Datensicherheit

Neu entdeckte Android-Malware rootet die Geräte und kann vom Nutzer kaum entfernt werden. Betroffen sind mehr als 20.000 infizierte, nachgemachte Apps wie Facebook, Twitter, Snapchat oder Whatsapp. Auch Nutzer in Deutschland sollen betroffen sein.

Internet-Aktivisten haben untersucht, wie und ob sich 16 der größten IT-Firmen für Nutzerrechte einsetzen. Ihr Ergebnis ist ernüchternd.

Über den Dienst Pagefair sollen Websitebetreiber die Adblocker-Rate messen und unaufdringliche Werbung ausspielen. Was passiert, wenn solche Dienste selbst gehackt werden, mussten zahlreiche Nutzer nun erleben.

Die neue Android-Version 6.0 alias Marshmallow bekommt nach einem Monat ihre erste Sicherheitsaktualisierung. Grund sind insgesamt sieben Bedrohungen, von denen Google zwei als kritisch einstuft.

Ein deutscher Sicherheitsforscher hat eine Sicherheitslücke in Geldautomaten-Software gefunden. Die Schwachstelle ermöglichte den Zugriff auf die Kommandozeile des Geräts und das Auslesen zahlreicher kritischer Daten.

Mit einem Jailbreak für iOS 9.1 und iOS 9.2 , der über den Browser ausgeführt werden kann, haben findige Hacker eine Million US-Dollar abgestaubt. Die Prämie hatte das IT-Sicherheitsunternehmen Zerodium ausgelobt. Veröffentlicht werden soll der Jailbreak nicht.

Apple-Entwickler können künftig den Quellcode verschiedener sicherheitsrelevanter Komponenten von iOS und OS X überprüfen. Das Security-Framework und die Common-Crypto-Bibliothek stehen unter Open-Source-Lizenz. Eine weitere Komponente kann jedoch nur angesehen werden.

Eine Lücke im Xen-Hypervisor erlaubt einem Gastsystem, die Kontrolle über das komplette Host-System zu übernehmen. Hierfür wird die Speicherverwaltung ausgetrickst. Die Entwickler der Qubes-Distribution üben heftige Kritik an Xen.

Das Tor-Projekt stellt seit langem das Tor-Browser-Bundle für einfaches anonymes Surfen im Internet bereit. Jetzt gibt es auch eine Chatsoftware, die sich automatisch über Tor verbindet. Noch ist das Projekt aber im Beta-Stadium.

URLs verraten einem kundigen Nutzer oft mehr, als viele glauben. Jetzt hat ein Forscher herausgefunden, dass Google-Nutzer unter bestimmten Umständen unabsichtlich frühere Suchbegriffe weitergeben.

Bei Adobe werden wieder Lücken gestopft: Dieses Mal beim Shockwave Player. Ein Memory-Corruption-Fehler soll die Ausführung fremden Codes ermöglicht haben.

LTE-Netzwerke galten bislang als deutlich sicherer als GSM- und 3G-Netzwerke. Anfang der Woche hat ein Team von Forschern jetzt verschiedene praktische Angriffe vorgestellt, die mit geringen Kosten und kommerzieller Hardware funktionieren sollen.

Update Seit 2010 ist das Plündern von Geldautomaten per USB-Stick bekannt. In Deutschland wurde nun erstmals ein Täter dabei gefilmt, wie er zwei Automaten an einem Tag ausräumte.

Symantec hatte im September mehrere Tausend unberechtigte TLS-Zertifikate ausgestellt, verschweigt aber zunächst das Ausmaß des Vorfalls. Google zeigt dafür wenig Verständnis und stellt einige Bedingungen für den Verbleib der Symantec-Rootzertifikate im Chrome-Browser.

Cisco kauft den Stealthwatch-Hersteller Lancope. Dessen Produkte richten sich an große Unternehmen und analysieren den Netzverkehr auf Anomalien. Cisco kauft derzeit stark im Security-Bereich zu

Mehr Freiheit für Autohacker: In den USA wurden neue Ausnahmeregelungen für den Digital Millennium Copyright Act veröffentlicht. Sicherheitsforscher dürfen jetzt unter bestimmten Voraussetzungen den Quellcode von Autos testen. Bis die Regelungen in Kraft treten, dauert es aber noch ein bisschen.

Xen hat einige Lücken in seinem Hypervisor geschlossen. Details werden, wie üblich, erst später bekannt gegeben.

Wieder gibt es manipulierte Software bei VW - doch dieses Mal ist der Konzern nicht selbst verantwortlich. Hackern ist es offensichtlich gelungen, die Steuersoftware eines Audi TT so zu manipulieren, dass der Airbag ohne Wissen der Nutzer abgeschaltet werden kann.

Update David gegen Goliath: Der Youtuber Tobias Richter nimmt den juristischen Kampf mit Bild.de um die Adblockersperre auf. Er will weder eine Unterlassungserklärung abgeben, noch Abmahnkosten zahlen.

Der britische Mobilfunk- und Internetprovider Talk Talk wurde in der vergangenen Woche gehackt - jetzt hat die Polizei einen 15-Jährigen in Nordirland verhaftet. Statements der Firma zu dem Hack waren wenig kenntnisreich und irreführend.

Überwachungskameras schränken nicht nur die Privatsphäre vorbeilaufender Menschen ein - sie können auch als Basis für DDoS-Angriffe missbraucht werden. Dazu nutzen Kriminelle in einem aktuellen Fall mehr als 900 unsicher konfigurierte Geräte aus, wie eine Sicherheitsfirma jetzt bekanntgegeben hat.

Die EU moderiert eine Initiative für eine EU-Cloud, die höchsten Sicherheitsansprüchen folgen soll. Doch die ist nicht für Endnutzer, sondern für die Industrie.

Die Wikipedia ist vor Gericht mit einer Klage gegen die NSA gescheitert. Zur Begründung bemühte der Richter einen fast poetischen Vergleich.

Die Tor-Entwickler wollen bald eine gehärtete Version ihres Browser-Bundles für Linux veröffentlichen. Dabei kommt Address Sanitizer zum Einsatz. Dieses Feature verhindert zahlreiche Sicherheitslücken, allerdings um den Preis erheblicher Performanceeinbußen.

Update Die Betreiber von Adblock Plus haben Inhalte ihres Forums entfernen müssen. Bild.de behauptet vor Gericht, durch dort veröffentlichte Filterbefehle könne eine "Softwareverschlüsselung" der Seite umgangen werden. Die Codes sollen von Eyeo-Mitarbeitern stammen.

Eine SQL-Injection-Schwäche betrifft mehrere Joomla-Versionen. Ein Patch steht bereits zur Verfügung. Das neue Release auf Version 3.4.5 bringt zudem neue Funktionen mit.

Ein Forscherteam der Universität Boston präsentiert neue Angriffe gegen NTP, dem Protokoll zum Setzen der Systemzeit übers Netz. Mittels gespoofter Pakete können NTP-Clients faktisch abgeschaltet und in seltenen Fällen auch mit einer falschen Systemzeit manipuliert werden.

Forscher haben ein Programm entwickelt, das Prozessoren in kurzer Zeit so abnutzt, dass sie unbrauchbar werden. Mögliche Nutznießer: Hersteller, Kunden - oder Militärs.

Nicht nur Kunden der Deutschen Telekom sind von neuen Betrügereien beim Onlinebanking betroffen. In einem weiteren Fall liefen die Transaktionen über einen Zahlungsdienstleister.

Microsoft startet ein Bug-Bounty-Programm für verschiedene auf .Net basierende Anwendungen. Wer Sicherheitslücken suchen will, sollte sich jedoch beeilen - und muss eine Reihe weiterer Vorgaben von Microsoft erfüllen.

Um die Sicherheit von Routern ist es schlecht bestellt, wie zahlreiche Berichte über Sicherheitslücken zeigen. Das BSI will jetzt mit einem neuen Prüfkonzept für bessere Router sorgen. Im Detail könnte noch nachgebessert werden.

Die Speicherpraxis von Facebook wird von der irischen Datenschutzbehörde untersucht: Das hat der Aktivist Max Schrems mit seiner Klage vor dem EuGH erreicht. Mit einem anderen Angriff auf das soziale Netzwerk war er gestern nicht ganz so erfolgreich.

Die Verschlüsselung ist gerade bei externen Festplatten sinnvoll, da sie verloren gehen können. Doch zahlreiche Modelle von Western Digital mit eingebauter Verschlüsselungsfunktion sind mit einfachen Methoden angreifbar.

Update Trotz aller Anstrengungen der Banken und Mobilfunkanbieter gibt es immer wieder erfolgreiche Angriffe auf das Onlinebanking mit SMS-TANs. Der Schaden durch die neue Masche soll mehr als eine Million Euro betragen. Betroffen sind nur Kunden eines bestimmten Anbieters.

Die portable Version des aktuellen OpenSSH 7.1 stellt Microsoft nun auch für Windows bereit. Interessierte können außerdem künftig zu dem Projekt beitragen. Der produktive Einsatz soll noch in der ersten Jahreshälfte 2016 möglich sein.

IT-Analysten warnen, dass 256 iOS-Apps widerrechtlich Nutzerdaten sammeln könnten. Apple reagiert und nimmt die verdächtigen Apps aus seinem App Store. Eine chinesische Werbefirma soll die fraglichen Apps manipuliert haben - fast eineinhalb Jahre lang unbemerkt.

Nach dem Urteil zu Safe Harbor machen Europas Datenschützer Druck. Sie lassen nur wenige Monate Zeit für Verhandlungen zwischen Europa und den USA.

Let's Encrypt hat einen neuen Meilenstein erreicht: Der Cross-Sign mit Identrust ist abgeschlossen. Ab Mitte November soll der Dienst für die breite Öffentlichkeit verfügbar sein.

Facebook will von staatlichen Angriffen bedrohte Nutzer künftig warnen und ihnen den Einsatz von Zwei-Faktor-Authentifizeriung empfehlen. Bei der Klarnamenpflicht bleibt das Unternehmen aber bei seiner Position.

Etwas eher als üblich ist OpenBSD auf den Tag genau 20 Jahre nach der Projektgründung erschienen. Für bessere Sicherheit wird das NX-Bit nun auch in der 32-Bit-X86-Architektur genutzt, der Sudo-Befehl ist ersetzt worden und das System kann offiziell gezähmt werden.

Der Streit um die Facebook-AGB kommt in Deutschland vor Gericht: 19 Abmahnungen der Verbraucherzentrale hatte das Netzwerk zuvor nicht akzeptiert. Nun reichen die Verbraucherschützer eine Klage ein. Dabei geht es auch um die Frage, ob Facebook tatsächlich kostenlos ist.

Adobe hat es schon wieder getan: Es gibt ein neues Sicherheitsupdate für den Flash-Player. Es kommt so kurzfristig, dass das Unternehmen die eigenen Sicherheitshinweise noch nicht überarbeitet hat.