Motorola heeft een patch ontwikkeld die het recent ontdekte Stagefright-lek in Android moet repareren. Volgende week wordt de software aangeboden aan providers waarna het wordt getest. Kort daarna moet de uitrol plaatsvinden.

Op zijn website laat Motorola weten dat de patch komt naar de Moto X, Moto G en Moto E. Het gaat zowel om de huidige als alle voorgaande generaties van deze smartphones. De fabrikant stelt dat het al enige tijd bezig is met de ontwikkeling van een patch voor de bug in Stagefright en dat deze bijna klaar is; vanaf maandag kan de testfase beginnen. Wanneer de uitrol vervolgens plaatsvindt is niet duidelijk, maar het is aannemelijk dat dit niet lang zal duren.

Eerder lieten andere grote fabrikanten al weten dat zij met een oplossing voor het probleem in Stagefright komen. Onder andere Samsung en LG hebben beloofd hun toestellen te zullen updaten, en in het vervolg met maandelijkse beveiligingspatches te komen. Datzelfde werd verkondigd door Android-maker Google.

Het probleem zit in de Stagefright-video-engine van Android, waardoor het versturen van een video naar een Android-gebruiker al voldoende kan zijn om binnen te dringen op de smartphone. Een kwaadwillende kan bijvoorbeeld, als hij het telefoonnummer weet, een mms met een video versturen en daarin malware verstoppen; dat maakt het gemakkelijk om op afstand in te breken op Android-smartphones. Het probleem wordt vergroot doordat vrijwel alle Android-smartphones kwetsbaar zijn. Eerder paste T-Mobile de ontvangst aan mms aan, waardoor de vatbaarheid voor de Stagefright-bug moet worden verkleind.

Uit een onderzoek dat is uitgevoerd door de Europese Commissie zou zijn gebleken dat Apple met zijn muziekstreamdienst geen antitrustwetten schendt. Wel wil Europa meer informatie over Apples beleid omtrent het afstaan van omzet die streamingdiensten verkrijgen uit de App Store.

Volgens het doorgaans goed ingelichte Re/code is er geen bewijs dat Apple geprobeerd heeft om, al dan niet in samenwerking met platenlabels, concurrerende streamingdiensten te belemmeren. Dat zeggen vier verschillende bronnen die de site heeft gesproken. Alhoewel het er op lijkt dat Apple met zijn streamingdienst Apple Music geen wetten heeft overtreden, blijft de Europese Commissie de zaak wel in de gaten houden, en heeft het concurrenten zoals Spotify gevraagd om met meer informatie te komen.

Zo wil de Europese Commissie specifiek weten hoe het zit met restricties die Apple oplegt als het gaat om het aanbieden van apps in de App Store. Mogelijk gaat het hierbij om het afstaan van omzet verkregen via verkopen vanuit de App Store. Concurrerende aanbieders van muziekstreaming die abonnementen verkopen via de downloadwinkel moeten namelijk 30 procent van hun omzet afstaan aan Apple. Daardoor zijn concurrenten doorgaans duurder dan Apples eigen dienst. Spotify moedigt daarom klanten aan om abonnementen via de website af te sluiten, en dus niet via de App Store.

Ondertussen worden Apples praktijken nog wel onderzocht in de Verenigde Staten. De Amerikaanse waakhond FTC zou klachten van concurrenten hebben gekregen over het moeten afstaan van abonnementsgelden. De onderzoeken in Europa en de Verenigde Staten zijn ingesteld nadat er eerder geluiden naar buiten kwamen over het belemmeren van de concurrentie. Zo zouden onder andere platenmaatschappijen onder druk zijn gezet om geen licenties meer te verstrekken aan gratis diensten.

Dit jaar zijn er al vijftien zero day-kwetsbaarheden in de openbaarheid gekomen: beveiligingsproblemen in software die nog niet zijn gepatcht en dus extra gevaarlijk zijn. Dat meldt Secunia. In heel 2014 werden 25 zero day-kwetsbaarheden aan het licht gebracht.

Bijna alle vijftien zero days bevonden zich in software van Microsoft en Adobe, meldt beveiligingsbedrijf Secunia op de Black Hat-beveiligingsconferentie in Las Vegas; in één geval ging het om een lek in Java. Flash was verantwoordelijk voor zeven zero-days, Windows voor drie en Office voor twee. Een groot deel van de zero-days kwam aan het licht toen interne gegevens van spionagebedrijf Hacking Team door een aanvaller op internet werden gezet. Onder die interne data waren ook nog ongepatchte beveiligingsproblemen, die Hacking Team misbruikte om computers van slachtoffers te infecteren.

Volgens Secunia is het aantal ontdekte zero days geen reden tot zorg. Het zou volgens het bedrijf eerder zorgwekkend zijn als het aantal ontdekte zero days zou afnemen. Dat zou namelijk betekenen dat de zero days onder de radar zouden blijven en misbruikt zouden worden door bedrijven als Hacking Team, denkt Secunia. Vorig jaar werden 25 zero-days ontdekt; de vijf jaar daarvoor lag het aantal ontdekte zero-days in de vierhonderd populairste softwarepakketten elk jaar tussen de 15 en de 26.

Verder meldt Secunia dat er tot nu toe 9225 beveiligingsproblemen zijn gevonden in software, iets minder dan de 9560 die vorig jaar werden aangetroffen. Wel nam het aantal bugs die als 'extreem kritisch' worden bestempeld toe van 0,3 naar 0,5 procent. Ook het aantal 'zeer kritische' bugs nam toe, van 11,1 naar 12,7 procent. Het aantal bugs die worden bestempeld als 'gemiddeld' nam af van 28,2 naar 23,7 procent.

Tot nu toe zijn dit jaar tachtig beveiligingsproblemen in iOS gevonden, tegen tien in Android. Volgens Secunia betekent dat allerminst dat Android veiliger is dan iOS, omdat Google slechts beperkte controle heeft over de uitrol van security-updates. Apple kan beveiligingsupdates direct uitrollen naar gebruikers, maar bij Android zijn de fabrikanten van apparaten en telecomproviders daarvoor verantwoordelijk."Voor gebruikers kan het veel langer duren voordat ze gepatcht zijn dan op iOS", aldus Lindgaard tegenover Tweakers. Daarnaast kan het verschil worden verklaard doordat Apple ook sommige apps als Safari patcht via het besturingssyteem, terwijl dat op Android via de Play Store of een andere softwarewinkel verloopt.

Vodafone gaat binnenkort stoppen met het aanbieden van diensten via Cloud. Klanten zijn geïnformeerd over hoe zij hun bestanden veilig kunnen stellen. Er moet een opvolger komen voor Cloud, maar daarover maakt Vodafone pas later iets bekend.

Vodafone Cloud stopt de dienstverlening per 1 november. Tot die tijd hebben klanten dus de mogelijkheid om hun bestanden te downloaden; hoe dat moet heeft Vodafone op een webpagina uiteengezet. Tot 8 september is het nog mogelijk om Cloud op de normale wijze te gebruiken, daarna is het alleen nog mogelijk om al geüploade bestanden te downloaden. Vodafone stelt dat het vanaf 15 juli al geen nieuwe klanten meer aannam.

Op termijn moet er een alternatief worden aangeboden voor Cloud, zo heeft Vodafone laten weten. Hoe deze dienst er precies uit komt te zien en wat het verschil is met de huidige cloudopslagdienst is niet bekend. De telecomprovider wilde namelijk verder geen details geven.

De cloudopslagdienst van Vodafone werd drie jaar geleden geïntroduceerd. Net zoals bij veel concurrerende diensten is er de mogelijkheid tot gratis opslag, waarbij voor extra capaciteit moet worden bijbetaald. Cloud wordt gesloten omdat het bedrijf meer mogelijkheden wil aanbieden, iets dat niet mogelijk is met het huidige 'platform', zo stelt Vodafone. Het is niet bekend hoeveel klanten er gebruikmaakten van Vodafone Cloud.

Een bepaald type enkelband voor elektronisch huisarrest van veroordeelde criminelen of verdachten, kan worden gekraakt. Daardoor is het vervalsen van locaties mogelijk, claimt een beveiligingsonderzoeker. Het is niet bekend of de band ook in Nederland wordt gebruikt.

Onderzoeker William Turner claimt dat de enkelband in kwestie kan worden gekraakt met behulp van een vervalste zendmast. Dat zei hij tegen Tweakers op de DEF CON-hackersconferentie in Las Vegas. De enkelband van het bedrijf GWG International gebruikt gprs of sms om de locatie van een veroordeelde of verdachte naar de politie te sturen, maar gsm-netwerken zijn makkelijk na te bootsen en het bedrijf heeft zelf geen aanvullende authenticatie ingebouwd. Het is niet duidelijk in welke regio's de enkelband wordt gebruikt; daarover wil GWG volgens Turner geen informatie geven.

De onderzoeker kocht een enkelband en basisstation bij het Taiwanese bedrijf door zich voor te doen als een potentiële klant. Tegen betaling van 1000 dollar, omgerekend 910 euro - Turner zegt dat het onduidelijk is of dat de prijs voor het toestel was, of in feite een soort omkoopsom - kreeg hij het toestel mee. "Doe dit niet na in de echte wereld", raadde hij bezoekers van DEF CON aan tijdens zijn presentatie. "Je zult in de gevangenis belanden." Tegelijkertijd zegt hij dat iemand anders de aanval makkelijk zou kunnen nabootsen.

Bij de aanval moet een eigen vervalst basisstation voor een mobiel netwerk worden opgezet; daarvoor kan vrij toegankelijke software als OpenBTS of YateBTS worden gebruikt. Vervolgens moet die vervalste 'bts' zich voordoen als het mobiele netwerk van de enkelband. Daarna maakt de enkelband verbinding met het vervalste netwerk van de aanvaller. Turner wikkelde de enkelband in meerdere lagen aluminiumfolie om het bereik van de antenne in de enkelband te verzwakken, zodat het vervalste basisstation het sterkste signaal had.

Als de enkelband gprs gebruikt om de locatie naar de politie te sturen, dan is de aanval het eenvoudigst. Het verkeer kan dan worden doorgestuurd naar een server die in beheer is van de aanvaller. "Vervolgens pas je de locatie in de berichten aan, en stuur je het verkeer weer door naar de politie", aldus Turner. Gprs-verkeer is soms versleuteld, maar zelfs als dat gebeurt, is de versleuteling eenvoudig te kraken. Het basisstation gooit bij de aanval overigens geen roet in het eten: dat fungeert enkel als een soort baken, de communicatie gebeurt vanaf de enkelband zelf.

Gebruikt de enkelband sms voor communicatie met de politie, dan is de aanval iets moeilijker, omdat eerst het telefoonnummer van de enkelband moet worden achterhaald. Daartoe kan de simkaart uit de enkelband worden gehaald en in een telefoon worden gestopt. Vervolgens moet de aanvaller een bericht sturen naar een bekend nummer om zo het telefoonnummer van de enkelband te achterhalen. Het vervalste netwerk wordt daarbij gebruikt om te voorkomen dat de enkelband succesvol alarm kan slaan dat het apparaat is geopend. Vervalste locaties kunnen vervolgens worden verstuurd met een dienst die het verzenden van vervalste sms-berichten aanbiedt; daarvan zijn er meerdere. "Ik heb een Python-script gemaakt dat authentiek ogende locaties verstuurt", aldus Turner.

Een andere manier, waarbij de enkelband niet hoeft te worden geopend, is door het apparaat op afstand anders te configureren. Dat kan met behulp van sms-berichten; vanuit het vervalste netwerk kunnen die configuratieberichten naar de enkelband worden gestuurd. Daarbij moet wel een pincode van vier cijfers worden meegestuurd; om die te raden, zou een aanvaller maximaal veertig dagen bezig zijn met het brute forcen van dat wachtwoord, aldus Turner. Is de pincode gekraakt, dan kan de enkelband zo worden geconfigureerd dat hij de locatieberichten naar een telefoonnummer van de aanvaller stuurt. Daarna weet hij het telefoonnumer van de enkelband, en kan hij vervalste berichten versturen naar de politie.

Vervolgens kan de locatie worden gewijzigd, zodat het lijkt alsof de veroordeelde thuis is terwijl hij zich in werkelijkheid op een andere locatie bevindt, 'bijvoorbeeld in de kroeg', aldus Turner. De enkelband kan zelfs worden afgedaan. In dat geval zou de enkelband eigenlijk alarm slaan, maar omdat alle communicatie wordt onderschept, komen die berichten nooit aan.

Turner stelt dat een aanvaller wel over flink wat technische vaardigheden moet beschikken om de kwetsbaarheden te misbruiken. "Maar ik kan me voorstellen dat iemand met dergelijke vaardigheden tegen betaling een dienst opzet om enkelbanden te kraken."

Volgens de onderzoeker kan de kwetsbaarheid worden opgelost door de fabrikant, door cryptografische checks in te bouwen. Turner heeft de fabrikant echter niet benaderd; dat is wel gebruikelijk bij onthullingen over beveiligingsproblemen. GWG was zaterdagochtend lokale tijd niet bereikbaar voor commentaar.

De enkelband in kwestie, van het bedrijf GWG International

Apple zou de in geruchten veelvuldig genoemde iPhone 6s aan willen kondigen op een eigen evenement dat waarschijnlijk op 9 september wordt gehouden. Ook zou het bedrijf dan nieuwe iPads willen aankondigen, net als een nieuwe versie van de Apple TV.

De geruchten zijn afkomstig van Buzzfeed, die zich beroept op bronnen die bekend zijn met de plannen van Apple. Volgens deze bronnen mikt Apple op een aankondiging in de week van 7 september, waarbij 9 september de meest waarschijnlijke datum is voor het evenement. Dat zou betekenen dat de nieuwe iPhone op dezelfde dag als vorig jaar wordt aangekondigd. Van Apple is bekend dat aankondigingen vaak in dezelfde tijd van het jaar worden gedaan.

Tijdens het evenement, waarvoor de uitnodigingen overigens nog niet zijn verzonden, moet onder andere de iPhone 6s worden aangekondigd. De nieuwe smartphone zou beschikken over Force Touch, een techniek die meet hoe hard de gebruiker drukt. Verder zou er ondersteuning zijn voor 4g+ waarbij de chip een theoretische maximumsnelheid van 300Mbit/s ondersteunt. Alle geruchten wijzen er trouwens op dat er alleen wijzigingen aan de binnenkant worden doorgevoerd; het uiterlijk lijkt dus gelijk te blijven aan de iPhone 6.

Apple zou ook van plan zijn om nieuwe iPads aan te kondigen. In geruchten wordt vaak een groter model genoemd, met een schermdiagonaal van 12,9". Of deze zijn opwachting maakt tijdens het aankondigingsevenement kon Buzzfeed niet zeggen. Tenslotte moet er een nieuwe Apple TV komen, die volgens eerdere geruchten zou beschikken over een A8-chip en een App Store aan boord heeft.

Sony gaat per 1 september de prijzen van zijn PlayStation Plus-abonnement verhogen. In plaats van 15 euro per kwartaal moet er dan 20 euro worden betaald. Het bedrijf wijst 'marktomstandigheden' aan als reden voor de prijsverhoging.

De Italiaanse website VG247 was een van de eersten die de prijsverhoging van PlayStation Plus meldde op basis van een e-mail die door Sony is verstuurd. Tegenover Pushsquare bevestigde het bedrijf dat de prijzen per 1 september omhooggaan. Voor een kwartaalabonnement moet dan 20 euro worden betaald, terwijl voorheen een prijs van 15 euro werd gehanteerd. Er zouden echter geen plannen zijn om de prijs van het jaarabonnement, van momenteel 50 euro, te verhogen.

Voor de prijsverhoging voert Sony geen duidelijke redenen aan. Het bedrijf stelt dat de nieuwe prijs te maken heeft met marktomstandigheden, maar wat daar precies mee wordt bedoeld is onduidelijk. Overigens lijkt de prijsverhoging alleen te gelden voor Europese landen.

Eerder liet Sony nog weten dat klanten die lid zijn van PlayStation Plus de mogelijkheid krijgen om te stemmen op games; degene die de meeste stemmen krijgt wordt de maand daarna gratis aangeboden.