Er zijn afbeeldingen en specificaties opgedoken van de nog onaangekondigde BlackBerry Key2 LE. De Light Edition van de al eerder uitgebrachte Key2 heeft een iets ander design en moet vooral minder geld kosten dan zijn voorganger.

De afbeeldingen zijn online gezet door Android Police, die ze van een niet nader genoemde bron heeft gekregen. Het toestel, dat door TCL wordt gefabriceerd, krijgt net als de Key2 een toetsenbord onder het scherm, maar zou volgens de bron van Android Planet geen trackpadfunctionaliteit hebben. Ook de snelkoppelingstoets lijkt te ontbreken.

Verder stelt de site dat de Key2 LE een Snapdragon 636-soc krijgt, vergezeld van 4GB ram. De accu heeft een capaciteit van 3000mAh, wat minder is dan de 3500mAh in de Key2. Voor het maken van foto's is er een 13-megapixelcamera aan de achterkant en een 5-megapixelcamera aan de voorkant. Het scherm is met 4,5" en 1080x1620 pixels vergelijkbaar met zijn voorganger, en de behuizingen hebben daardoor ook grofweg dezelfde afmetingen.

Dat de Key2 LE in ontwikkeling is, was al geen verrassing meer. De Amerikaanse telecomautoriteit FCC bevestigde namelijk het bestaan van het apparaat. Aangezien de Key2 LE dus al door de keuring is gekomen, is het aannemelijk dat de officiële aankondiging binnenkort volgt. Wat het toestel moet gaan kosten is nog niet bekend. De Key2 kwam vorige maand uit in Nederland.

Het wordt voor Android-smartphonegebruikers die geen Samsung-toestel hebben mogelijk om Fortnite te spelen. De makers van de game hebben de registratie opengezet en binnenkort worden daardoor ook niet-Samsung-gebruikers binnengelaten.

De website 9To5Google ontdekte dat het voor Android-gebruikers mogelijk is om zich te registreren op de website van Epic Games. Spelers moeten een e-mailadres opgeven en krijgen na registratie een uitnodiging per e-mail om de installer te downloaden en de game te gaan spelen. Op de website staat ook een lijst met Android-smartphones die compatibel zijn met de game.

Fortnite Battle Royale kwam onlangs exclusief uit voor Samsung-smartphones, al gaat het nog wel om een bètaversie. Het gaat om de Galaxy S7, S7 Edge, S8, S8+ S9, S9+ Note 8, Note 9, Tab S3 en Tab S4. Epic Games had al te kennen gegeven dat het de registratie later ook open zou zetten voor andere smartphonemerken en heeft dit dus nu inmiddels gedaan.

In tegenstelling tot de meeste Android-games komt Fortnite niet uit in de Play Store van Google. Dat komt omdat Epic Games de verplichte afdracht aan Google wil voorkomen en de omzet uit de verkoop van de game dus volledig zelf wil houden. In de Play Store heeft Google inmiddels een melding geplaatst dat Fortnite niet uitkomt in de Play Store, om gamers die ernaar zoeken hierop te wijzen.

In het kader van de Def Con-beveiligingsconferentie hebben onderzoekers van het Duitse Fraunhofer de resultaten van onderzoek naar 19 apps voor het volgen van kinderen of een partner gepresenteerd. Een van de apps lekte de onversleutelde gegevens van 1,7 miljoen gebruikers.

De onderzoekers, Siegfried Rasthofer en Stephan Huber, vonden in totaal 37 lekken in de 19 verschillende apps. Het gaat om gratis Android-apps waarmee ouders bijvoorbeeld hun kinderen kunnen volgen of partners elkaar kunnen tracken. De populairste app die ze onderzochten was Couple Tracker met vijf tot tien miljoen downloads. Tijdens hun presentatie zeiden ze dat ze waarschijnlijk nog meer lekken hadden kunnen vinden, maar dat ze op een gegeven moment maar gestopt zijn met zoeken. Ze hebben hun bevindingen aan appontwikkelaars en aan Google gemeld. Uiteindelijk zijn 12 van de 19 apps uit de Play Store verwijderd, al zou Google niet direct op hun meldingen hebben gereageerd.

De meest ernstige lekken deden zich voor bij de servers aan de backend van verschillende apps. In één geval hadden de onderzoekers via sql-injectie toegang tot de onversleutelde gegevens van 1,7 miljoen gebruikers, waaronder e-mailadressen en wachtwoorden. In een ander geval gaf een verkeerd geconfigureerde Firebase-server zijn volledige inhoud prijs op het moment dat de onderzoekers een verzoek deden zonder een gebruikers-id op te geven. Aan de hand van sql-injectie op weer een andere backend waren foto's van alle gebruikers in te zien, waaronder naaktfoto's. De afbeeldingen waren niet per gebruiker apart opgeslagen.

Onder de minder ernstige kwetsbaarheden waren zaken als autorisatie aan de kant van de client in plaats van op de server en het opslaan van een voorgeprogrammeerde sleutel in de app zelf. Ook gebruikten apps niet altijd een versleutelde verbinding naar de server, waardoor informatie eenvoudig te onderscheppen was. Daar komt bij dat de apps doorgaans een mogelijkheid bieden om de locatie van gebruikers door te sturen. Daarom hoorde in sommige gevallen het in real time volgen van gebruikers ook tot de mogelijkheden die de onderzoekers ontdekten. Dit was een van de voorbeelden die ze met behulp van een demo toonden. Ze hebben hun bevindingen op hun website gedetailleerd beschreven.

Spotify is bezig een nieuwe functionaliteit te testen waarbij gebruikers die via de gratis versie luisteren, de mogelijkheid krijgen om advertenties over te slaan. Dit kunnen zij doen zo vaak zij willen, waardoor het dus niet meer verplicht is om naar reclames te kijken of te luisteren.

De nieuwe functionaliteit wordt momenteel getest in Australië en wordt bij positief resultaat wereldwijd uitgerold, zo bevestigde topvrouw Danielle Lee tegenover de website AdAge. Spotify noemt het Active Media, en gebruikers van de gratis versie kunnen daarmee zo veel en zo vaak mogelijk advertenties overslaan als zij zelf willen. Adverteerders hoeven niet te betalen voor advertenties die worden overgeslagen.

Hiermee hoopt Spotify de gratis versie van de dienst aantrekkelijker te maken, terwijl het tegelijkertijd hoopt dat voldoende gebruikers interessante advertenties horen die zij niet per se willen overslaan. Wat de voorlopige resultaten zijn van het experiment, is echter niet bekendgemaakt. De test is vorige maand van start gegaan en volgens Lee moet de wereldwijde uitrol 'binnenkort' volgen, maar die termijn werd niet nader toegelicht.

Bij de presentatie van de kwartaalcijfers vorige maand liet Spotify weten dat minder dan vijf procent van de gebruikers die luistert via de gratis versie, pogingen doet om de advertenties te omzeilen. In de cijfers meldt Spotify dat het nu 180 miljoen maandelijks actieve gebruikers heeft. Daarvan zijn er 83 miljoen met een abonnement. In het vorige kwartaal waren er 75 miljoen betalende abonnees. De omzet kwam in het afgelopen kwartaal uit op 1,27 miljard dollar, 26 procent meer dan in hetzelfde kwartaal vorig jaar. Spotify maakt nog altijd geen winst: het verlies kwam uit op 90 miljoen dollar.

Onderzoekers van het beveiligingsbedrijf Kudelski Security hebben ongeveer 210.000 rsa-privésleutels weten te achterhalen door een grote dataset met publieke sleutels te analyseren. Daarbij gebruikten ze bekende methodes, die al eerder voor hetzelfde doeleinde zijn toegepast.

De onderzoekers maakten gebruik van een techniek die bekendstaat als batch gcd, waarbij die laatste afkorting staat voor greatest common denominator, oftewel de grootste gemene deler. Omdat een rsa-sleutel aan de hand van twee of meer grote priemgetallen wordt gegenereerd, zijn er soms sleutels die eenzelfde factor delen. Batch gcd maakt hiervan gebruik om de privésleutel te achterhalen. De onderzoekers legden uit dat deze methode sneller werkt met een grotere dataset aan sleutels. Hun bedrijf is niet het eerste dat deze aanpak gebruikt, zo deed Cryptosense ongeveer hetzelfde in 2015.

Ze verzamelden allerlei verschillende sleutels, in totaal meer dan 340 miljoen in een groeiende collectie. Daarvan waren bijna 70 procent sleutels uit X.509-certificaten, die gebruikt worden voor het beveiligen van https-verbindingen. Die vonden ze door een eigen scanner te gebruiken. Iets minder dan een derde van de verzameling bestaat uit ssh-sleutels, waarvan de ruime meerderheid afkomstig is uit de bestaande CroCS-dataset en een kleiner aantal uit eigen scans. Een klein restpercentage, ongeveer drie procent, betrof pgp-sleutels. Die hadden ze in veruit de meeste gevallen verzameld via sleutelservers. Het verzamelproces strekte zich uit over de periode van een jaar.

De 210.000 met behulp van batch gcd achterhaalde sleutels waren in 207.000 gevallen sleutels van digitale certificaten, waarvan er meer dan 1400 nog in gebruik waren in het afgelopen jaar. In de meeste gevallen ging het om routers. Verder achterhaalden ze meer dan 3100 ssh-sleutels en bijna 300 pgp-sleutels. De onderzoekers keken niet alleen of de sleutels kwetsbaar waren voor batch gcd, maar ook voor een aanval die bekendstaat als Roca.

Deze maakt het mogelijk de privésleutel aan de hand van de publieke sleutel te achterhalen bij paren die gegenereerd zijn met bepaalde Infineon-chips. Ze vonden 4000 sleutels die hiervoor kwetsbaar waren, waarvan ongeveer een derde ook daadwerkelijk gevaar liep doordat een sleutel van 2048bit was gebruikt. De rest gebruikte 4096bit, waartegen een aanval niet interessant zou zijn.

Tijdens hun analyse kwamen de onderzoekers er ook achter dat in minstens 3400 gevallen gegenereerde sleutels voor zowel X.509-certificaten als voor pgp of ssh werd gebruikt.

Beveiligingsonderzoeker Damien Cauquil heeft op Def Con een aanval getoond waarmee hij een onbeveiligde verbinding tussen twee bluetooth low energy-apparaten kon overnemen. Deze methode werkt volgens hem op alle versies van ble.

Cauquil vertelde dat hij de mogelijkheid van zijn aanval ontdekte toen hij de bluetooth-specificaties aan het doornemen was in het kader van het schrijven van nieuwe software. Hij ontdekte een functie genaamd supervision timeout, waarbij de verbinding tussen twee apparaten, bijvoorbeeld een telefoon en een smartwatch, na verloop van tijd verbroken wordt als er geen geldige pakketten meer tussen de apparaten worden uitgewisseld. Die functie wordt zowel gebruikt bij het centrale apparaat, in dit voorbeeld de smartphone, en het randapparaat.

Hij wist de aanwezigheid van deze mogelijkheid om te zetten in een aanval, door specifieke pakketten die door het randapparaat worden verstuurd te blokkeren door middel van jamming. Op een gegeven moment valt dan de verbinding uit vanwege de van tevoren bepaalde time-out. Vervolgens kon hij zelf verbinding maken met het randapparaat en zo de verbinding overnemen. Volgens de onderzoeker moet een aanvaller zich wel binnen bereik van het apparaat bevinden, op een maximale afstand van ongeveer vijf meter. In de toekomst zou deze afstand mogelijk nog groter kunnen worden door verbeteringen binnen bluetooth.

Zijn aanval op de kwetsbaarheid, aangeduid met CVE-2018-7252, is mogelijk bij versies 4, 4.1, 4.2 en 5 van ble. Hij heeft zijn aanval Btlejack genoemd. Er zijn wel tegenmaatregelen te nemen, zoals het gebruikmaken van een beveiligde bluetoothverbinding of het verifiëren van verkeer op applicatieniveau. Dit zou echter aan fabrikanten zijn om te implementeren. Hij demonstreerde zijn aanval op een drone en op een seksspeeltje.

Voor de aanval gebruikte hij zelfontwikkelde software, die eveneens de naam Btlejack draagt en op GitHub te vinden is. Ook deelde hij de hardware die hij voor de aanval gebruikte. Die bestond uit vier micro:bits die met behulp van een ClusterHat v2 waren gegroepeerd in een cluster.

NASA is er zondagochtend in geslaagd om de Parker Solar Probe te lanceren. Nadat de lancering op zaterdag moest worden afgeblazen, ging het op zondag volgens plan. Op moment van schrijven zet het ruimtevaartuig koers naar de zon.

De lancering vond om 9:31 Nederlandse tijd plaats op Cape Canaveral in Florida, met een Delta IV-raket van United Launch Alliance. Waar de lancering zaterdagochtend nog moest worden stopgezet door problemen met de raket, werden er zondag geen problemen gedetecteerd.

Op moment van schrijven is de raket al ver boven de aarde en zien alle systemen er goed uit en zijn de eerste, tweede en derde trap al van de raket losgekoppeld, waardoor nu alleen nog de Parker Solar Probe onderweg is naar de zon. NASA gaat proberen de zonnepanelen te ontvouwen waardoor het ruimtevaartuig zelfstandig energie kan opwekken tijdens zijn missie.

De Parker Solar Probe gaat onderzoek doen naar de zon, onder meer naar de zonnewind en andere effecten van 'ruimteweer'. Meer kennis hierover moet er onder andere voor zorgen dat er betere manieren worden bedacht om astronauten te beschermen tegen deze effecten. Een van de vragen die NASA zich stelt, is waar de zonnewind vandaan komt, en hoe deze snelheden bereikt van bijna 3 miljoen kilometer per uur.

NASA heeft het ruimtevaartuig vernoemd naar Eugene Parker, de Amerikaanse wetenschapper die in 1958 het bestaan van de zonnewind voorspelde. Pas later werd door observaties van deeltjes afkomstig van de zon, bevestigd dat het fenomeen zonnewind daadwerkelijk bestaat.

Spelers die andere spelers van Fallout 76 zonder reden aanvallen, worden door ontwikkelaar Bethesda Games Studios flink gestraft. Ze komen tijdelijk bekend te staan als wanted murderers, waarna iedereen ze op de kaart kan zien.

In een vragensessie tijdens QuakeCon 2018 gaf Bethesda Game Studios uitleg over Fallout 76, de online versie van Fallout die in november op de markt moet komen. In Fallout 76 is elke persoon die in de game rondloopt een andere speler. Dat wil zeggen dat er de mogelijkheid is om met andere spelers samen te werken, maar ook om elkaar te lijf te gaan. Game director Todd Howard legde in de vragensessie uit dat het team dat niet geheel wil voorkomen, maar wel wil bestraffen. Spelers kunnen een duel met elkaar aangaan, maar als een speler niet wil duelleren en toch wordt aangevallen, wordt de aanvaller flink gestraft. Als de speler die niet wil vechten door de ander gedood wordt, komt de aanvaller te boek te staan als wanted murderer.

De moordenaar krijgt het zwaar, stelt Howard. Hij krijgt geen beloning voor zijn kill en wint er dus niets mee. Hij loopt echter wel een groot risico. De speler zal tijdelijk als rode stip opduiken op de landkaart van alle andere spelers, zodat iedereen kan zien waar de speler zich ongeveer bevindt. Er wordt bovendien een beloning op het hoofd van de moordenaar gezet, die betaald wordt uit de geldvoorraad van de moordenaar.

Howard legde ook uit wat er gebeurt als een speler doodgaat in de game. De speler verliest dan de Junk die hij bij zich draagt. Geen geld of andere waardevolle voorwerpen, maar enkel de Junk. Die Junk blijft liggen als de speler respawnt. De Junk kan door alle spelers opgepakt worden. Om die reden komen er veel punten in de spelwereld waar spelers hun verzamelde Junk kunnen opslaan. Respawnen kan vlak bij het lichaam en bij Vault 76, het startpunt van de game. Daar is het gratis. Spelers kunnen ook op andere plaatsen respawnen, maar dan kost het geld.

Howard legde daarnaast uit hoe het opwaardeersysteem in de game werkt. Dat is nog steeds gebaseerd op Special, met de onderdelen Strength, Perception, Endurance, Charisma, Intelligence, Agility en Luck. Spelers verdienen tijdens het spelen van de game bepaalde speelkaarten. Als spelers in level stijgen, kunnen ze vervolgens punten toekennen aan elk van de Special-categorieën en het aantal punten bepaalt hoeveel van de verdiende speelkaarten ze in die categorie kunnen plaatsen. Speelkaarten kunnen bovendien samengevoegd worden om een sterkere variant van die kaart te produceren.