Facebook verletzt die Rechte seiner europäischen Mitglieder. Das Unternehmen verstoße gegen europäisches Verbraucherrecht, heißt es in einer Studie im Auftrag der belgischen Datenschutzkommission.
Update Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.
Beschäftigte sollten sich sehr genau überlegen, ob sie Aufnahmen für ein Firmenwerbevideo zustimmen. Denn laut Bundesarbeitsgericht hat ein Ex-Mitarbeiter kaum Chancen auf Löschung.
Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.
Die Bundesdatenschutzbeauftragte hat nach eigener Aussage kaum Personal und keine Sanktionsmöglichkeiten bei Datenschutzverstößen. Der Aus- und Umbau ihrer Behörde zu einer eigenständigen obersten Bundesbehörde ist weitgehend wirkungslos.
In der Affäre um die Adware Superfish leugnet deren Chef nun, dass sie ein Sicherheitsrisiko darstellt. Unterdessen gibt es von Lenovo ein Tool, um das Programm zu entfernen.
Ein Update der Routerfirmware FritzOS verspricht Roaming und Unterstützung für Zugänge mit PPP-Authentifizierung für Tarife mit einer festen IP-Adresse.
Nach PHP bekommt nun auch der von Facebook initiierte Dialekt Hack eine Sprachspezifikation. Das ermöglicht eine Übersicht über die Unterschiede der Sprachen und sogar eine unabhängige Implementierung.
Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.
Eine neuartige Schadsoftware für Android-Geräte wurde entdeckt. Sie gaukelt ein abgeschaltetes Smartphone vor und kann es so unbemerkt als Abhörwerkzeug missbrauchen.
Bei einem gemeinsamen Einbruch bei SIM-Karten-Hersteller Gemalto haben die britischen GCHQ und die NSA offenbar Millionen geheime Schlüssel erbeutet. Gemalto liefert SIM-Karten weltweit - auch nach Deutschland.
Sie nennen sich Wüstenfalken und spionieren hochrangige Opfer im arabischen Raum aus. Die Spionagesoftware ist selbstentwickelt, infiziert wird ausschließlich durch Social Engineering. Dabei machen sie sich eine arabische Eigenheit zunutze.
Die RC4-Verschlüsselung darf laut dem neuen RFC 7465 nicht mehr für TLS-Verbindungen genutzt werden. Der Algorithmus gilt schon lange als problematisch, Details über neue Angriffe sollen in Kürze veröffentlicht werden.
Die NSA tut es, der französische Geheimdienst tut es offenbar auch: Mit selbst entwickelten Spionageprogrammen spähen sie Ziele im Iran aus. Und der BND?
Update Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.
In die Berliner U-Bahn kommen 1.000 neue Überwachungskameras mit Zoomtechnik, die per Fernsteuerung gedreht werden können. Die Polizei macht keine Angaben dazu, ob es durch die bisherige Überwachung zu mehr Festnahmen und Verurteilungen gekommen ist.
Bei einem Scan des Internets hat sich herausgestellt, dass Hunderttausende von Geräten denselben SSH-Schlüssel nutzen. Teilweise liegt das an Fehlern, teilweise an fragwürdigen Konfigurationsentscheidungen.
Für Kunden von Microsofts Cloud-Diensten sollen künftig Sicherheitsstandards nach ISO 27018 gelten. Bei Anfragen durch Strafverfolgungsbehörden sollen sie demnach benachrichtigt und ihre Daten nicht für Werbung eingesetzt werden. Davon profitieren aber nicht alle.
Mozilla will künftig sämtliche Addons digital signieren. Firefox soll die Verwendung von Erweiterungen ohne Signaturen verweigern. Kritiker befürchten, dass dadurch ein geschlossenes System entstehe.
Der MongoDB-Hersteller hat eine übersichtliche Checkliste veröffentlicht, wie Installationen der Datenbank abgesichert werden können. Die Verantwortung für die jüngst entdeckten Datenlecks will er aber nicht übernehmen.
Mit der Spionagesoftware FinFisher sollen von Bahrain aus auch deutsche IP-Adressen ausspioniert worden sein. Dies könnte nun rechtliche Konsequenzen haben.
Der Linux-Entwickler Matthew Garrett sieht Intels Technik zur Firmware-Absicherung, Boot Guard, noch kritischer als UEFI Secure Boot. Anwendern fehle dadurch die notwendige Freiheit, beliebige Software auszuführen.
Der britische Geheimdienst GCHQ darf von der NSA keine Daten mehr über britische Bürger sammeln. Ob ihre Daten zuvor abgefangen wurden, können Nutzer nun mit einem Onlineantrag herausfinden. Nicht nur Briten.
Fanny, Greyfish oder Equationlaser: So heißen mehr als ein halbes Dutzend Trojaner, mit denen seit mehreren Jahren weltweit Regierungen, Unternehmen und Forschungseinrichtungen ausspioniert werden. Verbreitet und gesteuert werden sie offenbar von einer Gruppe - der Equation Group.
Microsoft hat ein Update für sein mobiles Outlook für iOS veröffentlicht. Nun kann die Anwendung auch beliebige IMAP-Server abfragen: Die Zugangsdaten werden immer noch ausgeleitet.
Andrea Faulds, maßgeblich an der Entstehung von PHP 7 beteiligt, steigt aus der Entwicklung aus. Damit werden einige neue Funktionen, vor allem die skalare Typisierung, vorerst nicht gepflegt.
Aus für Monowall nach zwölf Jahren: Die Firewall-Distribution wird nicht mehr weiter gepflegt. Es gebe inzwischen bessere Lösungen, schreibt Entwickler Manuel Kasper.
Hacker sollen angeblich Hunderte Millionen US-Dollar von über 100 Banken in 30 Ländern erbeutet haben. Kaspersky Lab berichtet, dass dabei die Rechner von Bankangestellten durch Malware über E-Mail-Links verseucht und dann ihre PCs ausspioniert und fernbedient worden seien.
Zum Beseitigen von Sicherheitslücken in ihren Produkten sind den Entwicklern 90 Tage manchmal nicht genug. Google nimmt sich dieses Problems nun mit seinem Project Zero an: In besonderen Fällen gibt es eine kleine Pufferzone. Mitunter werden auch bestimmte Wochentage berücksichtigt.
Wegen eines Konfigurationsfehlers konnten über die Facebook-API beliebige Fotos und Alben gelöscht werden. Die Schwachstelle wurde umgehend geschlossen. Der Entdecker erhielt eine hohe Belohnung.
Jenseits des Tor-Netzwerks gibt es zahlreiche alternative Anonymisierungsdienste. Sie unterscheiden sich je nach Einsatzgebiet. Aber taugen sie auch als Ersatz für Tor? Wir haben uns das Invisible Internet Project angesehen.
Selbst der Besuch seriöser Websites kann unangenehme Folgen haben. Hacker kombinierten verschiedene Sicherheitslücken im Flash Player und Internet Explorer, um gezielt US-Rüstungsunternehmen, Regierungsstellen und Finanzdienste über Forbes.com anzugreifen.
Facebook hat eine Plattform für Unternehmen erstellt, auf der sich Sicherheitsexperten über Risiken wie Viren und Malware austauschen können. Zum Start dabei sind unter anderem Dropbox, Twitter und Yahoo.
Apple hat sich das Patent für einen Fingerabdrucksensor gesichert, der direkt in das Display eingebaut ist. Damit müssten Nutzer zum Entsperren nicht mehr ihren Finger auf den Homebutton legen, sondern einfach auf den Bildschirm.
Ein russischer Hacker hat eine Anleitung veröffentlicht, wie Rootkits über manipulierte UEFIs eingepflanzt werden können. Wie leicht es ist, aktuelle UEFI-Implementierungen anzugreifen, hatten Hacker bereits auf dem 31C3 demonstriert.
Der Widerstand ist gebrochen: Das EU-Parlament will der europaweiten Speicherung von Passagierdaten zustimmen. Dabei stellt es eine Bedingung, deren Erfüllung eine Selbstverständlichkeit sein sollte.
Ein mit MirageOS betriebener TLS-Server bewacht einen Bitcoin-Schlüssel. Wem es gelingt, ihn dem Server mittels einer Sicherheitslücke zu entlocken, darf 10 Bitcoins behalten. MirageOS ist ein von Grund auf neu entwickeltes Betriebssystem.
Das Bundeskriminalamt tut sich mit der Einordnung von Hacktivisten wie Anonymous schwer. Zumindest sollen sie einer Studie zufolge noch keine kritischen Infrastrukturen angegriffen haben.
Wer den Filehoster Box nutzt, kann künftig kostenpflichtig einen privaten Schlüssel beantragen, zu dem nur er Zugriff hat. Der Zugang zu damit verschlüsselten Dateien bleibt selbst Box verwehrt.
Mit einem bereits aktiven Trojaner für Linux können Angreifer infizierte Rechner nutzen, um DDoS-Angriffe durchzuführen. Er nistet sich unter dem Namen iptables6 ins System ein.
Die Bundesregierung will den Einbau von intelligenten Stromzählern neu regeln. Die geplante Verordnung sorgt für Verwirrung, was die Einbaupflichten für die unterschiedlichen Geräte betrifft. Golem.de beantwortet die wichtigsten Fragen zu den unterschiedlichen Systemen.
Voyeurismus durch Drohnenüberflüge ist noch kein Massenphänomen, doch mit zunehmender Verbreitung der Fluggeräte wird sich das ändern. Mit einem Datenbankeintrag soll jeder eine Flugverbotszone um das eigene Grundstück errichten können. Das hat nur einen Haken: Niemand muss sich daran halten.
Das Schweizer Bundesamt für Informatik und Telekommunikation (BIT) betreibt eine eigene Zertifizierungsstelle für TLS-Zertifikate. Deren Server zur Überprüfung der Zertifikatsgültigkeit ist seit einiger Zeit offline.
Zur Cebit will AVM vier neue Fritzbox-Router präsentieren. Nach ersten Angaben soll die Fritzbox 4080 den Standard 802.11 ac Wave 2 unterstützen, der WLAN mit bis 2,5 GBit/s liefern könnte. Real könnten so endlich echte Gigabit-Verbindungen per Funk auch in einiger Entfernung möglich werden.
Autos haben Schnittstellen über die Datenkommunikation, aber für Sicherheit wird wenig getan: Die Fahrzeuge sind angreifbar, die Hersteller sammeln Daten darüber, wie der Bericht eines US-Senators zeigt. Der Kunde hat das Nachsehen.
Update Die Bundesregierung hat sich viel Zeit mit ihrer Verordnung für die intelligenten Stromnetze gelassen. Die geplante Regelung wird Klein- und Durchschnittsverbraucher freuen. Die Verbraucherschützer sprechen dennoch von einer "Zwangsbeglückung" der Kunden.
