Users of iPhones and Macs must update to avoid Stagefright-like bug

By Graham Cluley

Do you remember Stagefright?

It one of the biggest Android security scares of 2015, after it was discovered that a critical bug in the operating system’s Mediaserver could mean that simply opening an email, browsing a website or receiving a media file via MMS could result in malicious code being run on your Android device.

Many millions of Android devices were thought to be vulnerable, and it was such a big deal that it stirred Google into getting more serious about how it would patch and roll-out updates to users in future.

Of course, if you were an iPhone user you couldn’t help but feel pretty smug about things.

Well, if you haven’t already done so, it’s time to wipe the smirk off your face.

Because now owners of iPhones, iPads, iMacs and MacBooks are facing their own Stagefright-like bug.

Earlier this week, Apple released patches for numerous security holes in its OS X and iOS operating systems, including five vulnerabilities that bear a chilling resemblance to Stagefright.

Just as with Stagefright, which haunted Android users, the attack works because of exploitable bugs in how Apple iPhones and Macs process image files to render a thumbnail. Vulnerabilities in that thumbnail rendering code can be exploited by a maliciously-crafted image file (including BMP and TIFF format files) to achieve remote code execution on the targeted device.

In short, a malicious hacker could email a malformed TIFF to you, or direct you to a webpage where one is embedded, or simply send it directly to your phone via MMS if they knew your number. Whatever route they took, if an attacker managed to trick your computer into rendering the malformed image, your Mac computer or smartphone would be in danger.

The exploitable flaws were discovered by researchers at Cisco’s Talos team, who noted that boobytrapped image files “are an excellent vector for attacks since they can be easily distributed over web or email traffic without raising the suspicion of the recipient.”

The good news is that Apple issued fixes for the problem earlier this week. If you have already updated your systems to iOS 9.3.3, tvOS 9.2.2, watchOS 2.2.2, and El Capitan v10.11.6 then you have done the right thing.

The further good news is that Apple users typically have a much easier time of installing updates for their chosen devices than many of their Android cousins.

Maybe you can afford to look a little bit smug after all… Just make sure that all your devices are patched before online criminals attempt to take advantage of this flaw.

http://www.welivesecurity.com/2016/07/21/users-iphones-macs-must-update-avoid-stagefright-like-bug/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

Talend opent nominatieperiode Data Masters Awards

Jaarlijks programma zet klanten in het zonnetje die data innovatief weten te gebruiken om hun bedrijfsvoering sterk te verbeteren

Talend, wereldwijd een vooraanstaand leverancier van oplossingen voor big data en cloudintegratie, heeft officieel de inzendtermijn geopend voor deelname aan zijn tweede, jaarlijkse Data Masters Awards. Dit programma zet bedrijven in het zonnetje die Talends oplossingen op een bijzondere manier gebruiken om hun organisatie wendbaarder, effectiever en datagedreven te maken. Finalisten worden gekozen uit de meer dan 1300 klanten van Talend wereldwijd. Die klanten zijn te vinden bij grote ondernemingen en private bedrijven in tal van marktsegmenten, zoals financiële dienstverlening, consumentenproducten, gezondheidszorg, maakindustrie en detailhandel. Winnaars van vorig jaar waren onder mee Citi, GE Healthcare, Hess and Travis Perkins.

Het management van Talend helpt een keuze te maken uit de ingediende voorstellen. Het beoordeelt de voorstellen op:

• Creatief en innovatief gebruik van de oplossingen;
• Schaal en complexiteit van de implementatie;
• In hoeverre de applicatie pioniert met het gebruik van big data;
• bedrijfstransformatie en aantoonbare waarde die is bereikt voor de organisatie.

De winnaars worden bekendgemaakt tijdens Talend Connect. Dit is het jaarlijkse klanten- en partnersevenement van het bedrijf. Dit jaar vindt het plaats op 17 november in Parijs. De winnaars krijgen niet alleen de welverdiende erkenning van hun innovatieve karakter, maar ook een gedenkteken en 1500 dollar die zij aan een goed doel naar eigen keuze mogen besteden.

“Elke organisatie volgt een ander pad om data waardevol in te zetten voor de bedrijfsvoering. Daarom is ons Data Masters programma zo belangrijk”, zegt Ashley Stirrup, CMO bij Talend. “Wij kijken ernaar uit om te zien op welke diverse en vernieuwende manieren onze klanten te werk gaan om werkelijk datagedreven te zijn. En we willen hun uitstekende werk belonen.”

Nominaties worden geaccepteerd tot en met 15 augustus 2016. Wie meer wil weten over de Talend Data Master Awards en het deelnameformulier willen invullen, kunnen terecht op https://info.talend.com/datamasters2016all.html.

Over Talend
De integratie-oplossingen van Talend maken het mogelijk voor informatiegedreven organisaties om direct waarde te ontlenen aan hun data. Door native ondersteuning van moderne big data platformen haalt Talend de complexiteit uit de integratiepogingen en biedt IT-afdelingen de mogelijkheid beter gehoor te geven aan de wens van de business tegen voorspelbare kosten. Met gebruikmaking van open source technologieën kunnen de schaalbare, toekomstbestendige oplossingen van Talend alle bestaande en opkomende
integratie-eisen aan. Talend is een particulier bedrijf met zijn hoofdkantoor in Redwood City, Californië. Meer informatie is beschikbaar op www.talend.com. Het bedrijf is te volgen op: @Talend.

Top tips on how to use Pokémon GO safely

By Lysa Myers

In case you’ve been living in a cave recently, and have managed to avoid being bombarded with social media posts and news stories about Pokémon GO, you can probably stop reading right now. But if you’re one of the untold millions of people around the world who have downloaded this location-based augmented reality mobile game, we’ve got a few tips for you about how to use it safely.

1. Download only from reputable app stores

Perhaps unsurprisingly, there are already malware-laden versions of Pokémon GO floating around. And these most definitely will not be the last such stories we hear. So stick with the Apple and Google app stores, and choose only the one with more downloads than just about every other app in the world.

Don’t be tempted to look elsewhere for the file if you encounter slow-downs caused by a large number of downloads. If you’re in doubt, Android users can scan the file with reputable anti-malware software.

2. Do not sign in with Google

Another difficulty caused by too many simultaneous downloads is that people have been unable to sign in directly through the Pokémon site, so the game’s developers added the ability to sign in with your Google account. The problem with this is that in the initial iOS version, this gave the app astounding levels of access to your Google account.

The latest version addresses this, but using any secondary site like Google, Apple or Facebook to login comes with privacy considerations you should weigh before agreeing.

3. Bring a buddy, stay in public places

Stories are already starting to come in about little kids wandering off into the woods and getting lost; people going places they’re not supposed to; people getting mugged, and others stumbling into traffic. Kids should be accompanied by a responsible adult, and adults should bring … well, another responsible adult.

4. Bring an extra battery

Apparently, the Pokémon app is quite the battery-vampire. This, combined with wandering off to places you may not know how to get back from, can put you in a sticky situation. It’s a good idea to bring a spare battery (and probably some snacks, water and money for a cab or bus fare) in case of an emergency.

5. Be sensible

Traveling in numbers doesn’t really ensure you won’t play while driving, cross the street without checking for traffic, or loiter creepily outside of people’s homes. Virtual monsters are not worth life and limb – or getting arrested. So don’t let the excitement of the game lure you into doing something you (or your next of kin) will regret.

It’s tempting to get swept away with new crazes, especially when the activity itself is so effective at giving you those neurochemicals that make you motivated to keep playing. In many ways the game has been a fantastic influence, with benefits such as inspiring people to exercise more and improving their mental health. With a little caution, you can get all the benefits with fewer risks.

http://www.welivesecurity.com/2016/07/18/top-tips-use-pokemon-go-safely/?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+eset%2Fblog+%28ESET+Blog%3A+We+Live+Security%29

Univadis gebruikt Talend om aanbod te verbreden

Platform voor data-integratie helpt contentbeheer te optimaliseren en gebruikersauthenticatie te versterken bij de eerste portal ter wereld voor gezondheidszorginformatie

Univadis, wereldwijd de eerste informatieportal voor de brede groep van mensen die werkzaam zijn in de gezondheidszorg, gebruikt Talend Data Fabric om de veelzijdige content meertalig te presenteren en de gebruikerstoegang sterker te beveiligen. Univadis is actief in 90 landen, waaronder Nederland. De inhoud is beschikbaar in meer dan 20 talen.

De oplossing voor Univadis is geïmplementeerd door Eulidia, een Platinum partner van Talend.

“We zijn begonnen ons technologieplatform te moderniseren, omdat de bestaande oplossing voor data-integratie te sterk verouderde”, vertelt Benoît Masson, vice president wereldwijd voor High Performance Computing (HPC) engineering bij Univadis. “We hadden een oplossing nodig om dagelijks honderden nieuwe bestanden te integreren in Univadis, verspreid over meer dan twintig talen voor onze meer dan vijftig partners wereldwijd. Tegelijkertijd wilden we onze internationale aanwezigheid vergroten van een twaalftal landen naar negentig. Dit riep aanzienlijke technische en organisatorische uitdagingen op die alleen met Talends oplossingen zijn in te vullen. Een partner als Talend kan bovendien advies geven over de gewenste technologische architectuur.”

Talend Data Fabric maakt het mogelijk voor Univadis om de import van content te standaardiseren en te automatiseren, en tegelijkertijd overzicht te houden. De oplossing van Talend bleek ideaal om verschillende tools aan elkaar te koppelen en gebruikersauthenticatie veilig te beheren, evenals vereenvoudiging van de ontwikkelarchitectuur voor de portal, informatie te beheren en deployments in de gaten te houden.

Univadis heeft al verschillende voordelen gekend als gevolg van de implementatie van Talend. Die omvatten een grotere betrouwbaarheid van het systeem, beter beheer en meer flexibiliteit. Univadis kan nu, door betere gegevensanalyses, nadenken over meer manieren om zijn content te gelde te maken. De onderneming plant de ontwikkeling van datawarehouses en een datamart om de bedrijfsgegeven nog beter te kunnen analyseren. Talend vormt ook bij deze nieuwe projecten de kern.
“Univadis is een mooi voorbeeld dat laat zien hoe de data-integratie oplossingen van Talend geschikt zijn voor de gezondheidsinstellingen die data moeten verenigen uit meerdere systemen met verschillende niveaus van betrouwbaarheid, toegankelijkheid, transparantie en kwaliteit”, zegt François Mero, senior vice president of sales, EMEA bij Talend. “Door alle aspecten te combineren van dataverwerking en -kwaliteit, maakt Talend het mogelijk voor organisaties als Univadis om de gewenste prestaties en lenigheid te krijgen die nodig zijn als antwoord op de klantvraag en groeiende uitdagingen voor het bedrijfsleven.”

Meer informatie over Talend en zijn complete portfolio aan oplossingen, inclusief de jongste versie van Talend Data Fabric, is te vinden op www.talend.com of de Talend Blog.

Over Univadis
Drukke professionals in de gezondheidszorg moeten toegang hebben tot betrouwbare, praktijk-relevante informatie die snel toegankelijk is en eenvoudig is te delen. Univadis biedt de nieuwste klinische middelen en informatie, vooraf geselecteerd rond een specialiteit, zo georganiseerd dat het bij een manier van werken past. Univadis is een service van Aptus Health. Aptus Health (AH) is een dochteronderneming van Merck & Co. Inc., opererend als MSD buiten de Verenigde Staten en Canada.  Meer informatie kunt u lezen op www.aptushealth.com

Over Talend
De integratie-oplossingen van Talend maken het mogelijk voor informatiegedreven organisaties om direct waarde te ontlenen aan hun data. Door native ondersteuning van moderne big data platformen haalt Talend de complexiteit uit de integratiepogingen en biedt IT-afdelingen de mogelijkheid beter gehoor te geven aan de wens van de business tegen voorspelbare kosten. Met gebruikmaking van open source technologieën kunnen de schaalbare, toekomstbestendige oplossingen van Talend alle bestaande en opkomende integratie-eisen aan. Talend is een particulier bedrijf met zijn hoofdkantoor in Redwood City, Californië. Meer informatie is beschikbaar op www.talend.com. Het bedrijf is te volgen op: @Talend.

Were you planning on downloading the Pokémon GO APK? Beware fake versions!

By Sabrina Pagnotta

Since 2015, thousands of aspiring Pokémon trainers have been waiting for the release of Pokémon GO, the augmented reality game that will allow players to catch hidden Pokémon’s in the real world and conquer “gyms” through the internet, traveling both physically as well as within the app itself.

For the first time, we will be able to experience what it feels like to walk through a meadow and meet a Nidoran, or find a Gengar in a cemetery, or spot a Magneton near a modern building, all of them in the wild and waiting to be caught and trained.

Niantic Inc., the game’s developer, with the support of Nintendo and The Pokémon Company, has so far only made it freely available to users in the US, Australia and New Zealand. The rest of the world will unfortunately have to wait for a global release date, which is expected to be sooner rather than later.

However, this hasn’t stopped fans of Pokémon from getting access to the game. Many have resorted to downloading the Pokémon GO APK from a link available via online forums and Facebook groups.

This is problematic. As excited as you may be in getting your hand on the game early, bypassing traditional routes is not without its shortcomings. You have to always remember that downloading apps from nonofficial repositories – such as Google Play and the App Store – entails security risks.

This game is no exception, as Proofpoint researchers recently revealed. In a company blog, they explained that they have discovered modified versions of the app that installs malware in order to spy on users and the content of their devices: “This specific APK was modified to include the malicious remote access tool (RAT) called DroidJack (also known as SandroRAT), which would virtually give an attacker full control over a victim’s phone.”

This malicious Pokémon GO APK is detected by ESET as a variant of Android/Spy.Kasandra.B.

The danger of following any piece of advice

You were probably surprised, just like us, to hear that many well-known and trusted media outlets have recommended evading the security provided by official stores by enabling application downloads from unknown sources and downloading the APK from third parties. This is not the kind of advice that a security expert would give.

Regardless of who the developer is, it is important to highlight that downloads from external sources are never a good idea because the apps have not go through the usual security controls.

These apps are often modified to include malware or remote access tools that allow anyone with malicious intentions to gain control over a victim’s device.

Cybercriminals will certainly take advantage of gamers who simply can’t wait to download the official Pokémon GO app in their region, and will hide their threats in apparently harmless archives.

Don’t fall into this trap. Instead, we recommend you wait for the official game to launch in your country. It’ll be hard, but it’s the safer option.

Meanwhile, keep your security software on your mobile device always updated; read reviews from people who have already installed the application you’re about to download; and pay careful attention to the permissions requested during installation.

Don’t forget (physical and digital) – security

With regard to digital security, as stated above, always choose official sources and read the terms and privacy policies before installing the application. The game will try to collect different kinds of data from gamers, such as their Google account information, their GPS location and travel histories, as well their email addresses.

The often-collapsed servers (with only three countries playing officially) show how massive the Pokémon GO app will be when it starts to expand. The game has already captured the imagination of those who have started to play it.

Many are transfixed, walking down the street with eyes fixed on their screens as they look for Pokémon’s, trespassing, standing in front of churches, police stations, hospitals or private homes where they have found something interesting.

Naturally, you should make sure not to walk into dangerous places, not to have your smartphone stolen, and to always carry a portable charger – this app consumes quite a lot of battery!

Such is the concern over gamers, that a police force in northern Australia has issued a warning:

For those budding Pokemon Trainers out there using Pokemon Go - whilst the Darwin Police Station may feature as a Pokestop, please be advised that you don't actually have to step inside in order to gain the pokeballs.
It's also a good idea to look up, away from your phone and both ways before crossing the street. That Sandshrew isn't going anywhere fast.
Stay safe and catch 'em all!

http://www.welivesecurity.com/2016/07/13/planning-download-pokemon-go-apk-watch-fake-versions/?utm_source=newsletter&utm_medium=email&utm_campaign=wls-newsletter-150716