Apple tätar galen säkerhetsläcka

Knappt har Proton gjort macanvändares liv osäkert förrän den turkiske utvecklaren Lemi Orhan Ergin avslöjar ett smått ofattbart säkerhetshål i High Sierra, som är senaste versionen av Apples operativsystem Macos.

Klicka här för att visa innehåll från Twitter

Säkerhetshålet gjorde det möjligt att logga in med användarnamnet ”root” och ett blankt lösenord när man vill låsa upp inställningarna för konton på datorn:

macos_highsierra_hole2

Efter ett antal försök ska denna inloggning ha lyckats. Man har då administratörsrättigheter och kan se samtliga användares filer i datorn.

Visselblåsaren med mera Edward Snowden kommenterade på Twitter:

Klicka här för att visa innehåll från Twitter

Apple har nu gjort en blixtutryckning och tätat läckan – mindre än 24 timmar efter att den upptäcktes.

Macanvändare, varning för Proton!

Skadlig kod sprids nu till macanvändare. Den aktiveras när användaren skriver in sitt lösenord, enligt Wccftech:

OSX/Proton is used by criminals to steal login data to compromise user accounts. But it steals more than that. It can steal all the sensitive information stored on your computer, including data from password managers.

Proton har spridits genom att låtsas tillhöra säkerhetsföretaget Symantec. Programmet som användare uppmanas installera heter ”Symantec Malware Protector”. (Riktiga Symantec har inte någon produkt med det namnet.)

Länkar till denna skadliga kod har spridits friskt på Twitter, även av twitterkonton som är kopplade till Symantec. Antingen har någon hackat dessa konton, eller så har Symantec själva gått på bluffen.

Apple har svartlistat programmet, men den som redan installerat det på sin Mac gör bäst i att ominstallera hela systemet.

FBI kan ha klantat sig i avkrypteringen av Sutherland Springs-skyttens iphone

Enligt obekräftade källor ska den misstänkte gärningsmannen i söndagens skjutning i Sutherland Springs, Texas, USA, ha haft en iphone, och enligt andra källor ska FBI inte ha kontaktat Apple under de första 48 timmarna efter gärningsmannens död för att få hjälp med att låsa upp denna iphone, rapporterar Reuters:

The delay may prove important. If Kelley had used a fingerprint to lock his iPhone, Apple could have told officials they could use the dead man’s finger to unlock his device, so long as it had not been powered off and restarted.

Vem vet, kanske behövde inte FBI Apples hjälp med att förstå att de kunde låsa upp telefonen med den dödes finger.

Men nyheten ska ses mot bakgrund av ”slaget om krypteringen” som utkämpades mellan FBI och Apple efter San Bernardino-skjutningen 2015, då FBI krävde att Apple skulle utveckla verktyg för att avkryptera innehållet i en telefon som använts av en av gärningsmännen. Apple vägrade och företagets vd Tim Cook skrev ett öppet brev till kunderna där han förklarade Apples beslut.

Kan Apple och Google se dina privata porrbilder?

Frågan ställs av Techcrunch med anledning av dessa företags till synes magiska förmåga att tagga användarnas foton med de föremål de innehåller. (Jag verkar inte ha den funktionen på min ipad, men iphoneanvändare kanske vet vad som menas.)

Techcrunch förklarar att inga bilder skickas till företagen för analys – algoritmerna är numera så sofistikerade och optimerade att de arbetar lokalt på våra telefoner.

Men vem vet. Techcrunch lovar återkomma med företagens svar på frågor om hur de behandlar användarnas data.

Vad man också bör vara uppmärksam på är vilka friheter enskilda appar tar sig, efter att man gett dem tillgång till telefonens foton eller rentav dess kamera.

En utvecklare med kopplingar till Google visade nyligen hur en iphoneapp med kamerarättigheter teoretiskt sett kan ta bilder utan att användaren märker det, och direkt ladda upp dessa bilder.

Frågan är dock om en sådan app skulle slinka igenom Apples strikta godkännandeprocess. Samma idé i en androidtelefon är kanske mer realistisk.

Allvarligt säkerhetshål i färska Macos 10.13 High Sierra

High Sierra, som den senaste versionen av Apples operativsystem Macos heter, har i dagarna gett macanvändare världen över en ny bakgrundsbild med den amerikanska bergskedjan i höstskrud. Vackert!

I övrigt låg de flesta nyheterna under huven. Vi har berättat om de nya säkerhetsfunktionerna i webbläsaren Safari, som bland annat blockerar vissa typer av cookies från alltför aggressiva annonsörer. Denna nyhet i Ios 11 har alltså nu också kommit till Macos 10.13 High Sierra.

Men allt är inte frid och fröjd. Säkerhetsanalytikern Patrick Wardle har hittat ett allvarligt säkerhetshål i funktionen Keychain, där han lyckades komma åt användares lagrade lösenord i klartext:

Normally, all Keychain information is locked down with a user’s master password. But Wardle was able to extract passwords from the Keychain without entering a master password, showing that an attacker with access to an unlocked computer might be able to steal Keychain data.

Hacket funkar även i äldre versioner av Macos. Wardle rapporterade buggen till Apple den 7 september 2017 och säger till Gizmodo att han räknar med att Apple snart släpper en patch. Tills dess kommer han inte att göra hacket offentligt.

De macanvändare som angett ett separat huvudlösenord för Keychain berörs inte av säkerhetshålet.

Apple tar användarnas parti mot fräcka annonsörer – hyllas av EFF

I förrgår släpptes Ios 11, den senaste versionen av Apples operativsystem för mobila enheter som Iphone och Ipad.

En nyhet värd att uppmärksamma är det som Apple kallar ”intelligent tracking prevention”, som blockerar tredjepartscookies i webbläsaren Safari. Blockeringen är så effektiv att den fått sex amerikanska annonsörsorganisationer att protestera mot funktionen i ett öppet brev, som publicerats av Adweek (via The Guardian).

Apple kontrar med att man inte blockerar annonsörer som spelar med öppna kort, bara dem som spårar surfarna över flera webbplatser. Läs mer om tekniken hos Webkit, som är den renderingsmotor, baserad på öppen källkod, som Safari använder.

Apple hyllas nu av amerikanska Electronic Frontier Foundation (EFF), som noterar att Apple ligger i framkant i integritetsfrågorna:

Apple has been a powerful force in user privacy on a mass scale in recent years, as reflected by their support for encryption, the intelligent processing of user data on device rather than in the cloud, and limitations on ad tracking on mobile and desktop.

EFF riktar också kritik mot annonsindustrin:

Rather than attacking Apple for serving their users, the advertising industry should treat this as an opportunity to change direction and develop advertising models that respect (and not exploit) users.

Kultfakta: Den svenska knutpunktsoperatören Netnod meddelade att trafiken slog rekord klockan 19 den 19 september 2017 – se graf nedan (facebooklänk). Netnod kan inte se vad trafiken gällde, men det var just då som Ios 11 blev tillgängligt att ladda ner!

Netnod-graf över intenettrafiken i Skandinavien den 19 september 2017, när Ios 11 släpptes

Mer kultfakta: En hel del av nyheterna på Femte juli skrivs numera på en Ipad Pro med Ios 11.