Nach zehn fehlgeschlagenen Passworteingaben wird das Betriebssystem den Zugang temporär sperren. Möglich macht das eine Gruppenrichtlinie.
Mit eigener Tastatur und AES-Verschlüsselung soll Verbatims Keypad Secure die Daten schützen. Forscher konnten dennoch leicht an diese gelangen.
Das Konferenzsystem Meeting Owl Pro sieht putzig aus, hat aber viele Sicherheitslücken, die auch nach vier Monaten nicht geschlossen wurden.
Kunden, die noch auf Basic Auth in Exchange setzen, werden das ab Oktober 2022 nicht mehr tun können. Microsoft macht hier keine Ausnahmen.
Ein Alarmanlagen- und Schließsystem erstellte Zufallszahlen mit einer dafür nicht geeigneten C-Funktion.
Die kürzlich aufgetauchten falschen digitalen Impfnachweise wurden wohl über ungeschützt im Internet erreichbare Webinterfaces ausgestellt.
Eine Recherche von Hanno Böck
Staatstrojaner dürfen immer häufiger eingesetzt werden. Wir erklären, wie sie auf unsere Geräte kommen und wie wir uns davor schützen können.
Von Moritz Tremmel
Angeblich soll das Hackertool Passwörter knacken, doch die nutzlose Benutzeroberfläche dient einem ganz anderen Zweck.
Einige SoCs wurden überarbeitet, um zu verhindern, dass Informationen aus der Secure Enclave des Apple Silicon entwendet werden.
Arzt-Konten ließen sich auf verschiedene Weisen übernehmen und beliebige Daten auslesen. Das wirft kein gutes Licht auf digitale Impfnachweise.
Smarte Sexspielzeuge sind in der Pandemie beliebt, doch in den populären Geräten Lovense Max und We-Vibe Jive lauerten Sicherheitslücken.
Die Schadsoftware nutzt offene Ports von Diensten wie MySQL aus und setzt darauf, dass sie mit schwachen Passwörtern gesichert sind.
Microsoft hat mehrere staatliche Hackergruppen bei Angriffen auf Pharmafirmen und Forscher ertappt, die an Covid-19-Impfstoffen arbeiten.
Ein mobiles System, das sich für Einsteiger und Profis gleichermaßen eignet und zudem Privatsphäre und Komfort verbindet? Ja, das geht - und zwar mit CalyxOS.
Ein Test von Moritz Tremmel
Mit den Lücken war ein Zugriff auf das interne Netzwerk von Apple möglich, es konnten aber auch Daten aus der iCloud kopiert werden - per E-Mail.
Der Ladesäulen-Hersteller Compleo musste ein zweites Mal die Sicherheit von Anzeigemodulen erhöhen. Dabei offenbart sich die Absurdität des Eichrechts.
Ein Bericht von Friedhelm Greis
Die Sicherheitslücke Zerologon nutzt einen Fehler in Netlogon aus und involviert die Zahl Null auf kreative Weise - um Passwörter zu ändern.
Was am 30.07.2020 neben den großen Meldungen sonst noch passiert ist, in aller Kürze.
Sicherheitsforscher haben Hunderte Youtube-Tutorials ausgewertet und immer wieder Zugangsdaten entdeckt - mit diesen konnten sie sich auf AWS einloggen.
Ein Bericht von Moritz Tremmel
Um eine neu eingeführte Funktion des Messengers Signal ist in den sozialen Medien Streit entbrannt.
Von Moritz Tremmel
Die Corona-App der Bundesregierung könnte schon am Montagabend in den App-Stores bereitstehen.
Mit einem neuen Gesetz werden die Telemediendienste zur Herausgabe von Passwörtern verpflichtet. Was bedeutet das für die Sicherheit des eigenen Zugangs?
Eine Analyse von Friedhelm Greis und Moritz Tremmel
Über eine Konferenz-ID können viele Gäste per Video- und Sprachchat kommunizieren. Das ist schnell und einfach, erinnert aber an Zoom.
Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.
Sechs Monate hatten Angreifer Zugriff auf das interne Netz Citrix und konnten dabei umfangreich Daten kopieren. Mitbekommen hatte der Netzwerkdienstleister den Angriff erst nach einem Hinweis des FBI. Rund ein Jahr später informiert Citrix nun die Betroffenen - zumindest in den USA.
Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Zwar will die Bundesjustizministerin nun ihren Gesetzentwurf ändern, doch ganz verzichten will sie auf die Herausgabe nicht.
Die Pläne für die Herausgabe von Passwörtern an Behörden beunruhigen Datenschützer und Netzaktivisten. Der Bundesdatenschutzbeauftragte Kelber sieht sogar den elektronischen Bankenverkehr gefährdet.
Von Friedhelm Greis
Eigentlich sollte die Parkhaussteuerung nicht aus dem Internet erreichbar sein. Doch auf die Parkhäuser am Microsoft-Hauptsitz in Redmond konnten wir problemlos zugreifen. Nicht das einzige Sicherheitsproblem auf dem Parkhaus-Server.
Von Moritz Tremmel
Wie im Achtziger-Klassiker Mr. Roboto von Styx hat auch Elliot in Mr. Robot
Geheimnisse. Die Dramaserie um den Hacker ist nicht nur wegen Rami Malek grandios. Sie hat einen ganz eigenen beeindruckenden visuellen Stil und zeigt Hacking, wie es wirklich ist. Wir blicken nach dem Serienfinale zurück.
Eine Rezension von Oliver Nickel und Moritz Tremmel
Äußerlich unterscheidet es nicht viel von einem sauberen Android 10 - nur die Google-Apps fehlen. Doch im Inneren von GrapheneOS stecken einige Sicherheitsfunktionen. Wir haben den Nachfolger von Copperhead OS ausprobiert.
Ein Test von Moritz Tremmel und Sebastian Grüner
Windows startet im abgesicherten Modus meist keine Antiviren- oder Endpoint-Protection-Software - diesen Umstand nutzt die Ransomware Snatch aus, um nicht entdeckt zu werden und die Dateien verschlüsseln zu können.
Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.
Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen.
Der Stromverbrauch und CO2-Ausstoß bei der Erstellung von Deep-Learning-Modellen ist erheblich, wie eine jetzt veröffentlichte Studie zeigt.
Laut eigenen Aussagen konnten sich anscheinend die Angreifer fast sechs Monate lang im Firmennetzwerk bewegen und personenbezogene Daten abgreifen, nachdem sie auf Citrix unbefugten Zugriff erhalten haben. Schuld am Angriff habe keine Sicherheitslücke, sondern Brute-Forcing von Passwörtern.
Ein Hacker hat auf knapp 30.000 Kundenkonten von zwei GPS-Tracker-Apps zugreifen können. Neben umfangreichen Einblicken hätte er bei manchen Fahrzeugen auch den Motor während der Fahrt ausschalten können - per App oder Webclient.
Eigentlich sollte WPA3 vor Angriffen wie Krack schützen, doch Forscher konnten gleich mehrere Schwachstellen im neuen WLAN-Verschlüsselungsprotokoll finden. Über diese konnten sie das Verschlüsselungspasswort erraten.
Groß- und Kleinbuchstaben, mindestens ein Sonderzeichen, aber nicht irgendeins? Viele Passwort-Richtlinien führen dazu, dass Nutzer genervt oder verwirrt sind, aber nicht unbedingt zu sichereren Passwörtern. Wir geben Tipps, wie Entwickler es besser machen können.
Von Hanno Böck
Sicher mit nur einer PIN oder einem schlechten Passwort: Fido-Sticks sollen auf Tastendruck Zwei-Faktor-Authentifizierung oder passwortloses Anmelden ermöglichen. Golem.de hat getestet, ob sie halten, was sie versprechen.
Ein Test von Moritz Tremmel
Das US-Softwareunternehmen Citrix Systems ist ins Visier von Hackern geraten. Die Unbekannten haben sich möglicherweise Zugriff auf Geschäftsdokumente verschafft.
Aldi Talk hat offenbar Zugriff auf die ersten vier Zeichen der Kundenpasswörter im Klartext.
35C3
Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Sie halten sie jedoch oft nicht.
Ein Bericht von Moritz Tremmel
Zwei Jahre nach ihrer besorgniserregenden Recherche zu Sicherheitsmängeln in Industrieanlagen sind die Sicherheitsforscher Sebastian Neef und Tim Philipp Schäfers erneut fündig geworden. Ein Klärwerk hätten sie sogar komplett über das Internet übernehmen können.
Von Moritz Tremmel
Der Virenspezialist Kaspersky fand Hardware-basierte Attacken über das lokale Netzwerk in mindestens acht osteuropäischen Bankhäusern. Der Schaden geht in die Millionen Euro. Potenziell gefährdet sein sollen jedoch alle Arten von Unternehmen.
Sicherheitsforscher haben einige gravierende Lücken in der Krankenkassen-App Vivy gefunden. Unter anderem konnte auf Dokumente, die man mit dem Arzt teilte, unberechtigt zugegriffen werden.
Schwere Sicherheitslücke beim Chat-Anbieter Knuddels: Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.
Die auf Amazons Web Services spezialisierte Sicherheitsfirma Lacework hat im Netz mehr als 22.000 Managementoberflächen zur Containerverwaltung gefunden, die hauptsächlich zu Kubernetes gehören. Als wäre das nicht schon schlimm genug, waren einige auch völlig ungeschützt im Netz.
Das deutsche Rechtsanwaltsregister hat eine schwere Sicherheitslücke. Schuld daran ist eine veraltete Java-Komponente, die für einen Padding-Oracle-Angriff verwundbar ist. Das Rechtsanwaltsregister ist Teil des besonderen elektronischen Anwaltspostfachs, war aber anders als dieses weiterhin online.
Eine Exklusivmeldung von Hanno Böck
Die Linux Foundation sorgt sich schon länger um die Sicherheit des Codes in der Kernel-Entwicklung und macht Werbung für PGP-signierte Git-Tags und Code-Beiträge. Linux-Entwickler können nun auch kostenlos Kryptohardware beziehen, um ihre Schlüssel abzusichern.
GDC 2018 Nicht nur Microsoft und Nvidia, sondern auch AMD beschäftigt sich intensiv mit Raytracing. Das Unternehmen erwartet schon bald erste Spiele mit dem Verfahren - auch dank Fortschritten bei neuronalen Netzen.
Brute Force