Es war zum Glück eine Falschmeldung, dass Hawaii mit Raketen angegriffen wird. Aber sie sorgte für reichlich Verunsicherung unter den Bewohnern. Panik kann eine starke Waffe sein - und sie auszulösen ist nicht so schwierig, wie Sicherheitsforscher herausgefunden haben.

Trotz modernerer Technik sind Fax-Geräte noch immer weit verbreitet. Wenn diese als Multifunktionsdrucker ans Firmennetzwerk angeschlossen sind, können sie Hackern einen leichten Einstieg bieten.

Die spekulative Ausführung von Code führt erneut zu einer Sicherheitslücke auf Intel-Prozessoren. Mit Foreshadow können Prozesse über den Level-1-Cache unberechtigt Speicher auslesen. Besonders kritisch ist das in virtualisierten Umgebungen.

Die Stadt New York will mit moderner Technik den Klimaschutz verbessern. In einem internationalen Wettbewerb konnte ein Berliner Startup mit seinem Ladekonzept für Elektroautos überzeugen.

Wie normale Texte besitzt auch Programmiercode bestimmte stilistische Eigenschaften. Diese reichen aus, um auch aus anonymen Codefragmenten den Autor herauszulesen, wie zwei Wissenschaftler zeigen. Ihre Methode funktioniert sogar mit kompiliertem Code recht zuverlässig.

Elon Musk ist überzeugt, dass Teslas Fahrzeugsicherheitssoftware die beste Lösung gegen Hackerangriffe auf Autos ist. Er plant, sie kostenlos für andere Autohersteller anzubieten und als Open Source zu veröffentlichen. Gleichzeitig sollen Hacker bei ihren Teslas die Garantie nicht mehr verlieren.

Ein Cubesat auf Sabotagekurs: Noch ist das nur ein Science-Fiction-Szenario. Doch drei US-Wissenschaftler warnen, dass die Satelliten gehackt und auf Kollisionskurs mit anderen Raumfahrzeugen geleitet werden könnten. Sie fordern, dass sich Raumfahrtunternehmen dazu verpflichten, Minisatelliten mit Verschlüsselungssystemen auszustatten, um das zu verhindern.

Auf der Black-Hat-Konferenz in Las Vegas sind zum elften Mal die Pwnie Awards für die besten Hacks und schlimmsten Misstritte der IT-Sicherheitsindustrie verliehen worden.

Ein neues Opensource-Tool zur Gesichtserkennung kann Personen automatisiert auf verschiedenen Plattformen aufspüren. Das von Mitarbeitern der Sicherheitsfirma Trustwave entwickelte Programm richtet sich zwar an Penetrationstester, bietet aber auch Potenzial für Missbrauch.

Effizient und schnell sollen die Zugangskontrollen bei den Sommerspielen in Tokio in zwei Jahren sein. Die Veranstalter setzen auf ein biometrisches System von NEC: Teilnehmer - Athleten ebenso wie Mitarbeiter und Journalisten - müssen ihr Gesicht scannen lassen.

Einer IT-Sicherheitsfirma ist es offenbar gelungen, zitierte Whatsapp-Nachrichten zu manipulieren. Whatsapp sieht darin kein Problem, weil 90 Prozent aller Nachrichten sowieso nur eins zu eins stattfänden.

Beim beliebten Paketmanager Homebrew für MacOS ist es möglich gewesen, unbefugt Commits im offiziellen Github-Repo des Projekts einzufügen. Grund war ein öffentlich einsehbarer Github-API-Token.

Was tun gegen eine Drohne, die mit Sprengstoff beladen ist und einer Menschenmenge entgegenfliegt? Der US-Konzern Lockheed Martin soll eine Mikrowellenwaffe bauen, mit der die Drohne abgeschossen werden kann. Der Anschlag auf den venezolanischen Präsidenten war aber nicht der Anlass für das Projekt.

Die vielfach kritisierte Blockchiffre Speck stammt von der NSA und ist im Linux-Kernel enthalten, damit auch günstigere und ältere Android-Geräte eine Dateisystemverschlüsselung bekommen. Google präsentiert nun jedoch eine eigene Alternative und Speck kann wieder entfernt werden.

Eigenen Angaben zufolge nutzt mittlerweile 50 Prozent von Facebooks Traffic TLS 1.3. Genutzt wird dies vor allem in der eigenen Infrastruktur und weltweit in allen Mobile-Apps. Die verwendete Bibliothek Fizz ist nun Open Source.

Elektronische Abstimmungen sind wegen möglicher Manipulationen stark umstritten. Doch nun will ein US-Bundesstaat sogar die Stimmabgabe per Smartphone erlauben.

Das Bundeskartellamt will Amazon Marketplace untersuchen. Wie genau die Prüfung aussieht, ist noch offen.

Facebook verhandelt mit Großbanken über eine Kooperation, um Nutzern zum Beispiel das Abfragen des Kontostandes über Messenger zu ermöglichen. Persönliche Finanzdaten sollen dabei nicht für Werbezwecke genutzt werden. Ein zweites Whatsapp?

Nach Kritik an einer neuen, nicht deaktivierbaren Analytics-Funktion gibt der Hersteller der Aufräumsoftware Ccleaner nach und entfernt die aktuelle Version 5.45 von seiner Webseite.

Beim weltweit größten Auftragsfertiger, der TSMC, hat Schadsoftware mehrere Tools befallen und damit einige Halbleiterwerke temporär gestört - der Umsatz büßt ein paar Prozent ein. Der Hersteller fertigt derzeit in Taiwan die A12-Chips für Apples nächste iPhone-Generation.

Apples neuer USB Restricted Mode soll eigentlich unbefugte Datenverbindungen zum iPhone und iPadverhindern. Ein unangenehmer Nebeneffekt kann aber sein, dass das Smartphone nicht mehr aufgeladen wird. Passiert das häufiger, kann die neue Sicherheitsfunktion einfach abgestellt werden.

Ein Team ehemaliger GPG-Entwickler arbeitet mit dem Sequoia-Projekt an einer OpenPGP-Implementierung in Rust. Sie soll den Umgang mit PGP erleichtern und aktuellen Plänen zufolge erstmals im kommenden Herbst stabil erscheinen.

Die Videoplattform Dailymotion muss ein Bußgeld für den unzureichenden Schutz von über 80 Millionen E-Mail-Adressen bezahlen. Ein im Github-Repository des Unternehmens veröffentlichtes Admin-Passwort hatte Hackern 2016 Tür und Tor geöffnet.

Einem aktuellen Prüfbericht zufolge hat der US-Nachrichtendienst viele der Sicherheitsregeln, die nach den Snowden-Leaks eingeführt wurden, nicht oder nicht vollständig umgesetzt. Die zuständige Aufsichtsbehörde hat fast 700 Empfehlungen ausgesprochen.

Angreifern ist es gelungen, Nutzerdaten, Nachrichten sowie alte Passwort-Hashes aus einem Backup der Webseite Reddit zu kopieren. Offenbar reichte das Abfangen einer SMS zur Zwei-Faktor-Authentifizierung zum Eindringen in die Systeme.

Zwei Jahre nach der ersten öffentlichen Vorstellung ist die VPN-Lösung Wireguard erstmals zur Aufnahme in den Linux-Kernel vorgeschlagen worden. Bis zur endgültigen Aufnahme dürfte es zwar noch dauern, das Projekt bekommt aber viel prominente Unterstützung.

In einem White Paper macht US-Senator Mark Warner 20 Vorschläge, wie große Onlineplattformen an die Leine gelegt werden könnten. Von besserer Medienbildung für Kinder bis zu einer Interoperabilitätspflicht ist alles dabei.

Ein Druck- und Faxgerät des Hauptzollamtes München war über das öffentliche WLAN des Flughafens München erreichbar. Erst nach einem Hinweis des Projekts Internetwache.org wurde das Gerät aus dem WLAN entfernt und entsprechende Sicherungsmaßnahmen eingeleitet.
Ein Bericht von Sebastian Neef und Tim Philipp Schäfers

Die Befugnisse zum Abruf von Informationen über Konten bei Finanzdienstleistern werden ständig weiter ausgeweitet und immer häufiger genutzt. Berechtige Ämter haben allein im ersten Halbjahr 38 Prozent mehr Anträge gestellt und die Zahl auf 391.442 hochgeschraubt. An vorderster Stelle stehen Gerichtsvollzieher.
Von Justus Staufburg

Nach einer Wartezeit von mehr als 100 Tagen vermutet Curl-Entwickler Daniel Stenberg inzwischen, dass die USA ihm wohl auch ein zweites Mal die Einreise verweigern wird. Er kann damit nicht an den Konferenzen seines Arbeitgebers Mozilla teilnehmen.

Bisher gibt es kaum Informationen zur Auswirkung der Lücke im Bluetooth-Pairing auf Linux-Systeme. Es gibt zwar einen Patch, der das Problem grundlegend löst - und damit auch für andere Verwendungszwecke als Bluetooth dienen kann. Bis der Patch die Nutzer erreicht, dauert es aber wohl noch mehrere Wochen.

Bisher gibt es in den USA kein landesweites Datenschutzgesetz. Seit Juni haben sich Mitarbeiter des Wirtschaftsministeriums mit Google, Facebook und vielen anderen Technologiekonzernen getroffen, um das zu ändern. Die Motive sind vielfältig.

Telegram Passport ist eine Funktion, mit der Nutzer ihre Ausweisdaten in eine abgesicherte Cloud hochladen können. Drittanbieter können damit das Alter und die Identität prüfen, und Nutzer müssen nicht jedes Mal ihre Daten hochladen. Ein paar offene Fragen zur Sicherheit gibt es noch.

Mit den sogenannten Shielded VMs will Google die virtuellen Maschinen seiner Kunden vor Bootkits und Rootkits schützen. Für Container, die von Kubernetes verwaltet werden, gibt es künftig eine Authentifizierung, und die Container Registry durchsucht Container nach bekannten Sicherheitslücken.

Der Bundesgerichtshof hat ein Grundsatzurteil zur Haftung für offene Wi-Fi-Hotspots gesprochen. Das seit 2017 geltende neue Telemediengesetz mit der Abschaffung der Störerhaftung wurde bestätigt. Wenn Urheberrechte verletzt werden, kann aber eine Sperrung von Filesharing-Software verlangt werden.

Laden nach Verbrauch ist in Deutschland nach dem Eichrecht nicht erlaubt. Abgerechnet wird derzeit nur pauschal der Ladevorgang des Elektroautos. Das wird sich ändern: Die ersten beiden Module, die Abrechnung nach Zeit oder Strommenge ermöglichen, sind zugelassen und dürfen auf den Markt gebracht werden.

Ein in der Szene bekannter Cracker mit dem Pseudonym Voksi ist in Bulgarien angeklagt worden. Die Firma hinter der Anti-Tamper-Software Denuvo (Jurassic World Evolution) hat bestätigt, dass sie dafür mit den Behörden des Landes zusammengearbeitet hat.

Eine Schwachstelle bei der Implementierung der Verschlüsselung mit elliptischen Kurven im Bluetooth-Protokoll kann dazu genutzt werden, das Pairing von Bluetooth-Geräten anzugreifen. Grund dafür ist ein sogenannter Invalid-Curve-Angriff.

Mit der nun veröffentlichten Chrome-Version 68 warnt Google vor allen Webseiten, die noch mit ungeschützten HTTP-Verbindungen übertragen werden. Viele Seitenbetreiber dürfte das überraschen.

Ein unbekannter Entwickler verteilt die freie Officesuite Libreoffice über den Microsoft Store und bietet diese auch zum Kauf an. Die Macher von Libreoffice haben damit nichts zu tun und nennen das Angebot irreführend. Die App ist nicht mehr verfügbar.

Einen fremden Roboter über das Internet fernzusteuern, ist gar nicht so schwierig, haben US-Forscher festgestellt. Sie fanden diverse Roboter über das Netz und übernahmen die Kontrolle über einen. Die Wissenschaftler warnen vor dieser Schwachstelle.

Subdomain Takeover wird in der IT-Security- und Hacker-Szene immer beliebter. Denn mit der einfachen Übernahme einer verwaisten Subdomain lassen sich schöne Angriffe durchführen oder Bug Bountys von Unternehmen einstreichen.
Von Moritz Tremmel

Dirty Harry und seine Kollegen sind anscheinend wieder zurück: Die Verbraucherzentrale berichtet von vermehrten Betrugsversuchen durch angebliche Microsoft-Support-Mitarbeiter und gibt Tipps im Umgang mit diesen. Hilfreich: ein gesunder Menschenverstand.

Eine von Google in Kooperation mit Microsoft, Twitter und Facebook ins Leben gerufene Open-Source-Initiative will sich der Portabilität von Nutzerdaten annehmen und dafür entsprechende Werkzeuge entwickeln. Hilfreich sei das auch mit Blick auf die DSGVO.

Das Startup Digital Asset hat mit der Google Cloud eine Plattform für sein Blockchain-SDK DAML gefunden. Gleichzeitig ist das für Google eine Gelegenheit, ein momentan besonderes Produkt im Vergleich zur Konkurrenz zu bieten. Mögliche Anwendungsgebiete liegen in der Medizin und als Bezahldienst.

Ein Unbekannter stellte Funksprüche von Rettungsdiensten mit Namen und Adressen von Betroffenen aus dem Landkreis Recklinghausen ins Internet. Möglich ist das, weil die Daten über ein unverschlüsseltes Protokoll namens Pocsag verschickt werden.

Das Team von NetBSD hat Version 8.0 des freien Unix-Systems veröffentlicht. Neu sind die Unterstützung für USB 3, Reproducible Builds, neue Sicherheitstechniken und Patches gegen Meltdown und Spectre, die aber nicht zurückportiert werden.

Durch das Ausnutzen einer Sicherheitslücke konnte ein Forscher bis in Googles internes Netz vordringen und dort auf die Cluster-Verwaltung Borg zugreifen. Die Lücke ist geschlossen, der Forscher hat eine Prämie von Google erhalten.

Wer einsteigt, gibt sein Einverständnis, dass er gefilmt wird - warnte ein Aufkleber am Auto eines Fahrers, der für Uber und Lyft im Einsatz ist. Was der Aufkleber verschwieg: Das Video war im Internet abrufbar. Uber hat den Fahrer suspendiert.

Beim Bearbeiten der Flugbuchung oder beim Einchecken auf ba.com würden per URL persönliche Reisedaten an Dritte wie Twitter und Werbeunternehmen wie DoubleClick gesendet, sagt ein IT-Experte. Die Fluggesellschaft weiß von nichts und verweist auf ihre Cookie-Policy.