De volgende keer dat u in een hotel verblijft, wilt u misschien een deurslot gebruiken. Een groep beveiligingsonderzoekers heeft deze week een techniek onthuld die misbruik maakt van een reeks beveiligingsfouten die wereldwijd 3 miljoen sloten van hotelkamers treffen. Terwijl het bedrijf eraan werkt om het probleem op te lossen, blijven veel sloten kwetsbaar voor een unieke hacktechniek.
Apple heeft een zware week achter de rug. Naast de ontdekking door beveiligingsonderzoekers van een grote, vrijwel onherstelbare kwetsbaarheid in zijn hardware (meer daarover hieronder), hebben het Amerikaanse ministerie van Justitie en zestien procureurs-generaal een antitrust-rechtszaak aangespannen tegen de technologiegigant, waarbij ze beweren dat zijn iPhone Bedrijfspraktijken zijn illegaal en concurrentiebeperkend. Een deel van de rechtszaak benadrukt wat Apple’s “flexibele” acceptatie van privacy- en veiligheidsbeslissingen noemt – met name de end-to-end-encryptie van iMessage, die Apple heeft geweigerd beschikbaar te stellen aan Android-gebruikers.
Over privacy gesproken: een recente wijziging in pop-upcookiemeldingen onthult het aantal bedrijven waarmee elke website uw gegevens deelt. Uit een WIRED-analyse van de top 10.000 websites bleek dat sommige sites gegevens delen met meer dan 1.500 derde partijen. Ondertussen is werkgeversrecensiesite Glassdoor, die mensen al lang toestaat anoniem commentaar te geven op bedrijven, mensen begonnen aan te moedigen hun echte naam te gebruiken.
En dat is niet alles. Elke week verzamelen we beveiligings- en privacynieuws dat we zelf niet behandelen. Klik op de koppen om de volledige verhalen te lezen. En wees veilig daarbuiten.
Volgens nieuw onderzoek bevatten de chips uit de M-serie van Apple een fout waardoor een aanvaller de processor zou kunnen misleiden om geheime end-to-end-coderingssleutels op Macs te onthullen. De exploit die is ontwikkeld door een team van onderzoekers, genaamd GoFetch, maakt gebruik van een zogenaamde prefetcher die afhankelijk is van het datageheugen of DMP van de M-serie chips. Gegevens die in het computergeheugen zijn opgeslagen, hebben adressen, en DMP’s optimaliseren de computerprestaties door het adres te voorspellen van gegevens die waarschijnlijk als volgende zullen worden gebruikt. De DMP stelt vervolgens “aanwijzers” in die worden gebruikt om gegevensadressen in de cache van de machine te lokaliseren. Deze caches zijn toegankelijk voor een aanvaller via een zogenaamde zijkanaalaanval. Een fout in de DMP maakt het mogelijk om de DMP te misleiden om gegevens aan de cache toe te voegen, waardoor mogelijk coderingssleutels worden onthuld.
De fout, die aanwezig is in de M1-, M2- en M3-chips van Apple, is in wezen niet te repareren omdat deze in het silicium zelf aanwezig is. Er zijn risicobeperkingstechnieken die ontwikkelaars van cryptografie kunnen ontwikkelen om de effectiviteit van de exploit te verminderen, maar zoals Kim Zetter van Zero Day schrijft: “Het komt er voor gebruikers op neer dat je niets kunt doen om de exploit te repareren.”
In een brief die deze week aan gouverneurs in de VS werd gestuurd, waarschuwden functionarissen van de Environmental Protection Agency en het Witte Huis dat hackers uit Iran en China ‘water- en afvalwatersystemen in de Verenigde Staten’ zouden kunnen aanvallen. In de brief, verzonden door EPA-beheerder Michael Regan en de nationale veiligheidsadviseur van het Witte Huis, Jake Sullivan, staat dat hackers die banden hebben met de Iraanse Islamitische Revolutionaire Garde en de door de Chinese staat gesteunde Volt Typhoon-groep al drinkwatersystemen en andere kritieke infrastructuur hadden aangevallen. Toekomstige aanvallen, aldus de brief, “hebben het potentieel om de cruciale levensader van schoon en veilig drinkwater te verstoren en aanzienlijke kosten op te leggen aan de getroffen gemeenschappen.”
Er is een nieuwe versie van wiper-malware die Russische hackers lijken te hebben gebruikt bij aanvallen op verschillende Oekraïense internet- en mobiele serviceproviders. De malware, die door onderzoekers van beveiligingsbedrijf SentinelOne AcidPour wordt genoemd, is waarschijnlijk een bijgewerkte versie van de AcidRain-malware die het Viasat-satellietsysteem in februari 2022 lamlegde en ernstige gevolgen had voor de Oekraïense militaire communicatie. Volgens SentinelOne’s analyse van AcidPour heeft de malware “uitgebreide mogelijkheden” waardoor het “ingebedde apparaten, waaronder netwerken, IoT, massaopslag (RAID’s) en mogelijk ICS-apparaten met Linux x86-distributies, beter kan uitschakelen.” Onderzoekers vertellen CyberScoop dat AcidPour kan worden gebruikt om grootschaliger aanvallen uit te voeren.
Volt Typhoon is niet de enige aan China gelieerde hackergroep die grote schade aanricht. Onderzoekers van beveiligingsbedrijf TrendMicro ontdekten een hackcampagne van een groep die bekend staat als Earth Krahang en die zich richtte op 116 organisaties in 48 landen. Hiervan kon Earth Krahang 70 organisaties binnendringen, waaronder 48 overheidsinstanties. Volgens TrendMicro krijgen hackers toegang via kwetsbare internetgerichte servers of via phishing-aanvallen. Vervolgens gebruiken ze de toegang tot de beoogde systemen om spionage uit te voeren en de infrastructuur van de slachtoffers te kapen om verdere aanvallen uit te voeren. Trend Micro, dat Earth Krahang sinds begin 2022 volgt, zegt ook dat het “potentiële banden” heeft gevonden tussen de groep en I-Soon, een Chinees hackbedrijf dat onlangs aan het licht kwam door een mysterieus lek van interne documenten.