zoekopdracht. Elke klik. Elke aankoop. Op elke site." en claimt dat ze Google, Intuit, McKinsey, Microsoft en vele anderen als klant hebben.

Vorig jaar bleek dat Avast gegevens verzamelde van hun browser-extensies, waarop Google, Mozilla en Opera die extensies verwijderden uit hun respectievelijke extensie-stores. Maar Avast kon nog steeds gegevens verzamelen van computers waarop gebruikers hun Avast Security antivirusprogrammatuur hadden geïnstalleerd, net als AVG AntiVirus, ook een product van Avast.

Jumpshot claimde dat de gegevens geanonimiseerd waren maar een klant kon die gegevens eenvoudig koppelen aan andere informatie en zo de identiteit van gebruikers achterhalen:

Op het eerste gezicht lijkt de klik onschuldig. Je kunt hem niet koppelen aan een individuele gebruiker. Behalve natuurlijk als je Amazon.com bent, voor wie het doodeenvoudig is om te achterhalen welke Amazongebruiker om 12:03:05 op 1 december 2019 een iPad Pro kocht. En opeens is apparaat ID: 123abcx een bekende gebruiker. En is alle overige informatie die Jumpshot heeft over de activiteiten van 123abcx - van andere e-commerce aankopen tot Google zoekopdrachten — niet meer anoniem.

Kort nadat deze verslagen gepubliceerd werden kondigde Avast aan dat ze hun dataverzamelingsactiviteiten zouden beëndigen en Jumpshot zouden opheffen. Maar we raden toch aan dat je alle Avast producten verwijdert en ze ook in de toekomst links laat liggen, gezien het feit dat het bedrijf pas onder zeer zware druk van de pers en het bevoegd gezag deed wat ze al veel eerder hadden moeten doen. Een dergelijk misbruik van vertrouwen lost je niet op met één enkele positieve handeling.

Zelf draaien we geen antivirusprogrammatuur en we adviseren het ook niet, zeker niet het soort dat in de achtergrond aanwezig is en continu scant, omdat het invloed heeft op prestaties. Maar als je een gebruiker met minder kennis en ervaring, die slachtoffer is geworden van adware of andere malware, wilt helpen, overweeg dan de gratis versie van Malwarebytes en doe regelmatig handmatige scans.

Het maken van een Malwarebytes scan

2 reacties (Engelstalig)

Apple voltooid de uitrol van hertekende Maps in de US

Toen het zijn inspanningen publiek maakte, had Apple reeds 4 jaar gewerkt aan de herziening van de Maps data in de Verenigde Staten (zie “Apple neemt Kaarten flink onder handen,” 29 juni 2018). Nu zegt Apple dat het klaar is, en de verbeterde US maps zijn beschikbaar voor alle gebruikersd van Maps. Het volgende op Apples radar is verbeterde versie voor de kaarten van Europa. Als je Maps al een tijdje niet meer gebruikte, probeer het eens, aangezien er aanzienlijk meer details toegevoegd zijn met deze update, zoals je kan zien in Apples animatie.

Een animatie die de nieuwe Kaarten toont ten opzichte van de oude Kaarten
Apple merkt op dat er eveneens een uitgebreide ondersteuning is voor Look Around, Apples antwood op Google Street View. Look Around ondersteund nu New York City, de San Francisco Bay omgeving, Los Angeles, Las Vegas, Houston, en Oahu, en nog meer steden die er aan zitten te komen.

Look Around op een iPad

2 reacties (Engelstalig)

Tony Blevins: Tim Cook’s kostenbespaarder

Gezien de groei van de iPhone verkoop stagneerd, wordt het steeds belangrijker voor Apple om de bevoorradingskosten te verlagen om de winstmarges te behouden. Dit is waar Apple’s Vice President of Procurement Tony Blevins inpikt. Tripp Mickle van the Wall Street Journal profileerde Blevins en zijn hardvochtige taktiek om de beste aanbiedingen voor Apple te bekomen (als je niet voorbij the Wall Street Journal salarismuur komt, AppleInsider heeft een goede samenvatting).

Apple heeft een tumultueze relatie met Qualcomm over de modem chip, en Blevins zat er middenin:

Bij Qualcomm, dat regelmatig met Mr. Blevins handelde, leidinggevenden vonden hem vriendelijk bij het vragen van gunsten, berekend bij het aandringen voor lagere prijzen en hardvochtig als Qualcomm zijn vragen trotseerde.

Blevins heeft Apple honderden miljoenen dollars bespaard met zijn taktieken zoals het uitnodigen van meerdere glas leveranciers voor Apples nieuwe bedrijfscampusl in een Hong Kong hotel, hen in verschillende vergaderzalen plaatsend, en dan van vergaderzaal naar vergaderzaal springend, dikwijls met geblufte getallen. Hij is eveneens verantwoordelijk voor het er door drukken van Apples strikt geheimhoudingsbeleid, overtredingen hiervan kunnen voor leveranciers oplopen tot boetes van 50 miljoen dollars en zelfs meer.

Alvorens je Blevins of Apple streng veroordeeld voor zulke harde taktieken, is het belangrijk te weten dat de bedrijfswereld dikwijls zeer hard is, zodanig dat iedere grote, succesvolle onderneming sterke leidinggevenden (nodig) heeft en moet hebben zoals Blevins.

Geen reacties

Apple in 2019: De Six Colors 2019-rapportkaart

Hoe deed Apple het in 2019 in de ogen van degenen die er de meeste aandacht aan besteden? Jason Snell van Six Colors heeft opnieuw zijn jaarlijkse Apple-rapportkaart uitgebracht met beoordelingen en opmerkingen van 65 Apple-waarnemers, waaronder een aantal TidBITS-redacteuren en medewerkers. De Apple Watch en Wearables blonken uit in het rapport (evenals in de financiële resultaten van Apple, zie “iPhone herstelt en wearables gaan torenhoog in het eerste kwartaal van 2020 voor Apple", 28 januari 2020), terwijl de cijfers voor Apple TV, HomeKit en de algehele softwarekwaliteit achteruitgingen. Geen grote verrassingen daar.

Six Colors 2019 Apple-scores

Snell nam de moeite om de verschillen vanaf 2018 in kaart te brengen en je kunt enkele duidelijke trends waarnemen in de onderstaande grafiek. De twee categorieën die de grootste minpunt bereikten waren softwarekwaliteit (dankzij slordig werk met iOS 13 en Catalina) en belangenbehartiging op milieu-/sociaal gebied (deels vanwege de acties van Apple met betrekking tot de protesten in Hong Kong), terwijl Services een grote opleving zag en de grote investering van Apple in diensten in 2019 weerspiegelt.

Wijzigingen sinds de 2018 Apple-rapportkaart

Zoals altijd is het volledige rapport de moeite van het lezen waard vooral door de pittige citaten van je favoriete Apple critici.



Wij leggen uit wat je weten moet over Apple-technologie.


Vorige aflevering | TidBITS Nederlands | Volgende aflevering