De Duitse beveiligingsonderzoeker Vincent Haupert heeft op de Chaos Computer-conferentie een aanval op een Duitse bankapp getoond, die beveiligd is met technologie van de aanbieder Promon. Zo kon hij over te boeken bedragen manipuleren.

Haupert demonstreerde de aanval tijdens zijn presentatie. Daarvoor maakte hij gebruik van een Android 7.0-toestel dat nog niet tegen het zogenaamde dirtycow-lek was gepatcht. De onderzoeker stelde dat dit nodig was om commando's met root uit te voeren. De aanval bestaat daaruit dat een gebruiker een kwaadaardige app downloadt, bijvoorbeeld uit de Play Store. Deze verwijdert vervolgens de Promon-beveiliging van de al op de telefoon aanwezige bankapp en maakt het volledig geautomatiseerd mogelijk om over te boeken bedragen aan te passen. Dit werkt bij apps die gebruikmaken van een app-based tan via een aparte app.

De onderzoeker heeft zijn project Nomorp genoemd in referentie tot de beschermingsdienst Promon. Deze wordt voornamelijk door Duitse banken gebruikt om hun apps te beveiligen en het bedrijf claimt dat de bescherming ervoor moet zorgen dat de apps ook veilig moeten blijven op toestellen die door malware zijn geïnfecteerd. De dienst beveiligt de apps bijvoorbeeld met technieken als certificate pinning, anti-debugging en rootherkenning.

Tijdens zijn onderzoek kwam Haupert erachter dat het mogelijk was om de dienst van het bedrijf, genaamd Promon Shield, volledig uit te schakelen. Later vond hij een eenvoudigere manier, doordat hij erachter kwam dat het mogelijk was om het configuratiebestand van de dienst, nadat dit ontsleuteld was maar voordat het geparset werd, aan te passen en alle controles uit te schakelen. Daardoor blijft de 'bescherming' actief, maar voert niets uit. De onderzoeker nam contact op met Promon en deelde zijn bevindingen. Inmiddels heeft het bedrijf wijzigingen doorgevoerd, die hij echter nog niet geanalyseerd heeft.

De banken zeiden dat 'er geen gevallen van misbruik bekend zijn'. Haupert uitte kritiek op de ontwikkeling dat banken steeds meer overgaan tot app-based tan-technieken, waarbij de tweede factor volgens hem verloren gaat. Hij stelt dat app hardening een rol kan spelen, maar alleen als aanvullende maatregel. Het zou geen tweetrapsproces kunnen vervangen.

Op de CCC in Leipzig heeft Katharine Jarmul, die zich bezighoudt met softwareontwikkeling en data science, ervoor gepleit dat het voor de gek houden van ai ook voor 'juiste' doeleinden ingezet kan worden, zoals het zich onttrekken aan surveillance.

Tijdens haar CCC-presentatie ging Jarmul in op adversarial machine learning, waarbij een neuraal netwerk misleid kan worden om iets verkeerd of juist helemaal niet te identificeren of detecteren. Volgens haar zijn er momenteel voldoende toepassingen, zoals het maken van malware die niet door machine learning wordt herkend of het voor de gek houden van zelfrijdende auto's. Afhankelijk van een ieders opvatting zijn er echter ook 'goede' toepassingen denkbaar, bijvoorbeeld ontkomen aan surveillance of poisoning van eigen data bij een bedrijf dat gegevens als businessmodel ziet.

Als voorbeeld paste ze een foto van zichzelf zodanig aan dat deze uiteindelijk niet meer door Facebook als mens werd herkend, maar voor het menselijk oog nog wel als zijzelf te herkennen was. Dit deed ze door gebruik te maken van beschikbare opensourcetools zoals cleverhans of DeepFool en zonder te weten welk machinelearningmodel Facebook toepast voor afbeeldingen. Dit voorbeeld droeg Jarmul bovendien aan als demonstratie dat het niet nodig is om te weten welke methode door een dienst wordt toegepast, wat ook wel wordt aangeduid als 'black box'.

Tijdens de presentatie greep ze terug op onderzoek dat al op het gebied van adversarial machine learning was verricht. Hoewel er al een en ander over is gepubliceerd, stelt Jarmul dat nog niet volledig duidelijk is waarom ai soms 'blinde vlekken' vertoont als het gaat om detectie en identificatie. Een recent voorbeeld is onderzoek van MIT waarbij wetenschappers een neuraal netwerk konden laten concluderen dat een 3d-geprinte schildpad een geweer moest voorstellen. Dit was mogelijk ongeacht de hoek waarin het object werd 'bekeken' en leidde onder meer tot de classificatie van een baseball als een espresso.

Dat aanvallen op zogenaamde 'zwarte dozen' werken, is ook te zien in recenter MIT-onderzoek waarin wetenschappers de Cloud Vision-api van Google voor de gek hielden. Dit deden ze zonder uitvoerige informatie over de waarnemingen van het achterliggende neurale netwerk. Daarbij gebruikten ze minder queries dan soortgelijke aanvallen en pasten ze een nieuw algoritme toe om een afbeelding aan te passen. Op die manier waren ze bijvoorbeeld in staat om een foto van twee skiërs als hond te laten classificeren.

Jarmul stelt dat dit soort black box-onderzoek belangrijk is om te begrijpen welke technieken door bedrijven worden gebruikt. Andere toepassingen van adversarial machine learning ziet ze bijvoorbeeld voor het voor de gek houden van adware en het ontwikkelen van een variant van steganografie voor onderlinge communicatie. Tweakers publiceerde onlangs een artikel over de werking van neurale netwerken.

Voor de tweede dag op rij hebben klanten van ABN Amro last van een storing bij internetbankieren. Klanten kunnen via de browser geen geld overmaken en geen iDeal-betalingen verrichten. Woensdag was er ook een storing van enkele uren.

Gebruikers maken tegenover Tweakers melding van de nieuwe storing en ook op website Allestoringen.nl is te zien dat er weer problemen zijn. In reacties op klachten van gebruikers bevestigt ABN Amro op Twitter dat er weer een storing is.

Volgens de bank gaat het om een 'nasleep' en werkt overboeken via internetbankieren niet, maar via de app zou het in sommige gevallen wel mogelijk zijn. Woensdag hadden klanten vergelijkbare problemen met internetbankieren via de browser en de app.

Tijdens de storing van woensdag zouden sommige klanten per ongeluk meerdere malen een overboeking hebben gedaan, omdat deze niet leek te lukken. De bank zegt tegen het AD dat mensen dubbele overboekingen niet zomaar terugkrijgen, omdat foutieve betalingen aan particulieren niet zomaar teruggehaald kunnen worden. Dubbele betalingen via bijvoorbeeld iDeal worden wel gecorrigeerd.

Als klanten hun een foutieve betaling aan een particulier niet zelf terug krijgen, moeten ze contact opnemen met de bank. "Dan zorgen we dat er een oplossing komt, linksom of rechtsom. We hebben natuurlijk de betaalgegevens, en kunnen de ontvanger dus aanschrijven", aldus de woordvoerder tegenover het AD.

Update, 18:07: ABN Amro laat op Twitter weten dat de storing is verholpen.

Nintendo heeft de verborgen NES-game Golf in firmwareversie 4.0.0 verwijderd van de Switch. Het is niet duidelijk waarom dat is gedaan. In september bleek dat de game aanwezig was in de firmware en leek het om een eerbetoon aan oud-Nintendo-directeur Satoru Iwata te gaan.

Ontwikkelaar SciresM meldt op Twitter dat 'flog' in de nieuwe Switch-firmware is overschreven en dat alle code om het spel te draaien is verwijderd. Het is niet duidelijk waarom de verborgen game is weggehaald en Nintendo heeft er zelf niets over gezegd.

In september werd ontdekt dat de NES-game Golf aanwezig is in de firmware van de Nintendo Switch, inclusief een emulator om de klassieker te draaien. Ontwikkelaars kwamen er achter dat de game zo was geprogrammeerd dat deze op de sterfdag van oud-Nintendo-directeur Saturo Iwata geactiveerd kon worden.

Om de game te starten moesten spelers vanuit het hoofdmenu de Joy-Cons bewegen op de manier zoals de directeur zijn handen bewoog aan het begin van zijn Direct-presentaties. Satoru Iwata was een drijvende kracht achter de game Golf. Nintendo had al andere ontwikkelaars gevraagd om een golfspel te maken, maar die weigerden omdat ze niet geloofden dat de benodigde data op een cartridge zou passen. Iwata creëerde zijn eigen compressiemethode om de game mogelijk te maken.

Demonstratie van Golf op de Nintendo Switch, toen de game nog in de firmware aanwezig was

Tele2 gaat vanaf eind januari de maximale internetsnelheid over het 3g-netwerk beperken tot 2Mbit/s. Het gaat zowel om de upload- als downloadsnelheid. De provider zegt dat te doen om vol in te zetten op het verbeteren van het 4g-netwerk.

Tele2 heeft een nieuwsbrief aan klanten gestuurd waarin staat dat de snelheid over 3g omlaag wordt gebracht. Wat de nieuwe maximale snelheid is wordt daarin niet genoemd, maar een moderator zegt op het Tele2-forum dat het gaat om 2Mbit/s in beide richtingen.

Volgens Tele2 wordt het 3g-netwerk steeds minder gebruikt en zelf noemt de provider dit het 'back-upnetwerk'. De provider legt al langer de focus op het gebruik van 4g; sinds begin dit jaar moeten nieuwe klanten en mensen die hun contract verlengen een 4g-telefoon hebben, anders worden zij van het netwerk geweerd.

Tele2 heeft alleen een eigen 4g-netwerk. Als klanten geen 4g-verbinding krijgen, komen ze op het 2g- of 3g-netwerk van T-Mobile en dat kost Tele2 meer dan wanneer het eigen 4g-netwerk wordt gebruikt. Dat 'probleem' komt mogelijk te vervallen als de overname van Tele2 door T-Mobile doorgaat. Die overname moet eerst nog goedgekeurd worden.

Volgens de Autoriteit Persoonsgegevens is het tot nu toe niet nodig geweest om boetes uit te delen voor datalekken. De toezichthouder stelt dat waarschuwen genoeg effect heeft gehad om het doel van de meldplicht te bereiken.

Tegenover Trouw zegt de Autoriteit Persoonsgegevens dat boetes niet het doel zijn, maar een 'ultiem middel'. Het doel van de meldplicht is dat bedrijven persoonsgegevens beter beveiligen en met de uitspraak stelt de Autoriteit Persoonsgegevens dat bedrijven dat ook daadwerkelijk doen.

Sinds het invoeren van de meldplicht voor datalekken begin 2016 heeft de Autoriteit Persoonsgegevens nog geen boetes gegeven aan bedrijven voor een datalek. In theorie kan de toezichthouder een boete van maximaal 820.000 euro opleggen.

De toezichthouder krijgt steeds meer meldingen van datalekken. In de eerste drie kwartalen van 2017 kwamen er 7436 meldingen binnen, in dezelfde periode een jaar eerder waren dat er 3948. Ondanks de stijging van het aantal meldingen zijn er waarschijnlijk ook nog veel datalekken die bewust niet worden gemeld.

Volgens de Autoriteit Persoonsgegevens is het niet duidelijk of het aantal datalekken is toegenomen, of dat alleen het aantal meldingen ervan is gestegen. In een reactie na het artikel in Trouw zegt de toezichthouder tegenover ANP: "Er zijn ook lekken die niet gemeld worden. Dat is veel ernstiger, maar we weten niet hoeveel dat er zijn. We gaan er meer aandacht aan besteden dat mensen echt moeten melden. Het kan niet zo zijn dat organisaties die een lek wel melden een zondebok worden en organisaties die het niet melden ermee wegkomen".

Darktable 2.4.0 is uitgekomen en daarmee is de gratis fotobewerkingssoftware nu ook beschikbaar voor Windows. Het opensource-alternatief voor Lightroom was voorheen alleen beschikbaar voor Linux en macOS.

In een aankondiging schrijven de makers dat de Windows-versie nog niet helemaal compleet is. Zo ontbreekt de mogelijkheid om te printen en om gebruik te maken van tethering moeten er speciale drivers geïnstalleerd worden. Het Darktable-team zegt echter vanaf nu Windows te zullen ondersteunen. De port werd al lange tijd verwacht.

Darktable is een programma voor het bewerken van rawbestanden uit camera's. Het wordt door velen gezien als een gratis en opensource-alternatief voor Lightroom van Adobe. De eerste versie van Darktable verscheen in 2009. Darktable 2.4.0 is te downloaden via GitHub.

Nvidia heeft een nieuwe variant van de GTX 1060 gemaakt, die alleen uitkomt in China. Het gaat om een versie met de voltallige 1280 cudacores, gecombineerd met 5GB gddr5. De videokaart zou bedoeld zijn voor gamepc's in internetcafés.

De Chinese website EXPreview bracht de informatie over de nieuwe GTX 1060-variant naar buiten en toont een foto van de gpu, die voluit GP-106-350-K3-A1 heet. Gigabyte heeft op zijn Chinese website kortstondig een pagina online gezet waarop details stonden over de Gigabyte GeForce GTX 1060 5GB WindForce OC. Inmiddels is die pagina weer verwijderd, maar onder andere VideoCardz heeft de specificaties overgenomen.

De 5GB-variant heeft een 160bit-geheugenbus, waarmee de geheugenbandbreedte uitkomt op 160GB/s. Dat is 32GB/s lager dan bij de GTX 1060 met 6GB, die een 192bit-geheugenbus heeft. Op de hoeveelheid geheugen en de geheugenbus na, zijn de specificaties van de videokaart gelijk aan de Windforce OC-variant van de GTX 1060 met 6GB.

Het 5GB-model zal goedkoper aangeboden worden, maar het is niet bekend wat het verschil in prijs is. Volgens EXPreview wordt de kaart alleen in grote oplages verkocht en is deze bedoeld voor internetcafés in China.

Het is de vierde uitvoering van de GTX 1060 die Nvidia maakt. Aanvankelijk verscheen de versie met 6GB gddr5 en kort daarna kwam er een variant met minder cudacores en 3GB gddr5. Dit jaar kwamen er 6GB-varianten met sneller 9Gbit/s-geheugen.

LG heeft een speaker met Google Assistant aangekondigd. Daarnaast komt de fabrikant met meer apparatuur die overweg kan met spraakbesturing via de speaker. Als voorbeeld noemt LG een luchtreiniger.

Om de luchtreiniger aan te sturen moeten gebruikers zeggen "OK Google, talk to LG, turn on the air purifier". Het commando 'talk to LG' wijst erop dat dit een tussenstap is om Google Assistant te laten communiceren met andere apparaten van de Zuid-Koreaanse fabrikant.

Vermoedelijk gaat het om producten in de nieuwe ThinkQ-serie. Vorige week maakte LG bekend die naam te gaan gebruiken voor smarthomeapparaten die gebruikmaken van kunstmatige intelligentie en met elkaar kunnen communiceren.

LG plaatst de smarthomespeaker ook in de ThinkQ-serie. Specificaties zijn nog niet bekendgemaakt en het is nog niet duidelijk hoe groot de speaker is. De fabrikant claimt dat de speaker een hoge geluidskwaliteit heeft, met dank aan audiotechnologie van Meridian. Meer details over de speaker en andere ThinkQ-apparatuur worden vrijgegeven tijdens de CES-beurs, die begint op 9 januari in Las Vegas.

Rotterdam overweegt de inzet van een augmentedreality-game om inwoners meer te laten bewegen. Volgens wethouder Sven de Langen wordt momenteel onderzocht of met een dergelijke game ook daadwerkelijk veel Rotterdammers kunnen worden bereikt.

Het idee voor de game kwam naar voren tijdens de Health Innovation Challenge die in oktober werd gehouden. De wethouder legt uit tegenover De Telegraaf dat het gaat om een app die gebruikmaakt van augmented reality net zoals Pokémon Go, gamificatie en belonen door met elkaar te sparen voor 'producten of activiteiten'.

Volgens de Telegraaf liep de gemiddelde sportdeelname in Rotterdam jarenlang fors achter op het landelijk gemiddelde en is de bewegingsarmoede in sommige achterstandswijken nog enorm. Wethouder De Langen zegt tegen de krant dat het verkleinen van gezondheidsverschillen in de stad een belangrijk doel is van het Rotterdamse gezondheidsbeleid.

De game zou voor alle leeftijdsdoelgroepen ingezet kunnen worden. Concrete details over het spel zijn er nog niet. Momenteel wordt volgens de wethouder onderzocht of het een 'toepasbare innovatie' is en of er veel Rotterdammers mee bereikt kunnen worden.

Pokémon Go verscheen in de zomer van 2016 en bracht wereldwijd veel mensen op de been. Niantic werkt samen met Warner Bros. Interactive inmiddels aan een nieuwe ar-game rondom Harry Potter. Dat spel, Wizards Unite, komt in 2018 uit.

Het succes van Pokémon Go inspireerde eerder al de Nederlandse politie. In oktober werd bekendgemaakt dat er gewerkt wordt aan Automon, een app waarbij spelers foto's maken van kentekens, die de politie vervolgens wil gebruiken om gestolen auto's op te sporen.