Bevor Apple die Auswertung von Siri-Sprachdateien stoppte, mussten Mitarbeiter in Irland teilweise bis zu 1.000 Audio-Schnipsel pro Schicht auswerten. Meist handelte es sich nur um Sprachkommandos, manchmal waren aber auch persönliche Informationen darunter. (Apple, Google) Advertise on IT Security…
Schlagwort: Golem.de – Security
Fluggastdatenspeicherung: Vielflieger scheitert vor Gericht
Ein europäischer Fluggast hat gegen das BKA geklagt: Dieses solle seine Fluggastdaten nicht speichern, verarbeiten und übermitteln. Das Verwaltungsgericht Wiesbaden lehnte die Klage jedoch mit dem Verweis auf andere Datensammlungen ab. (Politik/Recht, Datenschutz) Advertise on IT Security News. Lesen…
Hackerone: Steam blockiert Sicherheitsforscher, statt Lücken zu patchen
Erst hat Steam eine Sicherheitslücke nicht anerkannt, dann sollte sie vertuscht werden. Nach ihrer Veröffentlichung wurde sie unzureichend gepatcht und der Entdecker vom Bug-Bounty-Programm ausgeschlossen. Nun hat der Forscher erneut eine Lücke gefunden – und Steam scheint langsam einzulenken. (Steam,…
Priceless Specials: Datenleck bei Bonusprogramm von Mastercard weitet sich aus
Jetzt auch mit den vollständigen Kreditkartennummern: Diese sollen sich in einer weiteren Datenbank mit rund 80.000 Einträgen befinden. Das bestätigt auch Mastercard in einer E-Mail an die betroffenen Kunden. Ein externer Dienstleister soll für das Datenleck verantwortlich sein. (Datenleck, Internet)…
Noch vor Cortana: Menschen werten Sprachaufnahmen seit sechs Jahren aus
Nicht erst mit der Einführung von Cortana hat Microsoft damit begonnen, Mitschnitte des eigenen Sprachassistenten durch Mitarbeiter anzuhören. Diese Praxis gibt es bereits seit sechs Jahren, angefangen hat es mit der Sprachsteuerung Kinect in der Spielekonsole Xbox One. (Xbox One,…
HTTPS: Browser blockieren kasachisches Überwachungszertifikat
In den Browsern von Mozilla und Google wird das TLS-Zertifikat, mit dem die kasachische Regierung zeitweise den Datenverkehr von Bürgern überwacht hat, gesperrt. (Man-in-the-Middle, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: HTTPS: Browser blockieren kasachisches…
HTTPS: Browser blockieren kasachstanisches Überwachungszertifikat
In den Browsern von Mozilla und Google wird das TLS-Zertifikat, mit dem die kasachstanische Regierung zeitweise den Datenverkehr von Bürgern überwacht hat, gesperrt. (Man-in-the-Middle, Firefox) Advertise on IT Security News. Lesen Sie den ganzen Artikel: HTTPS: Browser blockieren kasachstanisches…
Kernel: Defekte Dateisysteme bringen Linux zum Stolpern
In einer Diskussion um die Aufnahme eines neuen Dateisystems in den Linux-Kernel wird klar, dass viele Dateisystemtreiber mit defekten Daten nicht klarkommen. Das kann nicht nur zu Abstürzen führen, sondern auch zu Sicherheitslücken. (Dateisystem, Linux-Kernel) Advertise on IT Security…
Zahlungsdienstleister: Mastercard schließt Bonusprogramm nach Datenleck
Rund 90.000 gekürzte Kreditkarten-Nummern sowie weitere persönliche Daten enthält eine Datenbank, die aus einem Datenleck bei einem Bonusprogramm von Mastercard stammen soll. Der Zahlungsdienstleister spricht von einem „Problem“ und stoppt das Programm. (Datenleck, Freenet) Advertise on IT Security News.…
Remote Code Execution: Doppelte Hintertür in Webmin
In der Systemkonfigurationssoftware Webmin waren offenbar für über ein Jahr Hintertüren, mit denen sich übers Netz Code ausführen lässt. Den Angreifern gelang es dabei offenbar, die Release-Dateien des Projekts zu manipulieren. (Backdoor, Server-Applikationen) Advertise on IT Security News. Lesen…
Zoncolan: Facebook testet 100 Millionen Zeilen Code in 30 Minuten
Das Entwicklerteam von Facebook hat ein eigenes Werkzeug zur statischen Code-Analyse erstellt und stellt nun erstmals Details dazu vor. Das Projekt habe Tausende Sicherheitslücken verhindert. (Facebook, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Zoncolan: Facebook…
Be emobil: Berliner Ladesäulen auf Verbrauchsabrechnung umgestellt
Der Ladenetzbetreiber Allego hat die Abrechnung der öffentlichen Ladestationen in Berlin umgestellt. Statt eines Pauschalpreises für den Ladevorgang zahlen Elektroautomobilisten in Zukunft nach geladener Strommenge. (Elektroauto, RFID) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Be emobil:…
Corellium: Apple geht gerichtlich gegen iOS-Virtualisierungen vor
Das US-Unternehmen Corellium bietet nahezu perfekte Virtualisierungen von Apples iOS an – vornehmlich für Entwickler, die Schwachstellen im Betriebssystem aufdecken wollen. Apple geht das zu weit, weshalb es nun eine Urheberrechtsklage eingereicht hat. (Apple, Urheberrecht) Advertise on IT Security…
KNOB-Angriff: 8-Bit-Verschlüsselung mit Bluetooth
Die Verschlüsselung des Bluetooth-Protokolls lässt sich einfach aushebeln, ein Angreifer kann die Schlüssellänge kontrollieren und auf eine triviale Größe reduzieren. Abhilfe ist nicht in Sicht, die Bluetooth-Standardisierungsgruppe will die Schlüssellänge nur minimal erhöhen. (Bluetooth, Eingabegerät) Advertise on IT Security…
Antiviren-Software: Kaspersky-Javascript ermöglichte Nutzertracking
Die Kaspersky-Antivirensoftware bindet in jede Webseite eigenen Javascript-Code ein. Bis vor kurzem war dieser noch mit einer eindeutigen ID versehen, den man zum Tracking nutzen konnte. (Kaspersky, Virenscanner) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Antiviren-Software:…
Datenschutz: Kritik an Wahlkampf-App der Grünen
Die Grünen haben für den Haustürwahlkampf eine neue App entwickelt. Weil darin auch GPS-Daten und Hausnummern gespeichert werden, gibt es datenschutzrechtliche Bedenken. (BTW 2017, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz: Kritik an Wahlkampf-App…
Google: LED von Nest-Kameras lässt sich nicht mehr ausschalten
Google hat bei seinen Nest-Kameras die Möglichkeit deaktiviert, die Status-LED bei der Aufnahme zu deaktivieren – aus Gründen der Privatsphäre. Viele Nutzer haben kein Verständnis für diesen Schritt: Die eingeschaltete LED würde Einbrecher auf die Kamera hinweisen. (Google, Videoüberwachung) …
Elektroauto: Audi E-Tron erhält höchste Sicherheitsauszeichnung
Audis Elektro-SUV E-Tron hat als erstes akkubetriebenes Auto den Top Safety Pick+ Award des Insurance Institute for Highway Safety (IIHS) erhalten. Teslas Model X und 3 werden noch getestet. (Audi, Technologie) Advertise on IT Security News. Lesen Sie den…
Cortana und Skype: Datenschutzerklärung weist auf menschliches Mithören hin
Microsoft hat seine Datenschutzerklärung überarbeitet. Darin erfährt der Kunde erstmals offiziell, dass Sprachaufnahmen von Menschen angehört werden, wenn Cortana oder Skype-Übersetzungen verwendet werden. (Cortana, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Cortana und Skype: Datenschutzerklärung…
Amazon: Rekognition erkennt Angst aber keine Abgeordneten
Amazon hat das Gesichtserkennungssystem Rekognition überarbeitet. Die Erkennung soll verbessert worden sein. Außerdem kann das System eine weitere Emotion erfassen. Bei einem Test der ACLU offenbarte das System hingegen wieder Schwächen. (Amazon, Datenschutz) Advertise on IT Security News. Lesen…
Project Zero: Windows-Texteingabesystem bietet viele Angriffsmöglichkeiten
Ein Systemdienst für Texteingabemethoden, das es seit Windows XP gibt, wurde offenbar mit wenig Sicherheitsbewusstsein entwickelt. Tavis Ormandy von Google gelang es damit, als Nutzer Systemrechte zu erlangen. Es gibt ein Update von Microsoft, doch das behebt wohl nicht alle…
Messenger-App: Auch Facebook ließ Sprachaufnahmen abtippen
Nun hat es auch Facebook erwischt: Das soziale Netzwerk ließ offenbar Hunderte externe Mitarbeiter die Sprachnachrichten von Nutzern transkripieren, um die KI zu trainieren. (Siri, Apple) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Messenger-App: Auch Facebook…
August-Patchday: Hotel-Kette entdeckt kritischen Fehler in Adobe-CMS
Adobe muss am August-Patchday eine hohe Anzahl von Sicherheitslücken beseitigen, die aber meist keine unmittelbare Gefahr darstellen. In einem Fall hat jedoch Hyatt einen unangenehmen Fehler im CMS Experience Manager entdeckt. (Adobe, Photoshop) Advertise on IT Security News. Lesen…
Dejablue: Erneut Sicherheitslücken im Windows-Remote-Desktop
Microsoft warnt vor zwei Remote-Code-Execution-Bugs im Remote Desktop Service. Damit lassen sich Windows-Rechner übers Netz kapern, wenn sie die Remoteadministration aktiviert haben. Alle aktuellen Windows-Versionen sind betroffen. (Windows, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
DSGVO: Datenschutzauskunft als Sicherheitsrisiko
Die DSGVO verpflichtet Anbieter zur Herausgabe aller gespeicherten Daten mit Personenbezug. Die Vorschrift lässt sich auch zum Identitätsdiebstahl einsetzen. (Angela Merkel, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: DSGVO: Datenschutzauskunft als Sicherheitsrisiko
FIDO: Google führt Logins ohne Passwort ein
Der Umgang mit Passwörtern ist für viele Nutzer zu kompliziert. Google führt stattdessen nun die Möglichkeit ein, sich auf einem Android-Smartphone bei einigen seiner Dienste mit Hilfe biometrischer Entsperrmöglichkeiten einzuloggen. Dabei werden FIDO2, W3C Webauthn und FIDO CTAP genutzt. (Google,…
Extended Validation: Browser wollen teure Zertifikate nicht mehr hervorheben
Sogenannte Extended-Validation-Zertifikate führten bisher dazu, dass in Browsern der Firmenname vor der Adresszeile angezeigt wurde. Chrome und Firefox schaffen das jetzt ab, da kaum etwas darauf hindeutet, dass damit die Sicherheit erhöht wird. (TLS, Firefox) Advertise on IT Security…
Hackerone: Sicherheitslücke in Steam bleibt vorerst ungefixt
Auf Windows-Systemen, auf denen der Spiele-Launcher Steam installiert ist, können einfache Nutzer Programme mit Systemrechten ausführen. Der Entdecker der Lücke meldete diese über die Plattform Hackerone, dort erklärte man den Bug für ungültig und wollte eine Veröffentlichung verhindern. (Hackerone, Steam)…
Double Dragon: APT41 soll für Staat und eigenen Geldbeutel hacken
Spionage auf der einen, finanzielles Eigeninteresse auf der anderen: Die Gruppe APT 41 soll nicht nur für den chinesischen Staat hacken . Das behauptet das IT-Sicherheitsunternehmen Fireeye in einem neuen Bericht. (Hacker, Malware) Advertise on IT Security News. Lesen…
Belohnungen: Apple dehnt Bug-Bounty-Programm deutlich aus
Apple öffnet sich der Sicherheitszene und lobt ein umfangreiches Programm für das Entdecken von Sicherheitslücken bei seinen Betriebssystemen aus. Dazu wird auch eine Spezialversion des iPhones angeboten. (Black Hat, Apple) Advertise on IT Security News. Lesen Sie den ganzen…
Container: Kubernetes-Audit hält System für zu kompliziert
Ein Sicherheits-Audit der Container-Orchestrierung Kubernetes hat wie zu erwarten einige Lücken gefunden. Darüber hinaus bekommt die Software kein besonders gutes Zeugnis der Prüfer. (Kubernetes, Open Source) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Container: Kubernetes-Audit hält…
Hyp3r: Werbepartner von Instagram sammelte massenhaft Standortdaten
Instagram Stories sollten nur einen Tag sichtbar sein. Das Marketing-Unternehmen Hyp3r umging diese Einschränkung und sammelte massenhaft Informationen über Instagram-Nutzer. Vor allem hatte es das Startup auf Standortdaten abgesehen. (Instagram, Soziales Netz) Advertise on IT Security News. Lesen Sie…
Skype und Cortana: Bei Microsoft hören Menschen bei Telefonsex mit
Microsoft lässt Sprachbefehle für seinen digitalen Assistenten Cortana von Menschen auswerten. Auch Skype-Telefonate werden von Menschen analysiert – dabei können diese sogar Telefonsex lauschen. (Cortana, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Skype und Cortana:…
Kompression: Antiviren-Programme stolpern über ZIP-Bombe
Eine besondere ZIP-Datei kann bei vielen Antiviren-Programmen zu extrem hoher CPU-Last führen und sie praktisch außer Gefecht setzen. Mit Tricks gelang es einem Sicherheitsforscher, extrem hohe Datenkompressionsraten zu erreichen. (Anti-Virus, Browser) Advertise on IT Security News. Lesen Sie den…
TLS-Zertifikat: Kasachstan beendet Überwachung von HTTPS-Verbindungen
Kasachstan hat Nutzer angewiesen, ein Root-Zertifikat zur Überwachung ihrer verschlüsselten TLS-Verbindungen zu installieren. Jetzt dürfen diese das Zertifikat wieder löschen – zumindest vorläufig. (Überwachung, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: TLS-Zertifikat: Kasachstan beendet Überwachung…
SWAPGSAttack: Seitenkanal-Schwachstelle trifft wieder nur Intel
Mit der Spectre-ähnlichen SWAPGSAttack kann auf eigentlich geschützte Speicherbereiche zugegriffen werden, indem die spekulative Ausführung des Befehls ausgenutzt wird. Betroffen sind alle Intel-CPUs seit Ivy Bridge von 2012, von Microsoft gibt es bereits Patches für Windows 10. (Sicherheitslücke, Prozessor) …
ARM: Memory-Tagging soll Speicherlücken in Android verhindern
Das Android-Security-Team von Google hat angekündigt, das kommende Memory-Tagging von ARM-CPUs zu unterstützen. Das soll das Ausnutzen typischer Speicherfehler erschweren. (Android, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: ARM: Memory-Tagging soll Speicherlücken in Android verhindern
August-Sicherheitsupdate: Qualpwn ermöglicht Übernahme von Android per WLAN
Mit dem August-Sicherheitsupdate von Android patcht Google vergleichsweise wenige Fehler. Einig paar haben es allerdings in sich und betreffen insbesondere Qualcomm-basierte Hardware. (Android, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen Artikel: August-Sicherheitsupdate: Qualpwn ermöglicht Übernahme von…
Internet of Things: Neue Angriffe der Hackergruppe Fancy Bear
Standardpasswörter und fehlende Sicherheitsupdates: So hat sich eine mutmaßlich russische Hackergruppe in Netzwerke von Microsoft-Kunden einschleusen wollen. Sicherheitsforscher des Unternehmens warnen nicht zum ersten Mal vor der Gruppe. (Hacker, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen…
ADAC: Keyless-Go bietet Autofahrern keine Sicherheit
Der ADAC und der ÖAMTC haben Keyless-Go-Systeme zahlreicher Autohersteller getestet und sind zu einem ernüchternden Ergebnis gekommen. Nur vier Modelle haben sich nicht knacken lassen. (Auto, Technologie) Advertise on IT Security News. Lesen Sie den ganzen Artikel: ADAC: Keyless-Go…
Dragonfly: Neue Sicherheitslücken in Verschlüsselungsstandard WPA3
Wie lange ein kryptografisches Verfahren braucht, kann ungewollt Informationen verraten. Mit einer solchen Schwachstelle konnten Forscher Passwörter bei der WLAN-Verschlüsselung WPA3 knacken. (Verschlüsselung, Security) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Dragonfly: Neue Sicherheitslücken in Verschlüsselungsstandard…
BeA: Besonderes elektronisches Anwaltspostfach kann kein Deutsch
Mail rechtzeitig verschickt, Frist aber trotzdem versäumt: Das BeA kommt mit Umlauten nicht klar, der Absender einer Nachricht erfährt davon aber nichts. (BeA, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: BeA: Besonderes elektronisches Anwaltspostfach kann…
Digitale Assistenten: Amazon-Mitarbeiter hören Alexa-Mitschnitte von daheim
Es gibt neue brisante Details dazu, wie Amazon-Mitarbeiter Mitschnitte von Alexa anhören und auswerten sollen: Diese würden teils von zu Hause ausgewertet, heißt es in einem Zeitungsbericht. (Amazon Alexa, Google) Advertise on IT Security News. Lesen Sie den ganzen…
Amazon: Alexa-Nutzer können das Mithören ausschließen
Google und Apple haben die manuelle Auswertung der Sprachaufzeichnungen ihrer digitalen Assistenten gestoppt. Amazon geht einen Schritt weiter: Nutzer können das Mithören von Alexa-Sprachaufzeichnungen vollständig unterbinden. (Amazon Alexa, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Privatsphäre: US-Militär testet Überwachung per Stratosphären-Ballon
Mit Ballons gegen Drogenhändler: Das US-Militär testet mit Radar ausgestattete Ballons, um damit Drogenlieferanten aufzuspüren. Bei Tests im Mittleren Westen wurden dabei massenhaft Daten über US-Bürger gesammelt. Bürgerrechtler sind empört. (Überwachung, Technologie) Advertise on IT Security News. Lesen Sie…
Datenmissbrauch: Hessens Polizisten fragen nicht nur Daten von Promis ab
Nach einem Helene-Fischer-Konzert in Frankfurt wurden ihre Daten 83 Mal von Polizisten abgefragt. Nach stichprobenartigen Kontrollen wird klar: Hessens Polizeibeamte interessieren sich auch privat für ihre Mitbürger. Tausendfach. (Polizei, Datenbank) Advertise on IT Security News. Lesen Sie den ganzen…
Berichterstattung über Sicherheitslücken: So sicher nicht
Warnungen vor extrem gefährlichen Sicherheitslücken erreichen uns fast täglich. Doch häufig sind diese halb so wild oder existieren schlicht gar nicht. Wir erklären, wie wir damit umgehen. (Sicherheitslücke, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
IT-Security: Hoodie-Klischeebilder sollen durch Wettbewerb verschwinden
Hacker sind Männer in Hoodies, die im Keller vorm Computer sitzen: Mit diesem Klischee will Openideo aufräumen. Daher schreibt die Organisation einen Wettbewerb aus, um alternative Symbolbilder für Hacks, Sicherheitslücken und IT-Sicherheit zu finden. Die ersten fünf Plätze erhalten 7.000…
Datenschutz: Google stoppt Auswertung von Sprachaufnahmen in der EU
Google-Mitarbeiter werten keine Sprachaufnahmen mehr aus der EU aus. Dies erklärte das Unternehmen dem Hamburger Datenschutzbeauftragten im Rahmen eines Verwaltungsverfahrens. Das gilt allerdings nur vorübergehend. (Google Assistant, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz:…
Konbini: 7-Eleven beendet Zahlungssystem 7pay komplett
Nachdem 7-Eleven sein 7pay-System wegen eklatanter Sicherheitslücken mit geschädigten Nutzern binnen einer Woche stoppen musste, wird die japanische Konbini-Kette das gesamte System einstellen. Die über 800 um Geld betrogenen Nutzer wurden entschädigt. (Datenschutz, Verbraucherschutz) Advertise on IT Security News.…
Videoüberwachung: Cisco einigt sich mit US-Regierung wegen unsicherer Software
Cisco soll wissentlich unsichere Software an die US-Streitkräfte, die US-Regierung und einige US-Bundesstaaten verkauft haben. Das Unternehmen zahlt mehrere Millionen Schadenersatz. Die Kläger behaupten, Cisco habe von den Problemen gewusst. (Cisco, Sicherheitslücke) Advertise on IT Security News. Lesen Sie…
Social Engineering: Die unterschätzte Gefahr
Die größten Schwachstellen in technischen Systemen sind bis heute Menschen. Social Engineers machen sich ihre Sorglosigkeit zunutze – und finden auf sozialen Netzwerken alles, was sie für einen erfolgreichen Angriff brauchen. (Social Engineering, Phishing) Advertise on IT Security News.…
Data Transfer Project: Apple unterstützt Projekt für Datenportabilität
Die Open-Source-Initiative für einen Datenaustausch zwischen Portalen macht Fortschritte. In wenigen Monaten soll es erste Funktionen für Benutzer geben. (Open Source, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Data Transfer Project: Apple unterstützt Projekt für…
Smart Home: Philips Hue und Kameras über unsichere Protokolle gehackt
Sicherheitsforschern ist es gelungen, Steuerungsbefehle an Überwachungskameras und Philips-Hue-Lampen zu schicken. Die Geräte übertragen Daten und Befehle standardmäßig auf eine unsichere Weise. (IoT, Philips) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Smart Home: Philips Hue und…
Nuki: Smart Lock 2.0 schickt Push-Benachrichtigungen
Nuki hat ein Update für das Smart Lock 2.0 veröffentlicht. Damit erhalten Nutzer bei Bedarf Push-Benachrichtigungen vom smarten Aufsatzschloss. Bezüglich der Zigbee-Nutzung gibt es keine positiven Neuigkeiten. (Smartlock, Security) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Google: Chrome soll https und www ausblenden
Nach anfangs harscher Kritik durch Nutzer und einigen Monaten Testphase, will das Chrome-Team von Google damit beginnen, die URL-Bestandteile https und www auszublenden. (Chrome, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google: Chrome soll https…
Visa-Hack: Mehr bezahlen als erlaubt
Mit Visa-Karten können kleinere Beträge bis zu einem Limit ohne PIN und Unterschrift bezahlt werden. Sicherheitsforscher konnten auch größere Beträge ohne Autorisierung abbuchen. Das soll sogar mit Visa-Karten im Smartphone-Wallet funktionieren. (Visa, Security) Advertise on IT Security News. Lesen…
VxWorks: Zahlreiche Embedded-Geräte übers Internet angreifbar
Im Realtime-Betriebssystem VxWorks sind mehrere schwere Sicherheitslücken im Netzwerkstack gefunden worden. Offenbar verwendet VxWorks in der Standardkonfiguration keinerlei gängige Sicherheitsmechanismen wie ASLR, daher sind die Lücken leicht ausnutzbar. (Embedded Systems, Technologie) Advertise on IT Security News. Lesen Sie den…
Microsoft-Telemetrie: Weiter Datenschutzprobleme mit Office und Windows
Auf Druck der niederländischen Regierung hat Microsoft beim Datenschutz nachgebessert. Doch eine Analyse zeigt weiterhin Probleme mit onlinebasierten Office-Produkten und bestimmten Windows-Versionen. (Windows 10, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Microsoft-Telemetrie: Weiter Datenschutzprobleme mit…
Internetüberwachung: Kasachstan überwacht 37 Domains mit Hilfe von TLS-SNI
Forscher der Universität Michigan haben das staatliche Internetüberwachungsprojekt in Kasachstan untersucht. Durch Scans entdeckten sie 37 überwachte Domains, die mit der TLS-Erweiterung SNI ausgefiltert werden. (Zensur, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Internetüberwachung: Kasachstan…
Capital One: Über 100 Millionen Kunden von Banken-Hack betroffen
Die US-Bank Capital One wurde durch einen „Konfigurationsfehler“ bei einem Cloud-Anbieter gehackt. Sensible Daten von Millionen Bankkunden sind betroffen. Durch den Tipp eines Github-Nutzers konnte eine Verdächtige festgenommen werden. (Datenleck, Datenschutz) Advertise on IT Security News. Lesen Sie den…
Profil für iOS: Apple-Nutzer können Siri vom Mitlauschen abhalten
Mit einem Konfigurationsprofil ist es möglich, Apples Sprachassistenten Siri weiter zu nutzen, Apple aber zu untersagen, die Aufnahmen zu analysieren. (Siri, Apple) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Profil für iOS: Apple-Nutzer können Siri vom…
Sicherheitslücke wie Wanna Cry: Bluekeep-Exploit veröffentlicht
Ein Modul für die Pentesting-Software Canvas kann die gefährliche Sicherheitslücke Bluekeep ausnutzen. Auch eine Schadsoftware scannt bereits nach verwundbaren Systemen. (Windows, Virus) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke wie Wanna Cry: Bluekeep-Exploit veröffentlicht
VLC-Player: Videolan will künftig eigene CVEs vergeben
Nach den Falschmeldungen um eine angeblich kritische Sicherheitslücke im VLC-Player wollen die Entwickler des Videolan-Projekts künftig eigene CVE-Nummern vergeben. (VLC, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen Artikel: VLC-Player: Videolan will künftig eigene CVEs vergeben
EFF: Besserer Trackingschutz in Android gefordert
Die Bürgerrechtsorganisation Electronic Frontier Foundation (EFF) fordert Google auf, einen besseren Trackingschutz in Android zu integrieren. Android Q bekomme zwar Verbesserungen im Bereich Datenschutz, diese reichten aber nicht aus. (Android, Google) Advertise on IT Security News. Lesen Sie den…
Logitacker: Kabellose Logitech-Tastaturen leicht zu hacken
Mit der Firmware Logitacker und einem USB-Funk-Stick für rund 10 Euro lassen sich kabellose Mäuse und Tastaturen von Logitech leicht hacken. Angreifer können mit der Software Schadcode per Funk eintippen lassen. Logitech wird nur ein Teil der Sicherheitslücken schließen. (Logitech,…
Einigung vor der FTC: Facebook zahlt 5 Milliarden US-Dollar Strafe
Facebook stimmte der Strafe zu, wollte aber keine Schuld eingestehen. Selbst innerhalb der Handelsaufsicht FTC wird die Strafe als zu lasch kritisiert. (FTC, Rechtsstreitigkeiten) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Einigung vor der FTC: Facebook…
Videolan: Eine VLC-Lücke, die keine ist
Ein eher unbedeutender Fehler in einer Abhängigkeit des VLC-Players wird von Behörden fälschlich als schwere Sicherheitslücke klassifiziert und viele Medien übernehmen dies ungeprüft. Das Videolan-Projekt ist nicht erfreut. (VLC, Server) Advertise on IT Security News. Lesen Sie den ganzen…
Strafverfolgung: US-Justizminister will Hintertüren in Verschlüsselung
Verschlüsselung bedeute eine rechtsfreie Zone, die Kriminelle gerne nutzen, argumentiert der US-Justizminister. Deshalb brauche es dringend Hintertüren für die Strafverfolgungbehörden. Kritiker halten dagegen und warnen vor Missbrauch. (Crypto Wars, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen…
Hackerangriffe: Sechs DAX-Unternehmen mit Winnti attackiert
In den vergangenen Jahren wurden mehrere Industriegrößen wie Siemens, BASF und Henkel von der Hackergruppe Winnti attackiert. Sicherheitsforscher konnten die Angriffe aus Schadsoftware-Samples von Winnti herauslesen. (Malware, Virus) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Hackerangriffe:…
Alpha 3.6: Star Citizen bekommt neues Gesetzessystem und Schwebemodus
Im persistenten Universum von Star Citizen haben Verbrechen künftig mehr Folgen. Die computergesteuerte Sicherheitstruppe greift ein und menschliche Kopfgeldjäger und Schmuggler können sich viel Geld verdienen. Ebenfalls neu: Schiffe können an Ort und Stelle schweben und es gibt zwei neue…
Apple: Neues iOS-Update beseitigt viele Webkit-Schwächen
Apples iOS 12.4 beseitigt zahlreiche Sicherheitslücken in dem Mobilsystem. Besonders betroffen ist dieses Mal die Webkit-Engine des Browsers. Zudem ließ sich Verkehr des Samba-Servers abhören. (iOS, Server) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Apple: Neues…
3G: Huawei soll Mobilfunknetz in Nordkorea ausgerüstet haben
Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert. (Security, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: 3G: Huawei soll Mobilfunknetz in…
3G: Huawei soll Nordkoreas Mobilfunknetz ausgerüstet haben
Die Washington Post will Dokumente erhalten haben, die belegen sollen, dass Huawei ein Mobilfunknetz in Nordkorea ausgerüstet habe. Huawei hat dies dementiert. (Security, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen Artikel: 3G: Huawei soll Nordkoreas Mobilfunknetz…
Selfblow: Secure Boot in allen Tegra X1 umgehbar
Ein Fehler im Bootloader der Tegra X1 von Nvidia ermöglicht das komplette Umgehen der Verifikation des Systemboots. Das betrifft wohl alle Geräte außer der Switch. Nvidia stellt ein Update bereit. (Tegra, Nvidia) Advertise on IT Security News. Lesen Sie…
Sicherheit: Microsoft untersucht Rust als Alternative zu C und C++
Die Mehrheit der Sicherheitslücken, die Microsoft behebt, sind auf die Speicherprobleme von C und C++ zurückzuführen. Das Sicherheitsteam von Microsoft untersucht deshalb nun den Einsatz der Sprache Rust. (Rust, Microsoft) Advertise on IT Security News. Lesen Sie den ganzen…
FSB: Russischer Geheimdienst-Dienstleister gehackt
Rund 7,5 TByte Daten konnten Hacker bei dem Dienstleister Sytech erbeuten. Darin enthalten sind geheime Forschungsarbeiten und Programme für den russischen Geheimdienst FSB. Unter anderem will dieser Tor-Nutzer deanonymisieren. (Geheimdienste, P2P) Advertise on IT Security News. Lesen Sie den…
TLS-Zertifikat: Gesamter Internetverkehr in Kasachstan kann überwacht werden
In Kasachstan müssen Internetnutzer ab sofort ein spezielles TLS-Zertifikat installieren, um verschlüsselte Webseiten aufrufen zu können. Das Zertifikat ermöglicht eine staatliche Überwachung des gesamten Internetverkehrs in dem Land. (Man-in-the-Middle, Sicherheitslücke) Advertise on IT Security News. Lesen Sie den ganzen…
Have I been pwned: Firefox überprüft gespeicherte Zugangsdaten auf Leaks
Sind seit Jahren nicht mehr geänderte, im Browser hinterlegte Zugangsdaten geleakt worden? Ab Firefox 70 soll der Browser dies mit Firefox Monitor und Have I been pwned überprüfen – und im Fall des Falles den Nutzer warnen. (Firefox, Browser) …
Tracking: Google und Facebook tracken auch auf vielen Pornoseiten
Forscher haben mehr als 22.000 Pornowebseiten auf Trackingdienste untersucht – und dort auch Google und Facebook gefunden. Diese geben jedoch an, die Daten nicht zu verwenden. (Tracking, Google) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Tracking:…
WeAct: Datenleck bei Petitionsplattform von Campact
Ein Fehler auf der Petitionsplattform WeAct von Campact ermöglichte den Zugriff auf die Daten der Unterstützer. Rund 1,8 Millionen Unterzeichner sind betroffen. Die Nichtregierungsorganisation hat die Hintergründe des Fehlers veröffentlicht. (Datenleck, Datenschutz) Advertise on IT Security News. Lesen Sie…
Prime Day: Amazon zahlt für Surf-Daten
Wer sich im Aktionszeitraum des Prime Day die Browser-Erweiterung Amazon Assistant installiert hat, erhält 10 Euro von Amazon. Doch die Software überwacht das Surf-Verhalten des Kunden. (Amazon, Onlineshop) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Prime…
Medizin: Schadsoftware legt Krankenhäuser lahm
Keine E-Mail, kein Internet, keine Patientendatenbank: Eine Ransomware hat das Netzwerk von etlichen Krankenhäusern und Altenpflegeeinrichtungen im Südwesten Deutschlands befallen. Unklar ist, ob ein Lösegeld gefordert wurde. (Medizin, Malware) Advertise on IT Security News. Lesen Sie den ganzen Artikel:…
Quartals-Patchday: Oracle schließt im Juli zahlreiche Sicherheitslücken
Der Quartals-Patchday von Oracle fällt dieses Quartal etwas umfangreicher aus als in den letzten Quartalen. Der Datenbankanbieter schließt an diesem Tag mehr als 300 Sicherheitslücken. Aufgrund von Fehlern in Weblogic musste Oracle aber teils schon vorher patchen. (Oracle, Server) …
Passenger Name Record: EU diskutiert Überwachung von Reisen per Zug, Bus und Schiff
Der EU-Rat diskutiert die Ausweitung der Fluggastdatenspeicherung auf Bahn, Bus und Schiff. Datenschützer und Juristen kritisieren den Vorstoß. Die Datenspeicherung sei bereits in ihrer jetzigen Form unverhältnismäßig und führe effektiv zu weniger Sicherheit. (Reisen, Datenschutz) Advertise on IT Security…
Zugang per Venenscan: Wenn das Freibad zum Hochsicherheitstrakt wird
Biometrie und vor allem das vergleichsweise sichere Venenscansystem werden als Zugangsbeschränkung normalerweise nur für kritische Bereiche verwendet. In Österreich kam man hingegen auf die Idee, Saisonkarten an einem See so abzusichern. (Biometrie, Scanner) Advertise on IT Security News. Lesen…
Hacker-Attacke: Datenleck bei Freenet-Tochter Vitrado
Angreifer haben auf die Daten von rund 67.000 Vitrado-Nutzern zugreifen können. Diese sollten besser ihr Bankkonto im Auge behalten, rät die Freenet-Tochter. (Datenleck, Datenbank) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Hacker-Attacke: Datenleck bei Freenet-Tochter Vitrado
Bluetooth: Tracking trotz Trackingschutz möglich
Dass ein Bluetooth-Gerät seine angezeigte MAC-Adresse ändert, um nicht verfolgbar zu sein, reicht nicht ganz. Forscher konnten einige Geräte trotzdem tracken, sie mussten nur regelmäßig gesendete Datenpakete mitschneiden. (Bluetooth, Mac) Advertise on IT Security News. Lesen Sie den ganzen…
Biometrie: Megvii erkennt den Hund an seiner Nase
Ein chinesisches Software-Unternehmen hat eine Software entwickelt, die die Hundenase als biometrisches Erkennungsmerkmal einsetzt. Damit sollen aber nicht nur entlaufene Tiere erfasst werden, sondern auch Hundebesitzer, die sich an geltende Regeln halten. (Biometrie, Technologie) Advertise on IT Security News.…
Fehler 502: Cloudflare schämt sich für den vergangenen Ausfall
Cloudflare erzählt in einem ausführlichen Blogpost die Geschichte des vergangenen Ausfalls, der einen Teil der Internetinfrastruktur belastete und sogar das eigene Team bei der Fehlersuche behinderte. Das Unternehmen schämt sich für den Fehler. (Cloudflare, Server) Advertise on IT Security…
Mitschnitte des Google Assistant: Google ermittelt gegen Mitarbeiter wegen Sicherheitsverstoß
Google ist nicht begeistert, dass ein Mitarbeiter aufgezeichnete Google-Assistant-Gespräche von Kunden an die Presse weitergeleitet hat. Ermittlungen dazu laufen – und Google rechtfertigt und verteidigt das Vorgehen. (Google Assistant, Google) Advertise on IT Security News. Lesen Sie den ganzen…
Cambridge Analytica: Facebook zahlt wegen Datenvorfällen 5 Milliarden US-Dollar
Nach mehreren Monaten hat sich die US-Behörde FTC festlegen können: Facebook muss fünf Milliarden US-Dollar Strafe zahlen, wegen Cambridge Analytica und anderen Vorfällen. Nach Ansicht einiger Kritiker ist diese Summe im Verhältnis zum Einkommen des Unternehmens zu niedrig – der…
Magecart: Wahllose Angriffe auf Amazons Cloud-Speicher
Angreifer verteilen wahllos Schadcode auf Amazon-S3-Buckets. Sie infizieren jeden Bucket, der ungeschützt im Netz hängt. Bislang sollen 17.000 Domains betroffen sein. Obwohl die Angriffe nur in einem Bruchteil der Fälle effektiv sein dürften, offenbaren sie ein größeres Problem. (Skimming, Web…
Microsoft: Sicherheitspatch für Windows 7 enthält Telemetrietool
Eigentlich haben Nutzer sich vom aktuellen Sicherheitspatch für Windows 7 erhofft, nur Security-Fixes zu erhalten. Allerdings hat ein anonymer Nutzer entdeckt, dass Microsoft auch ein Diagnosetool verteilt wird, das Daten an das Unternehmen schicken kann. Zdnet hält das nicht für…
Magecart: Breit gestreuter Angriff auf Amazons Cloud-Speicher
Angreifer verteilen wahllos Schadcode auf Amazon-S3-Buckets. Sie infizieren jeden Bucket, der ungeschützt im Netz hängt. Bislang sollen 17.000 Domains betroffen sein. Obwohl die Angriffe nur in einem Bruchteil der Fälle effektiv sein dürften, offenbaren sie ein größeres Problem. (Skimming, Web…
Google Home: Google-Mitarbeiter hören Gespräche mit
Jeder 500. Sprachbefehl wird von Google-Mitarbeitern ausgewertet. Ein Leak aus Belgien zeigt, dass sich darunter auch viele ungewollt aufgenommene Gespräche und Telefonanrufe befinden – mit privaten und intimen Inhalten. (Google Assistant, Google) Advertise on IT Security News. Lesen Sie…
CTRL-ALT-LED: Daten über die Tastatur-LEDs ausleiten
Mit einer neuen Methode können Daten von Air-Gapped-Computern, die nicht an das Internet angeschlossen sind, ausgeleitet werden. Dafür verwendet ein Sicherheitsforscher die LEDs einer Tastatur. (Security, Malware) Advertise on IT Security News. Lesen Sie den ganzen Artikel: CTRL-ALT-LED: Daten…
OpenPGP: GnuPG verwirft Signaturen von Keyservern
Nach mehreren Angriffen auf OpenPGP-Schlüssel auf Schlüsselservern zieht GnuPG die Reißleine und akzeptiert keine Signaturen mehr von diesen. Damit dürfte sich auch das Web of Trust erledigt haben. (OpenPGP, Verschlüsselung) Advertise on IT Security News. Lesen Sie den ganzen…
Bridge und Dreamweaver: Adobe muss keinen Flash-Bug beseitigen
Der Juli-Patchday von Adobe betrifft dieses Mal keine populären Endanwender. Weder der Flash Player noch die PDF-Werkzeuge haben Sicherheitslücken, die beseitigt werden müssen. Dafür gibt es Lücken in anderen Werkzeugen. (Adobe, Sicherheitslücke) Advertise on IT Security News. Lesen Sie…
Medizin: Sicherheitslücken in Beatmungsgeräten
Über das Krankenhausnetzwerk lassen sich Befehle an Anästhesie- und Beatmungsgeräte des Herstellers GE senden. Eine Sicherheitslücke ermöglicht unter anderem, Dosierung und Typ des Narkosemittels zu ändern. (Medizin, Datenschutz) Advertise on IT Security News. Lesen Sie den ganzen Artikel: Medizin:…