Kojima Productions en 505 Games brengen Death Stranding op 23 augustus uit voor de PC Game Pass en de overkoepelende Ultimate-variant. Het spel is via Microsofts abonnement dus alleen voor pc-gamers beschikbaar, niet voor gebruikers op een Xbox-console.

De game is via het gameabonnement van Microsoft vanaf dinsdagnacht beschikbaar op systemen met Windows 10 en 11. Microsoft laat weten dat de pc-versie onder meer de ultrawide- en fotomodus bevat, alsmede ondersteuning voor een hoge framerate en enkele exclusieve in-game items.

Hideo Kojima's Death Stranding kwam eind 2019 uit voor de PlayStation 4 en werd daaropvolgend in juli van 2020 voor de pc uitgebracht. In september van 2021 werd er een PlayStation 5-variant van de game op de markt gebracht. Death Stranding werd in eerste instantie door Sony uitgegeven en kwam later onder 505 Games naar de pc. Vermoedelijk is de game vanwege Sony niet voor Xbox-consoles beschikbaar, ondanks de introductie in de Game Pass-catalogus. Verreweg de meeste games die via de dienst speelbaar zijn, worden voor zowel de Xbox-consoles als de pc uitgebracht.

In Death Stranding kruipen spelers in de huid van Sam, een koerier in een apocalyptische, psychedelische versie van de Verenigde Staten. Het spel werd gerenommeerd om de unieke gameplay- en verhaalelementen. Volgens de hoofdrolspeler Norman Reedus is er ondertussen een vervolg in ontwikkeling, al zijn daar nog geen officiële details over bekend.

De Britse overheid heeft details van een nieuwe wet onthuld waardoor autonome voertuigen vanaf 2025 toegestaan zijn op de openbare weg in het Verenigd Koninkrijk. In het geval van een ongeluk wordt de fabrikant van de auto wel aansprakelijk gesteld, niet de eventuele 'bestuurder'.

De plannen van het Verenigd Koninkrijk zijn bedoeld om enerzijds 'volledig te profiteren van de opkomende markt van zelfrijdende voertuigen', maar zijn ook gericht op een veilige toepassing van de technologie. Mede daarom wordt er omgerekend ruim 117 miljoen geïnvesteerd in de sector. Op het moment van schrijven is grofweg een derde van dat bedrag al toegezegd voor onderzoek naar hoe zelfrijdende auto's presteren, bijvoorbeeld bij slechte weersomstandigheden of in combinatie met voetgangers, andere voertuigen en fietsers.

Verder zegt de Britse overheid nadrukkelijk dat fabrikanten aansprakelijk worden gesteld voor eventuele ongelukken. "De wetgeving borduurt voort op bestaande wetten en stelt dat fabrikanten verantwoordelijk zijn voor de acties van zelfrijdende voertuigen. Met andere woorden, een menselijke bestuurder is niet aansprakelijk voor incidenten tijdens het rijden zolang het voertuig autonoom opereerde."

Vooralsnog zijn zelfrijdende voertuigen niet toegestaan in het Verenigd Koninkrijk. Volgens het ministerie van Transport zouden bepaalde autonome voertuigen zoals bussen en vrachtwagens al vanaf 2024 op snelwegen te vinden kunnen zijn.

Samsung investeert 20 biljoen Koreaanse won, omgerekend bijna 14,9 miljard euro, in een nieuwe onderzoekslocatie voor onderzoek naar en de ontwikkeling van halfgeleiders. De investering vindt plaats gedurende een periode van zo'n zes jaar.

De nieuwe r&d-locatie maakt onderdeel uit van de Giheung-campus, gelegen in de Zuid-Koreaanse provincie Gyeonggi, waar ook de hoofdstad Seoul ligt. De locatie moet vanaf 2025 in gebruik genomen worden en wordt ruim 100.000 vierkante meter groot.

"Ons nieuwe r&d-complex moet een hub voor innovatie worden waar talenten van over heel de wereld samenkomen om te groeien", aldus topman Kye Hyun Kyung in een persbericht. De locatie moet Samsung naar eigen zeggen helpen om door te groeien in de halfgeleiderindustrie.

De Giheung-campus dient al zo'n veertig jaar als een van de belangrijkste locaties voor Samsung. Op dezelfde plek werd bijvoorbeeld in 1992 voor het eerst dram van 64Mb gemaakt. "Als we toen geen gewaagde investeringen in r&d hadden gedaan, had Samsung vandaag de dag geen onderdeel van de halfgeleiderindustrie uitgemaakt."

Naast Kye waren er veel andere hooggeplaatste Samsung-topmannen aanwezig bij de ceremonie op de locatie. Het meest opvallende was de aanwezigheid van de voor omkoping veroordeelde ex-Samsung-president Lee Jae-yong. Lee kreeg eerder deze maand gratie nadat hij was veroordeeld voor het omkopen van de voormalige Zuid-Koreaanse president Park Geun-hye. Ondertussen is hij vice-chairman bij Samsung Electronics.

TikTok injecteert code in webpagina's van derden wanneer een gebruiker in de TikTok-app een browserpagina opent. Deze code zou onder meer kunnen dienen als een keylogger. Volgens het sociale medium wordt de betreffende code alleen voor ontwikkelingsdoeleinden gebruikt.

Ontwikkelaar en beveiligingsonderzoeker Felix Krause ontdekte dat wanneer een gebruiker een link opent in de iOS-versie van TikTok, er zich een in-app browser opent waar het sociale medium JavaScript-code in kan injecteren. Hierdoor zouden met het toetsenbord ingevoerde gegevens, waaronder wachtwoorden, betalingsinformatie en andere gegevens, geregistreerd kunnen worden. Hij onderzocht niet of dit ook het geval is voor de Android-variant van de applicatie.

TikTok bevestigt tegenover Forbes dat de JavaScript-code inderdaad aanwezig is, maar dat de berichten over een vermeende keylogger misleidend zijn. Het omstreden stuk code zou een ongebruikt onderdeel van een sdk van een derde partij zijn. "Zoals andere platformen gebruiken wij ook een in-app browser om een optimale gebruikerservaring te bieden. De betreffende JavaScript-code wordt gebruikt voor debugging, troubleshooting en het monitoren van de prestaties van de applicatie, bijvoorbeeld voor het checken van de laadsnelheid van een pagina en of de pagina crasht."

Het keyloggergedeelte van de code van de sdk van een derde partij zou dus niet gebruikt worden. Het is niet duidelijk wie deze derde partij is en of zij daadwerkelijk een keylogger nodig zou hebben voor ontwikkelingsdoeleinden. TikTok suggereert verder dat bepaalde geregistreerde data alleen lokaal op het apparaat verwerkt wordt en niet doorgestuurd wordt naar servers van het sociale medium.

De onderzoeker zegt in zijn bevindingen, die overigens aansluiten bij de eerdere ontdekking van tracking door Instagram en Facebook in in-app browsers, dat het statement van TikTok eventueel zou kunnen kloppen. "Dat een app JavaScript in externe websites injecteert, betekent niet per definitie dat de app iets kwaadaardigs doet. Er is geen manier om te weten wat voor data een in-app browser precies verzamelt en of deze data doorgestuurd dan wel gebruikt wordt."

Het is dus geen gegeven dat TikTok inderdaad de toetsenbordinput van gebruikers registreert, laat staan naar zijn eigen servers stuurt of anderszins opslaat. Wel is het zo goed als zeker dat dit mogelijk zou zijn. Om die reden is het volgens Krause verstandig om browserlinks via TikTok, maar ook via Facebook en Instagram, te kopiëren en direct in een vertrouwde browser te plakken. Op deze manier kunnen de betreffende applicaties geen code injecteren om op deze manier gevoelige data te registreren.

DJI gaat zijn Mavic 3-drone een update gegeven waardoor hij een C1-certificaat krijgt. Volgens DJI zelf zal het de eerste drone ter wereld zijn met dit certificaat. Zonder dergelijke certificaten gelden zeer strenge beperkingen voor drones in de EU vanaf 2024.

DJI schrijft dat de Mavic 3 de betreffende update in het vierde kwartaal van dit jaar moet ontvangen. Hoewel het zeker vanaf 2024 bepaalde vrijheden biedt voor eigenaren van de Mavic 3 om dit certificaat te hebben, blijken er ook beperkingen aan te zitten. Er wordt namelijk vermeld dat de maximale afstand die de drone in ActiveTrack-modus tot zijn subject bewaart, 50 meter wordt. Wie er de handleiding van de Mavic 3 bij pakt, ziet dat dit tot dusver maximaal 100 meter is.

Een andere verandering in het gedrag van de drone zal zijn dat de auxillary-leds automatisch aan- of uitgeschakeld worden 'op basis van de omgeving'. Daarnaast zullen de leds aan de voorkant van de drone altijd knipperen als het voertuig aan staat. Wel zegt DJI van deze wijzigingen aan het gedrag dat ze 'automatisch geactiveerd worden in de Europese Economische Gemeenschap', dus het valt te concluderen dat men daarbuiten dus wél op 100 meter afstand kan blijven vliegen in ActiveTrack.

Wie verder aan de nieuwe EU-dronewetgeving wil voldoen, moet ook zijn operator ID in de drone invoeren, zodat het toestel deze uitzendt tijdens vluchten. Daarnaast moet er een sticker met C1-kenmerk op de drone komen. Tot slot is ook registratie bij DJI onderdeel van het proces, maar dat is wel kosteloos.

Drones zonder een zogenaamd Cx-label worden na 1 januari in de categorie Open A3 geplaatst. Daar gelden de meeste beperkingen voor van alle Open-categorieën, zoals een verplichte minimumafstand van 150 meter van mensen en bebouwing. Dankzij zijn C1-certificaat mag de Mavic 3 ook na het definitief ingaan van de nieuwe dronewetgeving in de buurt van mensen komen, maar alleen niet direct erboven.

De nieuwe dronewetgeving is op het eerste gezicht zeker niet simpel te noemen. Het is een stelsel van regels die zaken bepalen voor oude en nieuwe drones, nu en in de nabije toekomst. Een voordeel van de nieuwe regelgeving is wel dat de regels nu in heel de EU eenduidig zijn, dus als een gebruiker de regels in Nederland kent, kent hij ze, afgezien van landspecifieke aanvullingen, ook op vakantie in een ander EU-land.

De DJI Mavic 3 is een drone uit 2021 met twee camera's, waaronder een telelens. De 5000mAh-accu biedt een vliegtijd van maximaal 46 minuten. De maximale hover-tijd is 40 minuten en de drone weegt 895 gram. De standaardversie van de Mavic 3 kost 2099 euro en bevat de drone en een controller. Op het moment van schrijven is alleen het Fly More-combipakket van de drone in de Pricewatch beschikbaar. Die bevat onder meer extra accu's en een laadhub. Dit pakket kost rond de 2600 euro.

Veel oude Galaxy S-toestellen krijgen nu of binnenkort naar verluidt een update die de stabiliteit van de gps moet verbeteren. Toestellen vanaf de Galaxy S6 uit 2015 tot en met de S9 uit 2018 zouden de update krijgen. De ondersteuning voor deze toestellen stopte jaren geleden.

Galaxy Club zegt op Samsungs firmwareservers vermeldingen te hebben gevonden voor de updates. De update voor de S7, S7 Edge en S8 zou al zijn verschenen. Voor de S7-telefoons zou het de eerste update zijn sinds november 2020. De patch bevat volgens de site geen verdere verbeteringen aan de beveiliging.

Wanneer de updates voor de S6 en de S9 moeten verschijnen, is niet duidelijk. Ondersteuning voor de S9-serie stopte in april dit jaar. Deze smartphones verschenen in 2018 voor het eerst. Het is niet voor het eerst dat Samsung telefoons buiten de ondersteuningsperiode updatet, dat deed het bedrijf bijvoorbeeld eind vorig jaar met een beveiligingsupdate voor de S8-telefoons.

Samsung hanteerde voorheen een ondersteuningsperiode van drie jaar, al was dit in de praktijk bij de S9 vier jaar. Het bedrijf gaat bepaalde smartphones nu vijf jaar lang van updates voorzien. Die vijf jaar gelden alleen voor beveiligingsupdates. Daarnaast belooft Samsung vier Android-upgrades.

Snap, bekend van Snapchat, staakt de verdere ontwikkeling van zijn Pixy-selfiedrone, aldus The Wall Street Journal. De drone zou nog wel te koop zijn, maar er vindt geen ontwikkeling meer plaats van updates of een mogelijke opvolger. De drone werd in april jongstleden onthuld.

De krant schrijft dat Snap bezig is met een 'herprioritering van de middelen van het bedrijf', zoals Snap-ceo Evan Spiegel het omschrijft in een gesprek met personeel. Het bedrijf heeft in juli het zwakste kwartaal uit zijn bestaan afgerond. Snap-aandelen verloren 40 procent van hun waarde toen dat nieuws naar buiten kwam.

De Pixy-drone is een autonoom voertuigje dat gemaakt is om selfies van de gebruiker te maken. Het kan hem of haar in beeld houden, volgen, omcirkelen of van een afstand filmen om de omgeving ook vast te leggen. De gebruiker heeft dus geen afstandsbediening, maar plaatst de drone op zijn handpalm. De drone herkent met de camera aan de voorkant het gezicht van de gebruiker, waarna hij kan opstijgen. Met behulp van een camera aan de onderkant houdt hij zichzelf stabiel.

De Snap Pixy heeft een accu waarmee hij vijf tot acht vluchten moet kunnen maken voordat die leeg is. Op de 16GB aan flashgeheugen passen 100 video's of 1000 foto's en de drone zendt zijn beelden via bluetooth naar de Snapchat-app van de eigenaar. De drone heeft in de VS een vanafprijs van 229 dollar.

The Wall Street Journal stelt dat de drone nog steeds te koop is bij Snap en dat hij dat ook blijft, hoewel het er op het moment van schrijven op lijkt dat de drone niet op voorraad is; er is geen koopknop, maar alleen een 'hou me op de hoogte'-knop.

Een ander bekend hardwareproduct van Snap zijn de Spectacles. Dat zijn brillen met ingebouwde camera's. Die lijken in ieder geval beter in de markt te liggen; de derde generatie daarvan werd in 2019 geïntroduceerd en is op het moment van schrijven wel verkrijgbaar.

Google zegt dat het zoekresultaten met een goede ranking voor seo, of search engine optimization, maar weinig inhoud minder hoog gaat weergeven in zijn zoekmachine. Ook komt het bedrijf met een update die goede, originele recensies beter vindbaar moet maken.

Google schrijft dat de update impact zal hebben op de zichtbaarheid van zoekresultaten die 'aanvoelen alsof ze niet gemaakt zijn door of voor een mens' en in plaats daarvan 'ontworpen zijn om alleen hoog te scoren op zoekmachines'. De update moet Googles zoekresultaten verbeteren op meerdere gebieden, zoals online onderwijs, kunst, entertainment, online winkelen en technologie. Daarbuiten zouden de verbeteringen ook merkbaar moeten zijn, maar dit zouden de meest prominente thema's zijn waarbinnen resultaten verbeterd worden.

Hoe Google zijn resultaten precies verbetert, meldt de zoekgigant niet. Wel schrijft het bedrijf in algemenere zin dat het altijd werkt aan het verbeteren van zijn zoekresultaten door middel van zijn eigen tests en de input van mensen die de zoekresultaten reviewen. De internetgigant zegt dat de verbeterde zoekresultaten vanaf volgende week wereldwijd gefaseerd geïntroduceerd worden en dat ze daarmee beginnen met 'Engelstalige gebruikers'.

Wat betreft verbeteringen aan de vindbaarheid van recensies, moet een update ervoor zorgen dat het 'nog makkelijker wordt om originele reviews van goede kwaliteit te vinden'. Deze update volgt ergens in de komende weken en Google zegt hierbij niets over een beperking tot een bepaalde taal.

Update, 21.25 uur: In het oorspronkelijke bericht werd gesuggereerd dat de betreffende update voor Engelse gebruikers uitkomt. Google laat daarentegen weten dat de update wereldwijd voor Engelstalige gebruikers uitkomt. Het bericht is aangescherpt. Met dank aan richy3908.

Gameontwikkelaar Blizzard bevestigt in een blogpost dat zijn aankomende game Diablo IV geen pay2win-elementen zal bevatten. De aankondiging volgt kort op de release van de van origine mobiele game Diablo Immortal, die juist veel van dergelijke elementen bevat.

Diablo IV krijgt een systeem van contentseizoenen en nadat een seizoen voorbij is, worden personages overgezet naar de zogenaamde Eternal Realm, samen met alle andere personages uit voorgaande seizoenen. Dat ontwerp, samen met een limiet op de te verdienen Paragon Points in de game, moet 'verzekeren dat jouw inzet en jouw vaardigheden [...] bepalen hoe krachtig je personage wordt'. Verder stellt het bedrijf dat je 'niet zal kunnen betalen voor kracht in Diablo IV'.

Blizzard deed in 2019 ook uitspraken over wat wel en niet in de Shop te koop zou zijn en zei te verwachten dat het beperkt zou zijn tot cosmetics. Toen hield de ontwikkelaar nog een slag om de arm door te zeggen dat het 'nog vroeg' was om dat soort plannen definitief te maken. Nu maakt Blizzard duidelijk waar power vandaan komt en waar niet. De timing heeft wellicht te maken met de manier waarop Diablo Immortal daarmee omging en hoe fans daarop reageerden.

Diablo Immortal kwam eerder dit jaar uit voor Android, iOS en Windows. Hoewel de gameplay niet per se veel kritiek kreeg, was het gamepubliek bijzonder kritisch over de pay2win-elementen in die game. Om het hoogste niveau uitrusting te bemachtigen, zouden spelers tienduizenden euro's aan lootboxes moeten kopen. In Nederland en België is deze game niet beschikbaar. Volgens Blizzard komt dat door 'de huidige exploitatievoorwaarden in deze landen'. Het bedrijf doelt waarschijnlijk op onze wetgeving omtrent lootboxes.

Dat betekent overigens niet dat men in Diablo IV helemaal niet de kans krijgt de portemonnee te trekken. De zogenaamde premium currency is namelijk weer van de partij. Deze valt via echt geld te bemachtigen en kan gebruikt worden voor cosmetische upgrades.

Verder meldt Blizzard te verwachten dat er vier Diablo IV-seizoenen per jaar worden uitgebracht. Die introduceren nieuwe features, quests, vijanden, legendarische items 'en meer'.

LG heeft in de Verenigde Staten een nieuwe firmware-update uitgebracht voor specifiek de C2- en G2-oled-tv's. Meerdere websites en gebruikers melden dat hiermee de Dolby Vision Precision Detail-optie nu beschikbaar is. Ook zou de near black handling zijn verbeterd.

Het betreft firmwareversie 03.20.24 voor de LG G2 en C2. Deze is vooralsnog alleen op de Amerikaanse ondersteuningspagina's van de officiële LG-website te vinden, maar de update komt al wel beschikbaar als ota-update. De meest in het oog springende vernieuwingen zijn een geclaimde verbetering van de weergave van details in donkere, bijna zwarte beelden en de toevoeging van de Dolby Vision Precision Detail-optie.

Precision Detail is een functie waarbij volgens LG de contentinformatie wordt geanalyseerd om de helderheid en het contrast te verbeteren. Volgens de fabrikant leidt dit tot meer zichtbaar detail in elementen zoals wolken, rotsen, zand, water en sneeuw. Dit vergt de nodige rekenkracht en dat betekent dat de aanwezigheid van de Alpha 9 Gen 5-processor nodig is; die zit in de LG C2, G2 en ook in de Z2 8K-oled-tv. Dit laatstgenoemde model zal vermoedelijk op een later moment Precision Detail-ondersteuning krijgen.

Volgens gebruikers op het AVSForum is deze functie niet beschikbaar in de Cinema-beeldmodus, maar wel in de geavanceerde instellingen van de Cinema Home-beeldmodus. Er zijn gebruikers die spreken over een merkbare verbetering, maar er zijn ook reacties die spreken over een beeld dat in zijn geheel helderder wordt. De Cinema Home-modus wordt gezien als een helderdere modus dan de reguliere Cinema-modus; in combinatie met de Precision Detail-functie moet de verhoogde helderheid van Cinema Home gepaard gaan met het zien van meer details die anders minder zichtbaar zouden zijn.

LG schreef eerder dit jaar dat Precision Detail beschikbaar zou komen als onderdeel van een Dolby Vision IQ-update. Dat laatstgenoemde betreft een bestaande feature voor het aanpassen van de Dolby Vision-weergave aan de hand van de lichtomstandigheden in de kijkruimte. De Precision Detail-optie lijkt echter zelfstandig te werken als Dolby Vision-content wordt afgespeeld, zonder dat het in combinatie met de lichtsensor van de Dolby Vision IQ-functie hoeft te werken.

De fabrikant voegt met de nieuwe firmware nog andere verbeteringen toe, zoals een aangepaste Cinema-beeldmodus die eerder tot een te heldere weergave leidde. Verder is de AV1-bitrate verhoogd naar 60Mbit/s, al betreft dit enkel het gebruik van de interne mediaserver.

Quake Champions verlaat Early Access, vijf jaar nadat de game voor het eerst uitkwam. Volgens de ontwikkelaar is de game goed op stoom en zou daarom nu het moment zijn om de game volledig uit te brengen.

Quake Champions kwam in 2017 uit en ging in 2018 over op een free-to-playmodel. Tegenover IGN stelde community developer Josh Boyle destijds dat de game op 'van kruipen bij de eerste release naar lopen [bij de f2p-overgang]' was gegaan. Toch zou een daadwerkelijke release, zonder Early Access-stempel, moeten wachten tot 'de game echt in een sprint zit'. Volgens de redenering van Boyle is dat moment nu dus aangebroken.

Quake Champions wordt op de Steam-pagina omschreven als 'Quake III Arena met een twist'. Die twist zijn de Champions: specifieke personages met ieder andere eigenschappen en speciale krachten. Zo heeft de van het origineel bekende Anarki de mogelijkheid om zichzelf een health-injectie te geven en kan hij met zijn hoverboard behendiger bewegen in de lucht. Ranger kan weer korte afstanden teleporteren en richt bij zichzelf minder schade toe bij bijvoorbeeld een rocket jump. De game heeft spelmodi als deathmatch, team deathmatch, capture the flag, instagib en meer specifieke modi.

Direct na het verlaten van Early Access had Quake Champions een piek van rond de 800 gelijktijdige spelers op Steam. De afgelopen dagen lag die piek rond de 600. 71 procent van de gebruikersreviews op Steam is positief over het spel, dat ontwikkeld wordt door id Software.

Tegelijkertijd komt de populaire mod Threewave CTF naar de Quake-remaster die id Software vorig jaar uitbracht. Die bevat negen levels uit de originele mod, samen met onder andere de grijphaak en speciale runes. Dat alles wordt bekendgemaakt in het kader van de Quakecon-beurs. Daar maakt de ontwikkelaar ook bekend dat Return to Castle Wolfenstein, Wolfenstein 3D, Elder Scrolls Legends: Battlespire en The Elder Scrolls Adventures: Redguard allemaal naar Xbox Game Pass voor de pc komen.

De Nederlandse beveiligingsonderzoeker Thijs Alkemade vond een ernstige kwetsbaarheid in macOS. Het ging om een vrij doorsnee process injection, maar met een belangrijke kanttekening: hij kon er niet alleen een applicatie, maar het hele OS mee overnemen. Op hackersconferentie DEF CON vertelde hij Tweakers meer over het lek.

Alkemade werkt als securityonderzoeker bij beveiligingsbedrijf Computest. Hij presenteerde zijn bevindingen tijdens securityconferenties Black Hat en DEF CON in Las Vegas. Tweakers sprak hem daar over zijn bevindingen, vlak na een presentatie van een andere beveiligingsonderzoeker, die over DLL-hijacking in Windows sprak. Alkemade zat ook in die zaal te luisteren, vooral uit interesse. Zijn onderzoek naar een lek in macOS heeft namelijk veel weg van DLL-hijacking. "Er zit wel verschil in", zegt Alkemade. "DLL-hijacking werkt niet op macOS, omdat daar bescherming in zit. Als je een library laadt, controleert het besturingssysteem de signature daarvan; dat kun je niet zomaar overnemen." Toch lijkt de kwetsbaarheid die hij in macOS vond, veel op dat proces, legt hij uit.

Alkemade vond de kwetsbaarheid al in december 2020 en gaf dat aan via Apples bugbountyprogramma. De bug, CVE-2021-30873, werd een jaar later gerepareerd in macOS Monterey. De communicatie met Apple verliep moeizaam, zegt Alkemade. "Ze zeiden bijvoorbeeld wel dat ze het zouden oplossen, maar lieten niet weten of de bug ook in oudere versies van het besturingssysteem zat." Apples bugbountyprogramma staat bij hackers bekend als stroperig en onoverzichtelijk. Alkemade zei dat vorig jaar al tegen Tweakers. "Ze deden er nu tien maanden over om het te repareren, maar dat is voor Apple nog best snel", zegt hij. Een aanvaller kon met een succesvolle exploit toegang krijgen tot bestanden op een systeem.

Saved State

De kwetsbaarheid zit in de Saved State-functie van macOS. Dat is een feature van macOS waarmee programma's bij het starten weer de vensters kunnen openen die openstonden bij het uitzetten. De functie is het zichtbaarst in de pop-up die gebruikers zien als ze hun computer afsluiten. Daarnaast zit Saved State ook in de App Nap-feature. "Dat ziet er dan uit alsof apps gewoon nog actief zijn in de Dock, maar dat zijn ze niet", zegt Alkemade. "Als de app te lang op de achtergrond blijft en focus verliest, schrijft die zich weg naar de Saved State."

Daar komt het proces van serialisatie om de hoek kijken, legt Alkemade uit. "De meeste programmeertalen hebben ondersteuning voor binaryserialisatie, maar in veel gevallen zit daar een kwetsbaarheid in. Daardoor is het bijvoorbeeld niet veilig om geserialiseerde objecten in te laden die via het netwerk zijn ontvangen. Bij deze kwetsbaarheid is het probleem dat de app een geserialiseerd object inlaadt dat aangemaakt is door een andere app. Normaal kan een applicatie een andere applicatie niet aanpassen, omdat hier een codesignature op zit, maar door die te omzeilen is het toch mogelijk om code uit te voeren in een andere app. Dit type aanval heet process injection.

Electron vs. de rest

Proces injections zijn vaker te vinden in macOS, maar nooit zo betrouwbaar en veelvoorkomendDat is normaal mogelijk in specifieke applicaties. Zo noemt Alkemade in een blogpost Electron-apps als voorbeeld. Een aanvaller kan in dat geval alleen die ene app misbruiken. Het opvallende aan Alkemades ontdekking in Saved State is dat hij de aanval altijd kan uitbuiten, ongeacht de gebruikte app. Dat maakt een aanval een stuk betrouwbaarder en daarmee gevaarlijker. "Je ziet proces injections vaker, maar dat is dan incidenteel. Dat kan soms nuttig zijn, als je als aanvaller bijvoorbeeld een webcam wilt aanzetten of een bepaalde tool wilt deïnstalleren, maar het is niet consistent. Dat is deze kwetsbaarheid wel."

Sandbox-escape en chain

Met de process injection kreeg Alkemade het voor elkaar om uit de sandbox van macOS te ontsnappen, maar daarmee was hij er nog niet. "Eerst lukte het om bepaalde functies aan te roepen zonder argumenten, daarna mét argumenten en zo lukte er stap voor stap steeds meer, totdat ik uiteindelijk op een punt kwam waarop ik scripts kon aanroepen. Daarmee kon ik alles doen wat die applicatie ook kan." Uiteindelijk deed Alkemade er lang over om die chain te vinden, zegt hij. "Ik moest misschien wel tien stappen zetten voordat ik er was, maar dat is ook het leuke aan het proces." In zijn presentatie en blogpost beschrijft hij hoe hij na het ontsnappen uit de sandbox ook een privilege escalation moest uitvoeren door code te injecteren in een app met een specifieke entitlement. Daarna was het nodig om de System Integrity Protection, of SIP, in macOS te omzeilen. Apple repareerde de eerste sandbox-escapekwetsbaarheid overigens al in april van 2021. De latere patch maakte ook de vervolgstappen onmogelijk.

Alkemade werd vorig jaar bekend toen hij samen met zijn collega Daan Keuper de Pwn2own-hackcompetitie won. Het tweetal vond toen een bug in Zoom waarmee het mogelijk was om zonder tussenkomst van de gebruiker een sessie over te nemen. Tweakers sprak met hen over het winnen van de wedstrijd en het maken van succesvolle exploits.

YouTube gaat een watermerk tonen bij Shorts die van het platform gedownload worden, om de bekendheid van het platform bij een crosspost te vergroten. Dat doet TikTok bijvoorbeeld al langer.

Instagram geeft zelfs minder voorrang aan Reels met een watermerk van een ander platform. YouTube is zelf ook duidelijk over zijn motivatie. "We voegen een watermerk toe aan de Shorts die je downloadt zodat je kijkers op andere platformen kunnen zien dat de content die je deelt gevonden kan worden op YouTube Shorts". Het watermerk wordt nu 'uitgerold' op de desktopversie van YouTube Shorts en mobiele platformen volgen in de komende maanden. Volgens YouTube is het watermerk alleen te zien wanneer een maker een van zijn video's downloadt.

Dergelijke korte video's zijn vandaag de dag een populair format. YouTube meldde twee maanden terug dat Shorts maandelijks 1,5 miljard actieve gebruikers heeft. De grote concurrent TikTok meldde vorig jaar een miljard maandelijks actieve gebruikers te hebben. Dat vertaalt zich naar veel potentie voor advertentie-inkomsten.

Ghostbusters: Spirits Unleashed komt op 18 oktober uit voor Windows, PS4, PS5, Xbox One en Xbox Series X en S. Het spel, dat gebaseerd is op de bekende gelijknamige films, zal een asymmetrische multiplayermodus bevatten

Op Windows komt de game exclusief naar de Epic Games Store, zo meldt ontwikkelaar Illfonic. De gameplay varieert sterk tussen spoken en mensen door die asymmetrische modus. Spelers kunnen in het menselijke team gaan, dat uit vier personages bestaat, of ze kunnen het spook spelen, dat in zijn eentje handelt. In die zin doet de gameplay-opzet sterk denken aan Evolve. De mensen hebben gadgets als de PKE Meter, Particle Thrower en Ghost Trap. Het spook kan mensen immobiliseren met slijm, teleporteren en bepaalde objecten overnemen.

Sommige van de originele acteurs maken ook verschijningen, in ieder geval in de aankondigingstrailer. Dan Aykroyd en Ernie Hudson, die respectievelijk Dr. Raymond Stantz en Winston Zeddemore spelen, passeren de revue, zowel in de vorm van gedigitaliseerde gelijkenis als met hun stem.

De multiplayermodus vindt plaats in typische spookscenariolocaties als een museum, een landhuis en een gevangenis. Eerder kwam ook al naar buiten dat de game crossplay zal ondersteunen op alle platforms, wat betekent dat spelen met vrienden en matchmaking met vreemden soepeler en sneller moet gaan.