Security

Das Einsteiger-NAS My Cloud steht seit anderthalb Jahren sperrangelweit offen. Exploits im Internet ermöglichen den passwortlosen Login als Administrator. Western Digital möchte nun Patches liefern.

Drei US-Studenten haben das Mirai-Botnetzwerk aufgebaut. Seit 18 Monaten arbeiten sie mit dem FBI zusammen. Das Ergebnis ist eine milde Strafe und eine Verpflichtung zur weiteren Kooperation.

Bis vor wenigen Tagen sind auf einer Webseite des Zahlungsdienstleisters GovPayNet die Quittungen aus den vergangenen sechs Jahren zugänglich gewesen. Darüber werden Zahlungen an US-Behörden abgewickelt.

Sicherheitslücken ermöglichen den Zugriff und die Manipulation von Videoüberwachungsbildern in Banken, Kauf- und Krankenhäusern. Der betroffene Hersteller Nuuo hat Patches angekündigt. Aufgrund von Lizenzierungen sind auch Produkte anderer Firmen verwundbar.

Das neue Webauthn-Protokoll soll sichere Logins ohne Passwörter ermöglichen. Doch ein Security-Audit bescheinigt den bisherigen Implementierungen in Chrome, Firefox und Edge angreifbare Kryptographie.

Mit wenigen Zeilen CSS-Code können iPhone und iPad zum Absturz gebracht werden. Auch andere Betriebssysteme und Browser sind betroffen.

Ein alter Angriff neu durchgeführt: Forschern ist es gelungen, den Schutzmechanismus gegen die zehn Jahre alte Cold-Boot-Attacke zu umgehen. Angreifbar sind eingeschaltete verschlüsselte Rechner.

Ab Anfang 2019 gibt es keinen PHP-Support mehr für die virtuelle Maschine HHVM. Stattdessen wollen die Entwickler verstärkt auf die Scriptsprache Hack setzen. Nutzer der Software stehen jetzt vor der Wahl: Entweder Hack oder PHP 7 ohne HHVM.

Eine Runderneuerung des Tor Browsers macht eine Sicherheitslücke wertlos. Der Sicherheitslücken-Händler Zerodium veröffentlicht sie nun auf Twitter - nachdem er Monate von ihr wusste.

Ausgerechnet die Datenmanagementfirma Veeam lässt ihre Kundendatenbank öffentlich zugänglich im Internet liegen. Die Kundendaten seien keine sensiblen Daten.

Seit dem EuGH-Urteil zu Fanpages auf Facebook herrscht Verwirrung. Nun hat das soziale Netzwerk Konsequenzen aus der Entscheidung gezogen.

Tesla macht es den Fahrern des Model S einfach. Sie brauchen keinen Schlüssel - ein Chip reicht aus, um das Elektroauto zu öffnen und zu starten. Belgische Forscher haben herausgefunden, dass sich der Chip klonen und das Auto in Sekundenschnelle klauen lässt.

Welche der deutschen Single-Sign-on-Lösungen ist am vielversprechendsten? Golem.de erläutert die Unterschiede zwischen Verimi, NetID und ID4me.
Eine Analyse von Monika Ermert

Das Datenleck beim Chatanbieter Knuddels ruft nun auch die Aufsichtsbehörden auf den Plan. Nach der Datenschutz-Grundverordnung sind hohe Bußgelder möglich.

Apple hat die kostenpflichtige App Adware Doctor aus dem hauseigenen Mac App Store gelöscht. Sie liest heimlich den Browserverlauf aus, wie schon seit einem Monat bekannt war. Und sie ist nicht die einzige.

Eine Sicherheitslücke im Anwaltspostfach BeA konnte nicht behoben werden, da es sich um ein grundlegendes Designproblem handelt. Die Bundesrechtsanwaltskammer hat das gelöst, indem sie das Problem wegdefinierte - mit einer abenteuerlichen Begründung: Der Schutz der Nachrichten ist nicht so wichtig, nur die Anhänge müssen geschützt sein.

Epic Games hat es offenbar nicht geschadet, Googles Play Store zu umgehen: Nach eigenen Angaben wurde die APK von Fortnite für Android 15 Millionen Mal heruntergeladen. Das Sicherheitsteam hat im Gegenzug eine Menge mit Fake-Webseiten zu tun, die Malware unter dem Namen Fortnite anbieten.

In der vergangenen Woche wurden fast zwei Millionen Zugangsdaten von Knuddels geleakt. Die Speicherung der Passwörter im Klartext sollte der Sicherheit der Mitglieder dienen. Die Schwachstelle steht möglicherweise fest.

Schwere Sicherheitslücke beim Chat-Anbieter Knuddels: Im Internet sind gehackte Daten von 1,8 Millionen Nutzern aufgetaucht. Die Passwörter sind im Klartext zu lesen, bestimmte Accounts wurden deaktiviert.

Das Android-Sicherheitsupdate für September schließt kritische Sicherheitslücken, darunter eine im Media-Framework.

Das Chrome-Browser-Team von Google findet URLs offenbar zu verwirrend für Nutzer und will diese langfristig abschaffen. Ein erster Vorstoß dazu streicht Subdomains wie www. oder m. aus der Anzeige des Browsers, was für harsche Kritik an Google sorgt.

Durch ein Datenleck im Online-Buchungssystem von British Airways wurden die persönlichen Daten von 380.000 Kunden kompromittiert.

Der US-Senat hatte Facebook, Twitter und Google zu einer Anhörung eingeladen. Doch von der Suchmaschinenfirma erschien: niemand. Das könnte ein Fehler gewesen sein.
Ein Bericht von Lisa Hegemann

Der Tor Browser wurde modernisiert und vereinfacht. Mit dem Firefox 60 Unterbau profitiert er auch von Quantum.

Seinen Job als Innenminister hat Thomas de Maizière an Horst Seehofer verloren. Nun engagiert sich der CDU-Politiker für die Deutsche Telekom.

Bösartiger Code in der Chrome-Erweiterung des Filehosters Mega greift Zugangsdaten ab. Die Erweiterung wurde automatisch über den Chrome Web Store verteilt. Mittlerweile steht ein Update bereit.

Das US-Normungsinstitut Nist arbeitet gemeinsam mit Netzwerkausrüstern und -betreibern an einer Richtlinie, die den sicheren Betrieb des Routing-Protokolls BGP gewährleisten soll. Die Beteiligten setzen dabei eine Idee der IETF um.

Mit der NSA-Chiffre Speck wollte Google ursprünglich den Speicher von Low-End-Android-Smartphones verschlüsseln, doch nun hat das Unternehmen seine Unterstützung dafür zurückgezogen. Die umstrittene Verschlüsselung wird deshalb wieder aus dem Linux-Kernel entfernt.

Telekommunikationsanbieter sollen nach Wunsch der Innenminister der Five-Eyes-Staaten Techniken zur Entschlüsselung ihrer Dienste entwickeln.

Ein Trusted Platform Module (TPM) soll bestimmte Sicherheitsfunktionen für Rechner in einer eigene Hardware-Einheit bereitstellen. Intel stellt seine Implementierung der Software für die TPM2-Unterstützung als Open Source für Linux und Windows bereit.

Das besondere elektronische Anwaltspostfach (BeA) soll am heutigen Montag wieder starten. Es war seit Dezember vergangenen Jahres aufgrund zahlreicher Sicherheitslücken offline. Nach wie vor sind viele Fragen in Sachen Sicherheit ungeklärt.
Von Hanno Böck

Das Bundesverfassungsgericht wollte über die Speicherung aller Kommunikationsdaten urteilen. Doch nun soll es den EuGH anrufen. Es könnte das Ende der Vorratsdaten sein.

Ifa 2018 Vayyar bringt seinen RF-Sender als Smart-Home-Gerät in den Haushalt: Vayyar Haus soll als unauffälliges Wandgerät Stürze registrieren und Hilfe rufen. Außerdem plant der Hersteller, seine Radiowellentechnologie für die Erkennung von Händen zu verwenden.
Ein Hands on von Tobias Költzsch

Google stellt seine Open-Source-Kryptobibliothek Tink offiziell in Version 1.2.0 vor. Tink soll die Sicherheit in verschiedenen hauseigenen Projekten einfacher gewährleisten und das auch externen Entwicklern ermöglichen.

Um die Sicherheitslücken Meltdown und Spectre zu schließen, hatte Intel den beteiligten Unternehmen aus der Linux-Community verboten, zusammenzuarbeiten - wofür Entwickler Greg Kroah-Hartman Intel stark kritisiert. In Nachhinein profitiert die Community jedoch von den Ereignissen.

Das Safety Critical Project for Linux OS (SCL) von Intel soll eine neue Linux-Distribution mit Fokus auf Sicherheit erstellen. Diese Distribution soll in autonomen Robotern, Drohnen, Autos und kritischer Infrastruktur zum Einsatz kommen.

Was Google inzwischen gestoppt hat, ist bei Yahoo weiter üblich. Geschäftliche E-Mails dienen dem US-Konzern für die Analyse von Nutzerinteressen.

Im vergangenen Jahr hat das Team von Positive Technologies gleich mehrere Sicherheitslücken in Intels Management Engine (ME) gefunden. Eine davon führte zum Vollzugriff auf die ME per USB. Das Team stellt nun den Code dafür bereit.

Eine erfolgreiche Cyberattacke gegen einen Mitgliedstaat reiche aus, um den gesamten Prozess der Wahl zum Europäischen Parlament 2019 zu kompromittieren, warnen Mitglieder einer EU-Kooperationsgruppe zur Netzwerksicherheit. Die Funktion der Staatengemeinschaft könnte beeinträchtigt werden.
Von Stefan Krempl

Die österreichische Ratspräsidentschaft will es den EU-Mitgliedstaaten erlauben, sogar die digitalen Fingerabdrücke von Kindern unter zwölf Jahren in Personalausweise einzubauen. Außen vor bleiben nur Personen, bei denen es physikalisch unmöglich ist, die biometrischen Merkmale zu erheben.
Von Stefan Krempl

Die umfangreiche Speicherung von Standortdaten durch Google ruft die Bundesregierung auf den Plan. In einem Brief an das Unternehmen soll das Justizministerium aber unterschiedliche Vorwürfe verwechselt haben.

Die Modems in Smartphones lassen sich über sogenannte At-Befehle steuern. Forscher untersuchen in einer ausführlichen Studie nun systematisch die verfügbare Befehle, über die sich auch Android-Systeme manipulieren, die Display-Sperre umgehen oder Daten herausleiten lassen.

Der Postscript-Parser von Ghostscript ist nicht besonders sicher, er wird jedoch an zahlreichen Stellen automatisiert aufgerufen. Damit lassen sich etwa Bildkonvertierungen mittels Imagemagick oder Linux-Dateimanager angreifen.

Wie lange dürfen Firmen die Aufnahmen interner Überwachungskameras speichern? Das Bundesarbeitsgericht hat nun ein sehr arbeitgeberfreundliches Urteil gesprochen.

Die vermeintliche VPN-App Onavo Protect ist nicht länger in Apples App Store zu bekommen. Auf Wunsch von Apple hat Facebook die App entfernt. Die Onavo-App wird als fragwürdig eingestuft, weil sie alle Daten auswertet, die über die VPN-App geleitet werden.

Eine Studie behauptet, dass Android-Smartphones Hunderte Male am Tag unbemerkt Ortungsdaten an Google übermitteln. Das Unternehmen widerspricht, während in San Francisco in einem anderen Fall eine Sammelklage wegen Verletzung der Privatsphäre eingereicht wurde.

Seit Januar konnte die Verschlüsselung auf Basis des Signal-Protokolls in Skype getestet werden, jetzt ist sie allgemein verfügbar. Private Konversationen sind nur zwischen zwei Personen möglich und müssen bestätigt werden. Auch andere Einschränkungen gibt es, damit eine Unterhaltung sicher bleibt.

In einer Datenbank der Berliner Polizei werden sensible Informationen gespeichert. Unzureichender Schutz erleichtert offenbar den Missbrauch.

Trotz deaktivierter Standortverläufe auf dem Smartphone sammelt Google weiterhin fleißig die Geodaten der Geräte. Ein Nutzer hat Klage gegen diese Praxis eingereicht.

Die verschlüsselten Nachrichten von Messenger-Apps wecken immer wieder die Begehrlichkeiten von Ermittlern. Nach einem ähnlichen Versuch bei Whatsapp soll Facebook nun Zugriff auf seinen Messenger gewähren.