<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=us-ascii">

</head>

<body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="margin: 0px; font-family: Helvetica;" class="">In this issue:</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">1. The Cyber Generation Gap</div>

<div style="margin: 0px; font-family: Helvetica;" class="">2. Android Phone Factory Reset Feature is Flawed</div>

<div style="margin: 0px; font-family: Helvetica;" class="">3. Phishing Attack List: Windows Live ID Scam</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">----------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica;" class="">1. The Cyber Generation Gap</div>

<div style="margin: 0px; font-family: Helvetica;" class="">----------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">The May issue of OUCH!, led by Guest Editor Brian Honan, is focussed on securing the cyber generation gap. Many of us have family members that may not be technically savvy and are intimidated by security.

 &nbsp;This newsletter explains how you can help those family members and any children that may be visiting them.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">Feel free to share OUCH! with anyone you want, including family, friends or as part of your security awareness program.</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class=""><a href="http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201505_en.pdf" class="">Download the issue here (.pdf)</a></div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">-------------------------------------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica;" class="">2. Android Phone Factory Reset Feature is Flawed</div>

<div style="margin: 0px; font-family: Helvetica;" class="">-------------------------------------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">An estimated 500 million Android phones don't completely wipe data when their factory reset option is run, a weakness that may allow the recovery of login credentials, text messages, e-mails, and contacts.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">In the first comprehensive study of the effectiveness of the Android feature, Cambridge University researchers found that they were able to recover data on a wide range of devices that had run factory

 reset. The function, which is built into Google's Android mobile operating system, is considered a crucial means for wiping confidential data off of devices before they're sold, recycled, or otherwise retired. The study found that data could be recovered even

 when users turned on full-disk encryption.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">The findings, published in a research paper titled

<a href="http://www.cl.cam.ac.uk/~rja14/Papers/fr_most15.pdf" class="">Security Analysis of Android Factory Resets</a>&nbsp;(.pdf), are sure to be a wake-up call for individual users and large enterprises alike. Based on the devices studied, the researchers estimated

 that 500 million devices may not fully wipe disk partitions where sensitive data is stored and 630 million phones may not wipe internal SD cards where pictures and video are often kept.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class=""><a href="http://arstechnica.com/security/2015/05/flawed-android-factory-reset-leaves-crypto-and-login-keys-ripe-for-picking/" class="">Read the story in the news</a>.</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">--------------------------------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica;" class="">3. Phishing Attack List: Windows Live ID Scam</div>

<div style="margin: 0px; font-family: Helvetica;" class="">--------------------------------------------------------------</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">Kaspersky Lab experts are warning of a

<a href="http://www.kaspersky.com/about/news/virus/2015/Live-ID-as-a-bait-Kaspersky-Lab-warns-of-a-new-scam" class="">

new scam</a> that uses Windows Live ID as bait to catch personal information stored in user profiles on services like Xbox LIVE, Zune, Hotmail, Outlook, MSN, Messenger and OneDrive.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">What appears to be a typical phishing email contains a link that goes to the actual Windows Live website, with no apparent attempt to get the victims' logins and passwords. So what's the trick?&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<ul class="">

<li style="margin: 0px; font-family: Helvetica;" class="">After following the link and authorizing the account, users receive a prompt: an application requests permission to automatically log into the account, view the profile information and contact list,

 and access a list of the users' email addresses. &nbsp; </li><li style="margin: 0px; font-family: Helvetica;" class="">Users who click &quot;Yes&quot; don't give away their login and password credentials, but they do provide their personal information, the email addresses of their contacts and the nicknames and real names of their

 friends.&nbsp; </li></ul>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class="">Scammers gained access to this technique through security flaws in the open protocol for authorization, OAuth. The collected information can be used for fraudulent purposes, such as sending spam to

 the contacts in the victim's address book or launching spear phishing attacks.&nbsp;</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class=""><a href="http://www.kaspersky.com/about/news/virus/2015/Live-ID-as-a-bait-Kaspersky-Lab-warns-of-a-new-scam" class="">Read the full story</a>.</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica; min-height: 17px;" class=""><br class="">

</div>

<div apple-content-edited="true" class="">

<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="color: rgb(0, 0, 0); font-family: Avenir; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="color: rgb(0, 0, 0); letter-spacing: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="color: rgb(0, 0, 0); font-family: Avenir; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<div style="margin: 0px; font-family: Helvetica;" class="">=======================================================================================</div>

<div style="margin: 0px; font-family: Helvetica;" class="">Read all archived Security FYI Newsletter articles and submit comments&nbsp;online&nbsp;at

<a href="http://securityfyi.wordpress.com/" class=""><span style="color: rgb(4, 46, 238);" class="">http://securityfyi.wordpress.com/</span></a>.</div>

<div style="margin: 0px; font-family: Helvetica;" class="">=======================================================================================</div>

<div style="margin: 0px; font-family: Helvetica;" class=""><br class="">

</div>

<div style="margin: 0px; font-family: Helvetica;" class=""><br class="">

</div>

Monique Buchanan<br class="">

Social Communications Specialist<br class="">

Information Systems &amp; Technology (IS&amp;T)<br class="">

Massachusetts Institute of Technology<br class="">

<a href="http://ist.mit.edu" class="">http://ist.mit.edu</a><br class="">

tel: 617.253.2715</div>

<div style="color: rgb(0, 0, 0); font-family: Avenir; font-size: 14px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">

<br class="">

</div>

<br class="Apple-interchange-newline">

</div>

</div>

</div>

<br class="">

</div>

<br class="Apple-interchange-newline">

<br class="Apple-interchange-newline">

</div>

<br class="">

</body>

</html>