Sicherheitslücke

Warum Sicherheitslücken für Smartphones suchen, wenn man viel einfacher an die Kommunikation der Nutzer gelangen kann? Das hat sich offenbar die Spionageorganisation der Vereinigten Arabischen Emirate gedacht.

Die Berliner Polizei hatte schon öfter Ärger wegen ihrer Datenbank Poliks. Nun wurden weitere Missstände bei der Nutzung des Systems bekannt.

Eine Sicherheitslücke in den Paketmanangern für Node.js, NPM und Yarn, ermöglicht das Unterschieben und Manipulieren von Binärdateien auf dem Client-System. Updates stehen bereit.

Ein bösartiges Git-Repository kann von Angreifern unter Umständen dazu genutzt werden, Code auf Client-Rechnern auszuführen. Diese und einige weitere Lücken sind auf Eigenheiten von Windows zurückzuführen und von Microsoft gefunden worden.

Durch eine gezielte Analyse und Manipulation von TCP-Paketen könnten Angreifer eigene Daten in VPN-Verbindungen einschleusen und diese so übernehmen. Betroffen sind fast alle Unix-artigen Systeme sowie auch VPN-Protokolle. Ein Angriff ist in der Praxis wohl aber eher schwierig.

Einwohner der niederländischen Gemeinde Gouda können sich ihre WLAN-Überwachungskameras subventionieren lassen. Kleiner Haken: Sie müssen die Bilder per Cloud für die Polizei zugänglich machen.

Das auf Sicherheit fokussierte Betriebssystem OpenBSD hat eine Sicherheitslücke geschlossen, mit der sich die Authentifizierung auch aus der Ferne umgehen lässt. Das betrifft den SMTP-, LDAP- und Radius-Daemon.

Unter Android können sich Schad-Apps als legitime Apps tarnen und weitere Berechtigungen anfordern. Die Strandhogg genannte Sicherheitslücke wird bereits aktiv ausgenutzt und eignet sich beispielsweise für Banking-Trojaner. Einen Patch gibt es nicht.

Ein Krimineller bietet die Daten von Millionen Mixcloud-Nutzern zum Verkauf an. Laut Mixcloud soll es sich nicht um alle User handeln.

Mit dem SMS-Nachfolger RCS werden SMS und Telefonanrufe über das Internet abgewickelt - mit einem vorgegebenen Passwort. Mit diesem können auch klassische SMS unbemerkt mitgelesen werden. Eine entsprechende Konfigurationsdatei lässt sich von jeder App empfangen.

Mit dem Nitrokey Fido2 ist erstmals passwortloses Anmelden mit Webauthn möglich. Auch eine starke Zwei-Faktor-Authentifizierung unterstützt der nun offiziell veröffentlichte Sicherheitsschlüssel. Eine Besonderheit ist die aktualisierbare Firmware, die er sich mit den Solokeys teilt.

Datenschutzvorfall bei Oneplus: Der Smartphone-Hersteller weist darauf hin, dass Kundendaten in falsche Hände gelangt sind. Das ist bereits der zweite Vorfall in zwei Jahren.

Als Teil des Project Zero erklärt Google nun erstmals die Suche nach 0-Day-Lücken. Geholfen hat im Fall einer Kernel-Lücke etwa auch Marketing-Material des Exploit-Verkäufers. Die Community soll mithelfen.

Über die Kamera-Apps von Google und Samsung konnten andere Apps auch ohne eine entsprechende Berechtigung Bild- und Tonaufnahmen erstellen. Auch ein Zugriff auf GPS und das Mitschneiden von Telefongesprächen war möglich. Andere Hersteller könnten ebenfalls betroffen sein.

Der Elektronikhändler Conrad meldet, dass ein Angreifer Zugang zu Kundendaten und Kontonummern gehabt habe. Grund dafür war eine ungesicherte Elasticsearch-Datenbank.

Was ist das Hacken einer Bank gegen die Gründung einer Bank? Dieses abgewandelte Brecht-Zitat scheint das Motto von Phineas Fisher zu sein. Mit dem erbeuteten Geld will er antikapitalistische Hacks anstiften.

Die Ransomware Nextcry verschlüsselt die Daten im Cloudspeicher von Nextcloud-Installationen. Auf den Server gelangt sie nicht über die Nextcloud, sondern über eine bereits gepatchte Sicherheitslücke in PHP.

Neben Sammelkarten konnten auch Nutzerdaten bei dem Hersteller des Spiels "Magic: The Gathering" gesammelt werden. Das Unternehmen ließ eine Backup-Datenbank mit den Nutzerdaten von hunderttausenden Spielern frei zugänglich im Internet.

Etliche Zero-Day-Exploits in verschiedenen Softwareprojekten sind im Rahmen des Hackerwettbewerbs TianfuCup gezeigt worden, der chinesischen Version von Pwn2Own. Insgesamt gewannen die Hacker mehrere 100.000 US-Dollar.

Mit einem Timing-Angriff lassen sich Signaturschlüssel auf Basis elliptischer Kurven aus TPM-Chips extrahieren. Mal wieder scheiterten Zertifizierungen daran, diese Fehler frühzeitig zu finden.

Update Der Deutsche Journalistenverband fordert Aufklärung von Innenminister Horst Seehofer. Bisher habe sich dieser nicht zu der Frage geäußert, ob auch deutsche Sicherheitsbehörden die NSO-Spionage-Software Pegasus eingesetzt haben. Es gehe um mögliche Verstöße gegen die Grundrechte.

Intel hat seit April 2019 von Zombieload v2 alias TSX Asynchronous Abort (TAA) gewusst, dennoch sind neue CPUs wie Cascade Lake SP als geschützt beworben worden. Hinzu kommt mit Jump Conditional Code (JCC) ein Bug, dessen Microcode-Fix selbst in Spielen die Leistung reduziert.

Mit der Software Checkra1n kann auf vielen iPhones und iPads ein Jailbreak durchgeführt werden. Das funktioniert ab iOS 12.3 bis hin zur aktuellen Version 13.2. Verhindern lässt sich das Jailbreaken auch mit iOS-Updates nicht.

Auf Knopfdruck anmelden, ohne Passwort und PIN, aber mit Fingerabdruck: Genau das soll der neue Yubikey Bio unterstützen. Die Sicherheit von biometrischen Merkmalen ist allerdings umstritten.

Über Jahre speicherte die Immobiliengesellschaft Deutsche Wohnen personenbezogene Daten ihrer Mieter. Eine Löschung war nicht vorgesehen. Die Berliner Landesdatenschutzbeauftragte hat nun ein Bußgeld in Millionenhöhe verhängt.

Aus Sicherheitsgründen planen mehrere Browserhersteller, künftig ihre Caches nach Webseiten zu trennen. Das Laden von Resourcen über CDN-Netze lohnt sich danach nicht mehr.

Als eine Sicherheitslücke wie Wanna Cry beschreibt Microsoft Bluekeep. Nun entdeckten Sicherheitsforscher die erste Schadsoftware, die die Lücke ausnutzt. Diese ist jedoch noch weit entfernt von dem Worst-Case-Szenario.

Whatsapp hat den Trojaner-Hersteller NSO verklagt. Dieser soll 1.400 Whatsapp-Nutzer gehackt haben. Laut Reuters waren darunter neben Journalisten und Menschenrechtsaktivisten auch hochrangige Regierungsbeamte aus mindestens 20 Staaten. Laut NSO wurden nur Kriminelle und Terroristen angegriffen.

Google hat zwei Sicherheitslücken in seinem hauseigenen Browser Chrome geschlossen. Für eine der beiden Lücken soll ein Exploit existieren, der bereits aktiv eingesetzt wird. Nutzer des Browsers und seiner Derivate sollten schnellstmöglich das Update einspielen.

In 1.400 Fällen soll der Trojaner-Hersteller NSO eine Sicherheitslücke in Whatsapp für die Installation der Spyware Pegasus genutzt haben. Unter den Opfern sind Menschenrechtsaktivisten und Journalisten. Der Trojaner-Hersteller muss sich nun vor Gericht verantworten.

Update Mit der smarten Tierfutterstation Furrytail von Xiaomi lassen sich nicht nur die eigenen Haustiere füttern. Rund 11.000 Geräte konnte eine Sicherheitsforscherin weltweit einsehen - und fernsteuern.

Mit verschiedenen Tricks ist es Sicherheitsforschern gelungen, Apps für Google Assistant und Amazons Alexa zu erzeugen, die Nutzer belauschen oder Phishingangriffe durchführen. Die Apps haben den Review-Prozess von Google und Amazon überstanden.

Beim VPN-Anbieter NordVPN gab es offenbar vor einiger Zeit einen Zwischenfall, bei dem ein Angreifer Zugriff auf die Server und private Schlüssel hatte. Drei private Schlüssel tauchten im Netz auf, einer davon gehörte zu einem inzwischen abgelaufenen HTTPS-Zertifikat.

Das BSI sieht eine weiterhin steigende Bedrohung durch Gefahren im Internet, vor allem setzt demnach die Schadsoftware Emotet der Wirtschaft zu. BSI-Präsident und Bundesinneminister betonen ihre Hilfsbereitschaft in Sachen Cybersicherheit, appellieren aber auch an die Verantwortung von Verbrauchern und Unternehmen.

Der neue Fingerabdrucksensor des Galaxy S10 lässt sich offenbar umgehen, wenn ein Displayschutz von einem Dritthersteller genutzt wird. Der Hersteller arbeitet an einem Update.

Mit einer präparierten SMS können Daten aus dem Mobiltelefon ausgelesen werden. Die Sicherheitsfirma Adaptive Mobile hat den Simjacker genannten Angriff entdeckt und die betroffenen Staaten veröffentlicht. Demnach nutzte in drei Ländern eine Überwachungsfirma die Lücke aktiv aus.

E-Mail-Adressen, Nutzernamen und Passwörter von rund 330.000 Nutzern stehen zum Verkauf. Ein Angreifer konnte die Daten bei einem niederländischen und einem italienischen Escort-Forum über eine Sicherheitslücke in der Forensoftware auslesen. Kriminelle könnten die Betroffen erpressen.