Sicherheitslücke

Im Gerichtsverfahren der Facebook-Tochter Whatsapp gegen den Trojaner-Hersteller NSO kommen neue Details ans Licht.

Der Videokonferenz-Anbieter Zoom will mit Passwörtern und verpflichtender Zugangskontrolle das sogenannte Zoombombing verhindern.

Ein Update für den Firefox-Browser schließt zwei kritische Sicherheitslücken.

Zugriff auf die Kamera, Root-Rechte und bösartige Links - in Sachen Sicherheit steht Zoom nicht gut da.

Die elektronische Patientenakte soll schon von 2021 an Gesundheitsdaten speichern. Ein sinnvoller Datenschutz folgt erst ein Jahr später.

Bei der Entwicklung einer App, mit der Patienten ihre Covid-19-Testergebnisse abrufen können, wurde wenig Wert auf Sicherheit gelegt.

Die New Yorker Generalstaatsanwältin hinterfragt die Sicherheitsmaßnahmen von Zoom.

Angreifer haben den Kanal in "Microsoft US" umbenannt und bewerben ein Bitcoin-Gewinnspiel.

Über das internationale Netzwerk der Mobilfunk-Betreiber lässt sich jedes Handy tracken - die Saudis nutzen dies laut einem Whistleblower aus.

Von der Datenübermittlung an Facebook will der Hersteller der Videokonferenz-Software Zoom nichts gewusst haben.

Alte Verbindungen werden unter Apples iOS derzeit am VPN vorbeigeleitet.

Die Videokonferenz-Software Zoom hat etliche Datenschutzprobleme.

Gehackte Router leiten bekannte Domains auf eine gefälschte Warnung der WHO um und versuchen, ihren Opfern eine Schadsoftware unterzujubeln.

Viele Details der geplanten Coronavirus-App sind noch unklar. Standortdaten sollen aber nicht dafür erforderlich sein.

Eine Windows-Sicherheitslücke wird bereits angegriffen. Microsoft beschreibt verschiedene Workarounds.

Insgesamt fünf Sicherheitslücken hat Trend Micro in seiner Anti-Viren-Software geschlossen.

Mit SIM-Swapping haben Kriminelle bei Dutzenden Österreichern Geld abgehoben. Nun wurden sie verhaftet.

Der Antivirensoftware-Hersteller Avast reagiert auf eine schwerwiegende Sicherheitslücke, die von Googles Project Zero entdeckt wurde.

Microsoft hat einen Patch für eine gefährliche Lücke im SMBv3-Protokoll veröffentlicht. Dieser sollte schnell eingespielt werden.

Ein Hacker überlistet die Domain-Validierung von Google dank einer kaputten Regex. Die stammt offenbar aus einem IETF-Standard.

Google Authenticator, Microsoft Authenticator und etliche andere Apps zur Zwei-Faktor-Authentifizierung haben keinen Schutz vor Screenshots eingerichtet. Eine Schadsoftware soll dies bereits ausnutzen.

Neben einem Schlüssel setzen Toyota, Hyundai und Kia bei einigen Modellen auf eine RFID-basierte Wegfahrsperre. Diese konnten Sicherheitsforscher jedoch einfach umgehen. Die Autos seien wieder so unsicher, wie in den 80ern.

Mit zwei Sicherheitslücken in AMD-Prozessoren seit 2011 sollen sich Speicherverwürfelung aushebeln und Daten auslesen lassen. AMD kritisiert die Forschungsergebnisse jedoch als nichts Neues.

Bis zum Chaos sei es nur eine Frage der Zeit, schreiben die ME-Hacker. Intel versucht, das zu verschweigen, und kann das Security-Theater eigentlich auch gleich sein lassen.
Ein IMHO von Sebastian Grüner

Eigentlich wollte Let's Encrypt letzte Nacht drei Millionen Zertifikate zurückziehen. Viele sind aber nach wie vor gültig. Let's Encrypt hat sich offenbar entschieden, noch in Benutzung befindliche Zertifikate vorerst auszunehmen.

Das Jailbreak-Werkzeug Checkra1n ist in einer neuen Version erschienen. Damit kann ein iPhone-Jailbreak mit einem Android-Smartphone durchgeführt werden. Dabei müssen allerdings bestimmte Bedingungen erfüllt werden und es gibt eine Einschränkung.

Heute kein neuer Pass und kein Elterngeld: Die Schadsoftware Emotet hat in den vergangenen Monaten etliche Behörden in Deutschland lahmgelegt. Doch woher kommt dieser Fokus auf die Behörden, ist die Sicherheit so desaströs?
Von Moritz Tremmel

Seit fast einem Jahr lassen sich auf vielen Android-Smartphones mit Mediatek-Chip leicht Root-Rechte erlangen. Schad-Apps nutzen diese bereits aus, dennoch gibt es kaum Hersteller, die einen Patch ausliefern. Nun will Google ihn selbst verteilen.

Ein Fehler bei Let's Encrypt hat dazu geführt, dass der Check von CAA-DNS-Records nicht korrekt durchgeführt wurde. Die Zertifizierungsstelle zieht jetzt kurzfristig betroffene Zertifikate zurück, was für einige Probleme sorgen dürfte.

Troy Hunt wollte seinen Passwort-Leak-Checker Have I been Pwned? verkaufen. Doch nach einem für Hunt frustrierenden Prozess entschied er sich letztendlich, das Projekt nun doch unabhängig selbst weiterzubetreiben.

Mehr als 2.000 Kunden in 27 Ländern haben sich für die App von Clearview AI entschieden. Diese ist erst kürzlich durch ein Datenleck aufgefallen. Neben Sicherheitsbehörden setzen auch Supermarktketten auf die umstrittene Gesichtserkennungssoftware.

Die 2-GB-Variante des Raspberry Pi kostet mit einem Preis von 35 US-Dollar dauerhaft 10 US-Dollar weniger. Die Preise der 1-GB- und 4-GB-Varianten bleiben zwar gleich, doch es gibt noch weitere gute Nachrichten für die Raspberry-Pi-Community.

Was haben ein iPhone, ein Raspberry Pi 3 und ein Amazon Echo gemeinsam? Alle drei haben einen WLAN-Chip von Broadcom, mit dem sich Teile des WLAN-Traffics mitlesen lassen.

Die Entwickler von Netflix haben ihr Framework Dispatch als Open Source veröffentlicht. Damit will das Team besser auf kritische Situationen vorbereiten, auf die schnell reagiert werden muss.

Mit der Sicherheit von Ladekarten für Elektroautos ist es nicht weit her. Nun hat das deutsche Eichrecht bei vielen Säulen die einzige Hürde beseitigt, die dem Klonen beliebiger Karten im Wege stand.
Ein Bericht von Friedhelm Greis

Eine Sicherheitsfirma hat im Februar 2019 ein Sicherheitsproblem im Zusammenspiel von Google Pay und Paypal gefunden und an Paypal gemeldet. Jetzt wird das Problem offenbar von Kriminellen ausgenutzt.

Ein Sicherheitsforscher konnte in den vergangenen Jahren Hunderte Microsoft-Subdomains kapern, doch trotz Meldung kümmerte sich Microsoft nur um wenige. Doch nicht nur der Sicherheitsforscher, auch eine Glücksspielseite übernahm offizielle Microsoft.com-Subdomains.

Nach einem Datenleck bei der Hotel- und Casinokette MGM sind die persönlichen Daten von Millionen Hotelgästen an die Öffentlichkeit gelangt. Unter den Betroffenen sind auch bekannte Persönlichkeiten wie Justin Bieber und Jack Dorsey.

Sechs Monate hatten Angreifer Zugriff auf das interne Netz Citrix und konnten dabei umfangreich Daten kopieren. Mitbekommen hatte der Netzwerkdienstleister den Angriff erst nach einem Hinweis des FBI. Rund ein Jahr später informiert Citrix nun die Betroffenen - zumindest in den USA.

Ein Wordpress-Plugin hat eine Funktion, mit der man die komplette Datenbank neu aufsetzen kann. Das Problem dabei: Diese Funktion lässt sich auch ohne Authentifizierung erreichen - und ermöglicht in manchen Fällen ein Übernehmen des Wordpress-Systems.

Ein Sicherheits-Patch für Windows 10 wird nicht länger verteilt. Der Patch hat auf einigen HP-Computern für Probleme gesorgt.

Das französische Unternehmen Nextmotion hat wichtige Daten seiner Kunden in einer komplett offenen Datenbank abgelegt. Angreifer konnten darauf per IP-Adresse zugreifen. Dazu gehörten Hunderttausende Bilder von Gesichtern und Körperregionen von Patienten, die sich einer Schönheitsoperation unterzogen hatten.

Mit eigenen Änderungen der Android-Gerätehersteller am Kernel und an Sicherheitsfunktionen schleichen sich auch vermeidbare Fehler ein, schreibt ein Google-Entwickler. Grund sei die fehlenden Zusammenarbeit mit der Linux-Kernel-Community.

Im mittlerweile dritten Anlauf warnt Microsoft vor einer kritischen Sicherheitslücke im Internet Explorer, die aktiv ausgenutzt wird. Eine weitere kritische Lücke in Edge ermöglicht ebenfalls das Ausführen von Code. Das Unternehmen hat zudem eine Vielzahl anderer Lücken geschlossen.

Hinter dem Hack des US-Scoring-Dienstes Equifax stehen nach Ansicht von US-Ermittlern chinesische Militär-Hacker. Mehrere Monate lang sollen sie eine Sicherheitslücke in Apache Struts ausgenutzt haben.

Mehrere Sicherheitslücken in Cisco-Geräten ermöglichen es Angreifern, im Netzwerk Schadcode auszuführen. Die Lücke betrifft wohl Millionen von Geräten und könnte in Verbindung mit weiteren Lücken gravierende Folgen haben.

Mit den Februar-Updates für Android schließt Google eine Sicherheitslücke im Bluetooth-Stack, die das Ausführen von Code durch Angreifer ermöglicht. Dazu müssen diese nur in der Nähe der Geräte sein. Weitere Fehler in Android ermöglichen die Rechteausweitung.

Über präparierte Whatsapp-Nachrichten konnte ein Sicherheitsforscher auf lokale Dateien unter Windows und MacOS zugreifen. Der Angriff funktionierte, da Whatsapp Desktop auf einer völlig veralteten Version von Chrome basiert hat - mit weiteren Sicherheitslücken.

Für einen kurzen Zeitraum im November hat ein Bug bei Google Fotos dafür gesorgt, dass beim Export der persönlichen Daten Videos vertauscht wurden. Einige Nutzer erhielten Zugriff auf die Privatvideos von anderen.

Bisher hatte es die Hackergruppe Winnti auf Unternehmen wie Bayer oder Siemens abgesehen, nun haben sich die Ziele verändert. Statt Wirtschaftsspionage geht die APT gegen protestierende Studenten in Hong Kong vor.