Trackingschutz für Apps - das will ein Fraunhofer-Institut bald anbieten. Ein erster Prototyp von Metaminer existiert bereits und soll auch ohne Rooten des Smartphones einen guten Schutz bieten.
Herzfrequenz und Schlafphasen: Apple, Garmin und andere Hersteller von Sportuhren und Fitnesstrackern speichern auf ihren Portalen sehr persönliche Nutzerdaten. Bei einem Praxistest sind nur zwei Hersteller korrekt mit dem Auskunftsrecht des Kunden umgegangen.
Backdoor oder sinnvolle Technik? Die Diskussion um Intels Management Engine dürfte nach dem Bekanntwerden weiterer Sicherheitslücken an Schärfe zunehmen. Bei den meisten Fehlern handelt es sich um Buffer Overflows.
Skype ist in China nicht mehr verfügbar - jedenfalls nicht in dem Appstore von Apple und den unabhängigen Android-Stores. Dafür verantwortlich ist wohl das neue Cybersicherheitsgesetz.
Bei Uber gibt es wieder Probleme: Rund 60 Millionen Kunden sind von einem Hack betroffen. Schuld waren offenbar auf Github abgelegte AWS-Zugangsdaten. Der Uber-Chef verspricht Besserung für die Zukunft.
Ein Hintergrunddienst sendet offenbar Standortdaten von Android-Nutzern an Google, auch wenn diese kein GPS verwenden. Dafür verantwortlich ist der Firebase-Cloud-Messaging-Dienst. Das Unternehmen will die umstrittene Praxis künftig unterlassen.
Wenn bei Kryptowährungen etwas schiefgeht, dann wird es schnell teuer. Beim Startup Tether haben Angreifer Token im Wert von 31 Millionen US-Dollar transferieren können. Das Unternehmen reagiert mit einem Fork der eigenen Software.
Deepsec Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt.
DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen.
Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte.
Gemeinsam mit den DNS-Experten von PCH und der Global Cyber Alliance startet IBM seinen öffentlichen DNS-Dienst Quad9, der Nutzern Sicherheit und Datenschutz bieten soll. IBM etabliert damit eine Konkurrenz zu Google, die Vertrauens- und Zensurprobleme von DNS löst das aber nicht.
Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit.
Deepsec Wie könnte ein Botnetz auch IoT-Kameras erreichen, die nicht direkt am Internet hängen, sondern hinter einer Firewall oder einem Router? Sicherheitslücken in Clouddiensten ließen solche Angriffe zu - sagen Hacker auf der Deepsec.
Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein.
Private Schlüssel in freier Wildbahn sind ein verbreitetes Problem. Zuletzt traf es das Sicherheitsunternehmen DXC, das den AWS-Schlüssel versehentlich bei Github hochlud - und dann die Rechnung dafür bekam.
Update Oneplus verkauft offenbar seit Jahren seine Smartphones mit einem vorinstallierten Entwicklertool von Qualcomm, das Zugriff auf zahlreiche Systemressourcen erlaubt. Per ADB ist ein Root-Zugriff auf das jeweilige Gerät möglich. Der Hersteller will die Anwendung herauspatchen.
Nur mit Equipment, das die Sicherheitskontrolle passieren kann, wollen Mitarbeiter der US-Regierung eine Boeing 757 übernommen haben. Der Hack soll bereits vor mehr als einem Jahr stattgefunden haben und wurde über die Funkausrüstung vorgenommen.
Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es - doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst.
Eine Hackergruppe, die Blogposts in gebrochenem Englisch verfasst und zahlreiche Exploits veröffentlicht, macht der NSA offenbar auch nach einem Jahr noch zahlreiche Probleme. Der Geheimdienst sucht nach wie vor nach den Schuldigen.
Ein vietnamesisches Sicherheitsunternehmen behauptet, Apples Gesichtsentsperrung Face ID mit Hilfe einer selbst hergestellten Maske ausgetrickst zu haben. Die Maske wurde mit Hilfe eines 3D-Druckers, eines Maskenbildners und mit speziellen Materialien hergestellt und soll 150 US-Dollar gekostet haben.
Intelligentes Pflaster, Ultraschall "to go" aus dem Google Play Store und die 3D-Datenbrille im OP: Die Digitalisierung hat die Medizin erfasst. Der Arztberuf wird sich durch Apps, Clouds und Roboter verändern.
Nutzer werden von Werbebannern oft ohne eigene Interaktion auf andere Seiten umgeleitet. Oder die Interaktion wird böswillig erzwungen. Diese Redirects sollen künftig im Chrome-Browser blockiert und Anwender darüber informiert werden.
Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: "Game over!" für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle.
Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen.
Völlig überraschend haben leitende Entwickler das Segwit2x-Update für die Bitcoin-Blockchain abgesagt. Wenige Tage vor der geplanten Umsetzung hat Segwit2x offenbar keine Mehrheit gefunden.
Die künftige Bundesregierung könnte deutschen Behörden die Erlaubnis für Gegenangriffe im Internet erteilen. Doch die potenziellen Koalitionspartner Grüne und FDP könnten sich querstellen.
Mit einem speziellen Fuzzer für Kernel-Systemaufrufe von Google sind extrem viele Fehler im USB-Stack des Linux-Kernels gefunden worden. Viele davon werden als kritische Sicherheitslücken eingestuft, was aber eigentlich für alle Kernel-Fehler gilt.
TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht.
Ein aktueller Prozessor, UEFI 2.4 und am besten ein TPM-Chip: Neue Sicherheitsrichtlinien machen Systeme mit Fall Creators Update laut Microsoft erst sicher. Die 8-GByte-RAM-Regel kann jedoch etwa das eigene Surface Pro teils nicht einhalten.
Im Streit über die Weitergabe von Nutzerdaten an Drittanbieter hat Facebook auch in zweiter Instanz verloren. Möglicherweise muss nun der Bundesgerichtshof entscheiden.
Dürfen Gerichte die weltweite Löschung von Links durchsetzen? Im Streit zwischen Google und Kanada hat der Suchmaschinenkonzern nun die erforderliche Rückendeckung erhalten.
Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen.
Qualcomm arbeitet offenbar bereits an einem Nachfolger für seinen 48-Kern-ARM-Chip mit Falkor-Kernen. Die neuen CPU-Kerne heißen Saphira. Sie sind wohl für den Servereinsatz gedacht und bieten eine neue Security-Funktion in der Hardware.
Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux-Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen.
Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen.
Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.
Amerikanische Bürgerrechtler sind besorgt darüber, dass App-Entwickler die Mimikerkennung des iPhone X auch für unlautere Zwecke verwenden könnten. Apple untersagt dies zwar, macht aber nur Stichproben.
Der Wert der Bitcoin steigt und steigt. Im vergangenen Monat hat die Kryptowährung um 70 Prozent zugelegt - auf einen Wert von mehr als 7.000 US-Dollar. Setzt sich das exponentielle Wachstum fort, könnte sie in diesem Jahr die 7.000-Euro-Marke erreichen.
Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port.
Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3.
Es ist schon die zweite Zertifizierungsstelle, die in diesem Jahr verkauft wird: Comodo stößt das Geschäft mit Zertifikaten an eine Investmentgesellschaft ab. Diese hat unter anderem auch Hersteller von Staatstrojanern im Portfolio.
Der Crypto-Messenger Signal nutzt für seinen Desktop-Client nun Electron als Basis statt Chrome-Apps. Der Client ist damit unabhängig vom Browser nutzbar und eine eigenständige Anwendung. Linux-Nutzer werden vorerst aber nur teilweise bedient.
Apple patcht Krack für iOS und MacOS - ältere iPhones gehen aber trotz offizieller Unterstützung für iOS 11 bislang leer aus. In den Betriebssystemen wurden darüber hinaus viele zum Teil kritische Schwachstellen gepatcht.
Deutschland soll mit einer neuen Regierung Abschied von der Vorratsdatenspeicherung nehmen. Das fordern zahlreiche Verbände unter dem Dach des AK Vorrat - insbesondere von den Grünen und der FDP.
Update Auch das Pharmaunternehmen Merck Sharp und Dohme merkt den NotPetya-Angriff in seiner Bilanz: Rund 375 Millionen US-Dollar Ausfall gibt das Unternehmen durch die Ransomware an. Um den Betrieb trotz Produktionsausfällen aufrechtzuerhalten, hat sich die Firma sogar Medikamente bei den US-Behörden geliehen.
Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen - und setzt stattdessen vor allem auf Certificate Transparency.
Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer.
Bevor im US-Bundesstaat Georgia untersucht werden konnte, ob eine Manipulation der Wählerverzeichnisse erfolgt ist, wurden die Daten gelöscht. Bislang will niemand dafür verantwortlich sein.
