Datensicherheit

Mit Hilfe sogenannter Honions haben US-Forscher mindestens 110 Tor-Nodes identifizieren können, die offenbar aktiv versuchten, Tor Hidden Services auszuspähen. Wer sind die Urheber?

Eine Million Euro investiert die EU im Rahmen eines Pilotprojekts in Code-Audits für Keepass und Apache. Dadurch sollen etwaige Sicherheitslücken gefunden und gestopft werden. Aus der FOSS-Community gibt es aber Kritik an der Firma, die die Audits durchführen soll.

Der Mailanbieter Posteo hat die Möglichkeit eingeführt, E-Mails nur noch zu verschicken, wenn der Zielserver die STARTTLS-Verschlüsselung anbietet. Dabei fielen einige Mailserver auf, die den längst etablierten Verschlüsselungsstandard nicht unterstützen.

Gravierende Sicherheitslücken in seinen Betriebssystemen hat Apple mit ganz unauffälligen Updates am Montag beseitigt. Sie ermöglichten es, aus der Ferne Schadcode auszuführen, und werden sogar mit Androids Stagefright-Desaster verglichen. Aber es gibt Unterschiede.

BMW kann offenbar doch Daten von Drive-Now-Kunden empfangen und speichern, die eine Rekonstruktion des Bewegungsprofils ermöglichen. Einem Gericht lieferte der Autohersteller einem Medienbericht zufolge entsprechende Daten eines Unfallverursachers.

Die französische Datenschutzbehörde CNIL äußert Kritik an Windows 10. Das Nutzerverhalten würde von Microsoft zu intensiv überwacht und auch bei der Sicherheit gebe es Probleme. Microsoft wird aufgefordert, das bisherige Verhalten zu ändern.

15 Klauseln aus den Nutzungs- und Datenschutzbestimmungen von Pokémon Go verstoßen gegen deutsche Gesetze - findet der Verbraucherzentrale Bundesverband (Vzbv). Die Verbraucherschützer wollen vom Entwicklerstudio Niantic bis zum 9. August 2016 eine Unterlassungserklärung.

Maschinen hacken Maschinen: Mit einem Wettbewerb und 4 Millionen US-Dollar Preisgeld will das US-Militär herausfinden, ob sich Sicherheitslücken in Software vollautomatisch stopfen - und ausnutzen lassen.

Update Religion, sexuelle Vorlieben, politische Haltung: Der Browserverlauf sagt viel über den Nutzer. Google will ihn jetzt komplett für Werbezwecke auswerten - und hat schon mal die Datenschutzrichtlinien geändert.

Geräte des Netzwerkausrüsters Juniper akzeptieren Zertifikate für IPSEC-Verbindungen lediglich anhand des Ausstellernamens. Eine Prüfung der Signatur findet schlicht nicht statt.

Forscher haben entdeckt, dass der alternative Browser Maxthon sicherheitsrelevante Nutzerdaten an einen Server in Peking sendet. Die Daten ließen sich hervorragend für gezielte Angriffe nutzen. Und sie sind nur schlecht gegen Dritte abgesichert.

Eine neue Version der Locky-Ransomware kann jetzt auch Rechner ohne Internetverbindung verschlüsseln. Die Offline-Variante hat für die Opfer immerhin einen kleinen Vorteil.

Ein Fehler in der Druckerverwaltung von Windows ermöglicht es, Schadcode im Netzwerk zu verteilen und mit Systemberechtigung auszuführen. Diese und andere Lücken hat Microsoft heute gepatcht.

Niemals zahlen! Diese Warnung bei Ransomware-Angriffen ist bei einem neuen Vertreter der Spezies besonders angebracht - denn die Malware hat gar keine Wiederherstellungsfunktion.

Die kommende Version 48 des Firefox-Browsers wird erstmals Code in der neuen Programmiersprache Rust verwenden. Das dient dem Umgang mit Media-Dateien, über die oft schwere Sicherheitslücken ausgenutzt werden.

Der Umsatz mit den auf Sicherheit optimierten Blackphone Android-Smartphones von Silent Circle bleibt offenbar deutlich hinter den Erwartungen zurück. Das Unternehmen steht möglicherweise vor der Insolvenz und wird mittlerweile sogar von einem ehemaligen Geschäftspartner verklagt.

Hunderte Apps versprechen, Fotos mit Filtern schöner zu machen. Keiner gelingt das so gut wie Prisma. Doch Kritiker sprechen von einem Privatsphäre-Albtraum.

Erneut ist ein Router vom Typ Ubee von schweren Sicherheitsproblemen betroffen. Angreifer können Admin-Zugang erlangen und beliebige Kommandos auf dem Gerät ausführen. Das Gerät wird unter anderem von Unitymedia eingesetzt.

Ein Sicherheitsforscher hat ein Werkzeug veröffentlicht, mit dem Nutzer herausfinden können, ob Passwörter bei populären Webdiensten doppelt genutzt werden. Brute-Force-Angriffe sind damit aber nur in der Theorie möglich.

Update Das sehr beliebte Spiel Pokémon Go hat sich das Sammel-Motto offenbar zu Herzen genommen: Beim Einloggen mit einem Google-Konto schnappt sich die App unter iOS fast alle Rechte, die eine App überhaupt verlangen kann. Alles nur ein Versehen, erklärt Hersteller Niantic.

Wer in Deutschland vorab das Mobilegame Pokémon Go lädt, handelt sich mit etwas Pech einen Trojaner ein. Noch gefährlicher ist eine Masche, die sich vier junge Kriminelle in den USA ausgedacht haben.

Das Mining von Bitcoin ist nur noch halb so lukrativ: Wie erwartet hat der in die virtuelle Währung integrierte Code am Samstag die Belohnung für Mining halbiert.

Update Der umstrittene Privacy Shield ist in Kraft getreten. Kritiker sehen keinen nennenswerten Fortschritt im Vergleich zum Safe-Harbor-Abkommen. Es könnte wieder zu Klagen kommen.

Mit Secret Communications sollen künftig auch Facebook-Nutzer verschlüsselt chatten können. Wie Whatsapp setzt der Messenger dabei auf das Signal-Protokoll, Nutzer müssen aber einige Entscheidungen treffen.

Die Verantwortlichen des Mobile World Congress Shanghai warnen ihre Besucher, dass es einen Datenbank-Einbruch gab. Besonders kritisch ist das für diejenigen, die für ein Visum ein Einladungsschreiben brauchten. Außerdem haben Angreifer die Passwörter zahlreicher Industrievertreter im Klartext.

Mit einem neuen Mechanismus sollen kritische Sicherheitslücken in Android schneller geschlossen werden. Dazu probiert Google am Juli-Patchday ein neues Verfahren aus. Das aktuelle Update ist das bislang umfangreichste.

In einem Experiment sichert Google verschlüsselte Verbindungen zwischen Chrome und einigen Google-Domains mit einem Schlüsselaustausch ab, der Sicherheit vor Quantencomputern bieten soll. Der neue New-Hope-Algorithmus kommt in Kombination mit einem bewährten Verfahren zum Einsatz.

Der Cybersecurity-Markt konsolidiert sich weiter. Avast hat den Antivirenhersteller AVG gekauft. Die Unternehmen wollen gemeinsam besonders in den Bereichen Smartphones und Internet der Dinge wachsen.

Kurz vor Inkrafttreten der Routerfreiheit zeigt sich erneut, wie wichtig die freie Auswahl von Routern ist: Unitymedia warnt erneut vor einer Sicherheitslücke in den Standardroutern von UPC.

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Der Bundesrechnungshof kritisiert, dass die Bundeswehr für ihre IT-Tochter deutlich zuviel Geld bezahle und keine Überwachung der Netze auf Missbrauch durchführe. Der Vorgänger des Unternehmens BWI war bereits für das Projekt Herkules verantwortlich, das hohe Mehrkosten verursacht hatte.

Sind die Cookie-Warnungen bald Vergangenheit? Große Tech-Unternehmen fordern das jedenfalls in einer Konsultation der EU-Kommission. Ihrer Ansicht nach reicht die neue Datenschutzverordnung aus, um die Privatsphäre der Bürger sicherzustellen.

Update Wenn der Provider ein VPN einsetzt, kann der Nutzer kein Netflix in Deutschland mehr bekommen. Die Erfahrung musste ein Journalist machen. Der Netflix-Kundendienst räumt ein, dass dann die Nutzer des Providers blockiert würden.

Was tut man, wenn ein Hacker Sicherheitslücken in einer Funksteckdose findet, und diese in einer Amazon-Bewertung offenlegt? Bloß nicht reparieren, lieber den Botschafter drangsalieren. So macht es derzeit eine chinesische Internet-of-Things-Firma.

Mehrere Schwachstellen in Android ermöglichen Angreifern, Zugriff auf Verschlüsselungskeys zu bekommen. Google hat die konkreten Lücken gepatcht, doch das Grundproblem bleibt: Die Schlüssel sind für die Software zugänglich. Nutzer können nur wenig tun.

Lenovo warnt vor einem Fehler im Bios-Code aktueller Modelle. Die Schwachstelle wurde von einem Sicherheitsforscher unkoordiniert veröffentlicht, gepatcht ist sie bislang noch nicht.