Kategorie: Golem.de – Security

Modems: Huawei und Telekom warnen vor Angriffen auf Wartungsports

Ein IoT-Botnetz greift derzeit weltweit Modems von Huawei über einen Wartungsport an, die Deutsche Telekom spricht von bis zu 100.000 infizierten Geräten. Huawei gibt Sicherheitstipps und will einen Patch bereitstellen. (Huawei, Telekom)   Advertise on IT Security News. Lesen Sie…

Antivirus: Microsoft bringt Extra-Patch für kritische Lücke in Defender

Erneut trifft es Windows Defender: Ein Speicherfehler kann Angreifer in die Lage versetzen, den Virenscanner zum Ausführen von Code zu nutzen. Microsoft hält aktive Exploits allerdings für unwahrscheinlich, Patches werden verteilt. (Security, Virenscanner)   Advertise on IT Security News. Lesen…

Bridge: Protonmail startet lokalen IMAP-Server für Verschlüsselung

Mit einer neuen Software sollen verschlüsselte E-Mails praxistauglicher werden: Proton stellt die Bridge vor. Diese übernimmt die Verschlüsselung und kommuniziert via IMAP und SMTP mit dem Mailclient. (Protonmail, Mac OS X)   Advertise on IT Security News. Lesen Sie den…

Dynamics 365: Microsoft verteilt privaten Schlüssel an alle Kunden

Microsoft hat aus Versehen ein Wildcard-Zertifikat für seinen Clouddienst Dynamics 365 veröffentlicht – und schaffte es über Monate nicht, auf Hinweise zu reagieren. Zwischenzeitlich empfahl der Support uns sogar, eine Krisenreaktionsfirma aus der Ölindustrie anzurufen, um das Problem zu beseitigen.…

Dynamics 365: Microsoft leakt Wildcard-Zertifikat for Clouddienst

Für die Cloud-Anwendung Dynamics 365s for Operations hat Microsoft ein Wildcard-Zertifikat für alle Instanzen genutzt. Bei einer Trail-Version konnte der private Schlüssel extrahiert werden. Somit wäre es möglich, alle anderen Kunden anzugreifen. Microsoft bestritt zunächst, dass ein Sicherheitsproblem bestehe. (Microsoft,…

Bundesregierung: Mit verdrehten Zahlen gegen die ePrivacy-Verordnung

Die Werbewirtschaft läuft weiter Sturm gegen die geplante EU-Verordnung zum Schutz vor Nutzertracking. Doch die Bundesregierung geht in einer Studie offenbar bewusst von nicht belegten Zahlen aus und verkehrt die Nutzererwartungen in ihr Gegenteil. (EU, Datenschutz)   Advertise on IT…

Mobilfunknetze: LTE Roaming hat ähnliche Probleme wie SS7

Forscher demonstrieren auf der Konferenz Black Hat Europe ähnliche Sicherheitsprobleme für das LTE Roaming, wie diese auch für das vollkommen veraltete SS7 existieren. Schlimmstenfalls lassen sich damit Sprachnachrichten analysieren. (Security, Long Term Evolution)   Advertise on IT Security News. Lesen…

Firmware-Bug: Codeausführung in deaktivierter Intel-ME möglich

Sicherheitsforscher demonstrieren einen Angriff auf Intels ME zum Ausführen von beliebigem Code, gegen den weder das sogenannte Kill-Bit noch die von Google geplanten Sicherheitsmaßnahmen für seine Server helfen. Theoretisch lassen sich Geräte so auch aus der Ferne angreifen. (Intel, Server)…

Kryptowährung: 4.700 Bitcoin von Handelsplattform Nicehash gestohlen

Es soll ein „hochprofessioneller Angriff mit fortgeschrittenem Social Engineering“ gewesen sein: Der Handelsplattform Nicehash wurden Bitcoin im Wert von knapp 64 Millionen US-Dollar gestohlen. Nutzer sollen ihre Passwörter ändern. (Bitcoin, Internet)   Advertise on IT Security News. Lesen Sie den…

Plexcorps: SEC friert Konten von Kryptowährungsstartup ein

Weil das Unternehmen unfassbare Gewinne versprach und mit offenbar nicht existenten Experten warb, wurden die Gelder des Kryptowährungsstartups Plexcorps eingefroren. Das Unternehmen widerspricht den Betrugsvorwürfen der SEC. (Blockchain, Internet)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung

Der Berliner Senat hält es für legal, dass die Verfassungsschutzbehörde ihren Dokumentenbestand künftig mit einem Programm zur biometrischen Gesichtserkennung durchforstet. (Biometrie, Internet)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Berlin: Verfassungsschutz hat Lizenz zur Gesichtserkennung

Android: Google scannt künftig auch Apps aus anderen App-Stores

Android-Apps, die private Daten übertagen, müssen künftig deutlich darauf hinweisen. Die neuen Regeln betreffen auch Apps aus alternativen Stores – Google könnte säumige Entwickler mit Warnhinweisen in der Safe-Browsing-API bestrafen. (Google, Android)   Advertise on IT Security News. Lesen Sie…

Linux: Weiterer Patch für Dirty-Cow-Sicherheitslücke

Das Kernel-Team patcht erneut gegen Dirty Cow – allerdings in einer weniger schlimmen Variante. Angreifer können das verwundbare Linux-System gezielt zum Absturz bringen. (Dirty Cow, Android)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Linux: Weiterer Patch…

Sicherheitslücke in Mailclients: E-Mails versenden als potus@whitehouse.gov

Ein Request for Comments aus dem Jahr 1992 ermöglicht einen Angriff auf fast alle Mailclients. So lassen sich glaubhaft aussehende E-Mails mit beliebiger Absenderadresse verschicken. (E-Mail, Apple)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücke in…

Android: Patch für Pixel-Smartphones schließt Krack-Lücke

Google will in dieser Woche aktuelle Sicherheitspatches für Android veröffentlichen. Damit erhalten nun auch Pixel-Smartphones einen Schutz gegen die Krack-Sicherheitslücke. Außerdem müssen weitere Sicherheitslöcher beseitigt werden. (Android, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Android:…

TIO-Networks: Datenleck bei Paypal-Zukauf betrifft 1,6 Millionen Kunden

Das Unternehmen TIO-Networks ist erst vor einem halben Jahr von Paypal gekauft worden – jetzt stoppt das Unternehmen die Geschäfte wegen einer Sicherheitslücke. Bis zu 1,6 Millionen Nutzer könnten betroffen sein. (Security, Server)   Advertise on IT Security News. Lesen…

Venezuela: Kryptowährung soll selbsterklärten Sozialismus retten

Es klingt nach einem verzweifelten Plan – ob er jemals umgesetzt wird ist völlig offen: Nicolas Maduro will Venezuela durch die Einführung einer Kryptowährung retten. (Blockchain, Applikationen)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Venezuela: Kryptowährung…

Spionage: Geheime NSA-Dokumente für einen schöneren Lebenslauf

Ein ehemaliger Mitarbeiter der NSA hat Unterlagen und Malware mit nach Hause genommen, um damit an seinem Lebenslauf zu arbeiten. Damit löste er eine Kette von Anschuldigungen aus, die vor allem die Sicherheitsfirma Kaspersky betreffen. (Kaspersky, Virenscanner)   Advertise on…

iOS 11.2: Am 2. Dezember drohen Absturzprobleme bei einigen iPhones

Wer iOS 11 am heutigen 2. Dezember 2017 noch verwendet, dem drohen laut Apple Abstürze und Neustart-Schleifen. Als Lösung wurde dafür iOS 11.2 freigegeben. Doch das Update alleine reicht laut Apple nicht. Vor dem Aufspielen müssen Vorbereitungen getroffen werden. (Apple,…

iOS 11.2: Der 2. Dezember ist ein Absturzproblem für einige iPhones

Wer iOS 11 am heutigen 2. Dezember 2017 noch verwendet, dem drohen laut Apple Abstürze und Neustart-Schleifen. Als Lösung wurde dafür iOS 11.2 freigegeben. Doch das Update alleine reicht laut Apple nicht. Vorbereitungen müssen vor dem Einspielen durchgeführt werden. (Apple,…

Finnairs Gesichtsscanner ausprobiert: Boarden mit einem Blick in die Kamera

Finnair experimentiert mit Alternativen zu herkömmlichen Möglichkeiten, sich am Flughafen zu identifizieren. Ein Gesichtsscanner könnte künftig Ausweis und Boardingpass ersetzen. Auf der Slush-Konferenz hat Finnair die Technik demonstriert – wir haben sie ausprobiert. (Slush 2017, Biometrie)   Advertise on IT…

Systemstabilität: Chrome schmeißt Virenscanner raus

Kein Zugang mehr für Virenscanner: Chrome verhindert künftig Code-Injektion durch andere Programme in den Browser. Damit soll die Systemstabilität erhöht werden. Für einige Programme gibt es allerdings Ausnahmen. (Chrome, Google)   Advertise on IT Security News. Lesen Sie den ganzen…

Abgelaufen: LinkedIn vergisst TLS-Zertifikate

Für fast drei Stunden waren heute die Zertifikate aller Subdomains des Berufsnetzwerks LinkedIn ausgelaufen. Peinlich, da die meisten Suchmaschinen darauf verweisen. (TLS, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Abgelaufen: LinkedIn vergisst TLS-Zertifikate

Apple zu Bugs in High Sierra: „Leider sind wir bei diesem Release von MacOS gestolpert“

Apples Patch für den Root-Bug kann dazu führen, dass File-Sharing-Dienste nicht mehr funktionieren – es gibt aber eine einfache Lösung für das Problem. Das Unternehmen hat sich auch grundsätzlich zu Fehlern in MacOS High Sierra geäußert. (Mac OS, Apple)  …

MacOS High Sierra: Apple veröffentlicht Patch für Root-Lücke

Der Patch ist da: Apple hat schnell reagiert und schließt die IamRoot-Lücke in MacOS High Sierra. Der Patch sollte umgehend eingespielt werden, dann ist auch der bisherige Workaround obsolet. (Mac OS, Apple)   Advertise on IT Security News. Lesen Sie…

Kostenfreier Strom aus dem Supercharger: Cryptomining im Tesla-Kofferraum

Die Kurse von Bitcoin und Ethereum springen von Rekord zu Rekord – da werden Menschen kreativer beim Mining. Ein Tesla-Fahrer versucht offenbar, den kostenfreien Strom des Superchargers in Kryptowährung umzuwandeln. Doch der Plan ist nicht ohne Tücken. (Ethereum, Elektroauto)  …

Kostenfreier Virenscanner: Avira verärgert Nutzer mit „Raubkopie“-Anzeige

Wie kann der kostenfreie Virenscanner eine „Raubkopie“ sein? Das fragten sich viele Avira-Nutzer nach einer entsprechenden Anzeige in ihrem Programm. Der Hersteller beschwichtigt und sagt, es handele sich um eine fälschlicherweise platzierte Anzeige. (Avira, Virenscanner)   Advertise on IT Security…

Kostenfreier Virenscanner: Avira verärgert Nutzer mit Raubkopie-Anzeige

Wie kann der kostenfreie Virenscanner eine „Raubkopie“ sein? Das fragten sich viele Avira-Nutzer nach einer entsprechenden Anzeige in ihrem Programm. Der Hersteller beschwichtigt und sagt, es handele sich um eine fälschlicherweise platzierte Anzeige. (Avira, Virenscanner)   Advertise on IT Security…

Neues Captcha: Facebook verlangt Foto zur Identifizierung

Wer kein Porträtbild von sich hochlädt, bekommt keinen Zugriff auf sein Profil: Mit dieser drastischen Methode will Facebook in seinem Netzwerk künftig möglicherweise den Unterschied zwischen Menschen und Bots erkennen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen…

Poodle und Drown: Flixbus-Webseite für jahrealte TLS-Fehler anfällig

Ein 2011 gegründetes Unternehmen setzt auf Kryptographie aus den 90ern: Eine Subdomain mit Sonderangeboten von Flixbus unterstützt nur veraltete Verschlüsselungsstandards – und das seit Monaten. Kunden können auf der Seite Ticketgutscheine kaufen und müssen dafür persönliche Daten hinterlassen. (TLS, Verschlüsselung)…

Privilege Escalation: MacOS High Sierra ermöglicht Root-Anmeldung ohne Passwort

Schon wieder ein kritischer Fehler in MacOS High Sierra: Angreifer können sich auf einem entsperrten PC als Administrator einloggen, ohne ein Passwort zu kennen. Es gibt bislang keinen Patch, aber einen einfachen Workaround. (Security, Mac OS X)   Advertise on…

Fahrzeugsicherheit: Kartendienst Here kauft Anbieter für Online-Updates

Die Updates für Autosoftware sollen künftig über Mobilfunk eingespielt werden. Dazu hat der Kartendienst Here mit ATS Advanced Telematic Systems ein Berliner Start-up übernommen. (Black Hat 2016, Technologie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Fahrzeugsicherheit:…

Übernahme: McAfee kauft Cloudspezialisten Skyhigh Networks

Die Konsolidierung im Sicherheitsmarkt geht weiter: McAfee kauft das auf Cloud-Sicherheitslösungen spezialisierte Unternehmen Skyhigh Networks. Der McAfee-CEO lobt, Skyhigh habe eine ganz neue Produktkategorie erfunden. (McAfee, Applikationen)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Übernahme: McAfee…

Jessica Barker im Interview: „Die Kriminellen sind bessere Psychologen als wir“

Unternehmen, die ihre IT vor Angriffen schützen wollen, sollten sich Rat aus der Soziologie und der Psychologie holen, sagt die Unternehmensberaterin Jessica Barker. Im Interview erklärt sie auch, warum Security-Experten optimistischer über Sicherheitstechnologien sprechen sollten. (Deepsec, Interview)   Advertise on…

Cloud Made in Germany: Verschlüsselter Cloudspeicher bei GMX und Web.de gestartet

Kunden von GMX und Web.de sollen künftig „ohne Expertenwissen“ auf verschlüsselte Online-Speicher zugreifen können. Dafür nutzt 1&1 eine Version der Cryptomator-Software. Sie gibt es jedoch noch nicht für alle Betriebssysteme. (GMX, E-Mail)   Advertise on IT Security News. Lesen Sie…

Bilderdienst: Imgur gibt Hack von knapp zwei Millionen Nutzern bekannt

Rund 1,7 Millionen Kunden von Imgur brauchen neue Passwörter. Wie erst jetzt bekanntwurde, gelang es Angreifern im Jahr 2014, E-Mail-Adressen und Passwörter zu kopieren. (Passwort, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Bilderdienst: Imgur gibt…

Accenture Pivotal Business Group: Managementberatung will Cloudanbieter werden

Mit „signifikanten Ressourcen“ wollen Accenture und Pivotal Unternehmen dabei helfen, Legacy-Software in die Cloud zu migrieren. Auch die ersten Standorte des neuen Unternehmens stehen bereits fest, erste Kunden sollen aus dem Finanz- und Bankensektor kommen. (Cloud Computing, Internet)   Advertise…

Baden Württemberg: Streit über „Cyberwehr“ im Landtag

Die Landesregierung von Baden-Württemberg will mit einer neu eingerichteten „Cyberwehr“ der Wirtschaft helfen. Die Opposition hat zu dem Projekt aber noch viele Fragen. Unklar ist vor allem, wie die Kooperation mit privaten Sicherheitsfirmen laufen soll. (Politik/Recht, Internet)   Advertise on…

Rechtsunsicherheit bei Cookies: EU warnt vor Verzögerung von ePrivacy-Verordnung

Der ambitionierte Zeitplan für das Inkrafttreten der ePrivacy-Verordnung ist wohl nicht zu halten. Das könnte für die Wirtschaft, die die Pläne kritisiert, noch zu einem Problem werden, warnen Vertreter von EU-Kommission und Europaparlament. (EU, Instant Messenger)   Advertise on IT…

Sicherheitslücke: Fortinet vergisst, Admin-Passwort zu prüfen

Ein peinlicher Fehler bei einem Sicherheitsunternehmen: Fortinets Webmanager hat das Admin-Passwort nicht korrekt geprüft und lässt daher jeden Nutzer mit beliebiger Zeichenfolge in das System. Ein Patch steht bereit. (Security, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den…

Firefox Nightly Build 58: Firefox warnt künftig vor Webseiten mit Datenlecks

Im Nightly Build 58 testet Mozillaeinige neue Funktionen: So sollen Nutzer bald personalisierte Artikelvorschläge von Pocket bekommen. Außerdem werden Nutzer womöglich bald vor Webseiten gewarnt, die im großen Stil Nutzerdaten verloren haben. (Firefox, Browser)   Advertise on IT Security News.…

Rauschgifthandel: BKA nimmt „Top-Verkäufer“ aus dem Darknet fest

Ein 29-Jähriger soll gemeinsam mit Komplizen viele Kilo Rauschgift über Darknet-Marktplätze verschickt haben. Er wurde bei einer Grenzkontrolle festgenommen, auch die Wohnung seiner Mutter wurde durchsucht. (Darknet, Internet)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Rauschgifthandel:…

Fraunhofer SIT: Metaminer soll datensammelnde Apps aufdecken

Trackingschutz für Apps – das will ein Fraunhofer-Institut bald anbieten. Ein erster Prototyp von Metaminer existiert bereits und soll auch ohne Rooten des Smartphones einen guten Schutz bieten. (Malware, Virus)   Advertise on IT Security News. Lesen Sie den ganzen…

Fraunhofer Fokus: Metaminer soll datensammelnde Apps aufdecken

Trackingschutz für Apps – das will ein Fraunhofer-Institut bald anbieten. Ein erster Prototyp von Metaminer existiert bereits und soll auch ohne Rooten des Smartphones einen guten Schutz bieten. (Malware, Virus)   Advertise on IT Security News. Lesen Sie den ganzen…

Verbraucherschutz: Sportuhr-Hersteller gehen unsportlich mit Daten um

Herzfrequenz und Schlafphasen: Apple, Garmin und andere Hersteller von Sportuhren und Fitnesstrackern speichern auf ihren Portalen sehr persönliche Nutzerdaten. Bei einem Praxistest sind nur zwei Hersteller korrekt mit dem Auskunftsrecht des Kunden umgegangen. (Sport, Apple)   Advertise on IT Security…

Core-i-Prozessoren: Intel bestätigt gravierende Sicherheitsprobleme in ME

Backdoor oder sinnvolle Technik? Die Diskussion um Intels Manageability Engine dürfte nach dem Bekanntwerden weiterer Sicherheitslücken an Schärfe zunehmen. Bei den meisten Fehlern handelt es sich um Buffer Overflows. (Intel, Server)   Advertise on IT Security News. Lesen Sie den…

Zensur: Skype ist in chinesischen Appstores blockiert

Skype ist in China nicht mehr verfügbar – jedenfalls nicht in dem Appstore von Apple und den unabhängigen Android-Stores. Dafür verantwortlich ist wohl das neue Cybersicherheitsgesetz. (Skype, Instant Messenger)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Lösegeld: Uber verheimlicht Hack von 60 Millionen Kundendaten

Bei Uber gibt es wieder Probleme: Rund 60 Millionen Kunden sind von einem Hack betroffen. Schuld waren offenbar auf Github abgelegte AWS-Zugangsdaten. Der Uber-Chef verspricht Besserung für die Zukunft. (Uber, Datenschutz)   Advertise on IT Security News. Lesen Sie den…

Android: Google bekommt Standortdaten auch ohne GPS-Aktivierung

Ein Hintergrunddienst sendet offenbar Standortdaten von Android-Nutzern an Google, auch wenn diese kein GPS verwenden. Dafür verantwortlich ist der Firebase-Cloud-Messaging-Dienst. Das Unternehmen will die umstrittene Praxis künftig unterlassen. (Datenschutz, Smartphone)   Advertise on IT Security News. Lesen Sie den ganzen…

Tether: Kryptowährungsstartup verliert 31 Millionen Dollar

Wenn bei Kryptowährungen etwas schiefgeht, dann wird es schnell teuer. Beim Startup Tether haben Angreifer Token im Wert von 31 Millionen US-Dollar transferieren können. Das Unternehmen reagiert mit einem Fork der eigenen Software. (Blockchain, Internet)   Advertise on IT Security…

JoltandBleed: Oracle veröffentlicht Notfallpatch für Universitäts-Software

Eine Software zur Verwaltung von Noten, Zahlungen und anderen Studentendaten ist genauso betroffen wie weitere Oracle-Produkte: Die Sicherheitslücke JoltandBleed ermöglicht ähnliche Angriffe wie einst Heartbleed. Oracle hat Patches bereitgestellt. (Deepsec, Server)   Advertise on IT Security News. Lesen Sie den…

Drohnenhersteller: DJI vergisst TLS-Schlüssel und Firmwarekeys auf Github

DJI reiht sich ein in die unrühmliche Liste von Unternehmen mit ungeschützten S3-Buckets und privaten Zertifikaten auf Github. Betroffen von dem Leak sind Führerscheindaten, Reisepässe und Logs von Flügen. (DJI, Computer)   Advertise on IT Security News. Lesen Sie den…

Projekthoster: Github zeigt Sicherheitswarnungen für Projektabhängigkeiten

Vor wenigen Wochen hat der Projekthoster Github ein Werkzeug vorgestellt, das die Abhängigkeiten eines Projekts besser darstellen soll. Das Konzept wird nun um Sicherheitshinweise und Warnungen erweitert, was die Pflege deutlich erleichtern sollte. (Github, Ruby)   Advertise on IT Security…

Zertifikate: Startcom gibt auf

Es wird keine Rückkehr in die Browser geben: Startcom gibt auf. Die zu Qihoo360 gehörende Zertifizierungsstelle zieht damit auch die Konsequenzen aus einem vernichtenden Sicherheitsaudit. (TLS, Browser)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Zertifikate: Startcom…

Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden

Wie soll die Regierung mit Sicherheitslücken umgehen? An diesem Thema arbeiten die möglichen Koalitionäre eines Jamaika-Bündnisses. (Security, Vorratsdatenspeicherung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Mögliche Jamaika-Koalition: Behörden sollen kritische Sicherheitslücken künftig melden

VEP Charter: Trump will etwas transparenter mit Sicherheitslücken umgehen

Die USA entwickeln ihren Prozess zum Umgang mit Sicherheitslücken durch die Regierung weiter. Kritikern wird das nicht genügen, trotzdem ist die Veröffentlichung der Vulnerabilities Equities Charter ein Meilenstein. (Sicherheitslücke, Internet)   Advertise on IT Security News. Lesen Sie den ganzen…

Privater Schlüssel: DXC veröffentlicht AWS-Key und muss 64.000 US-Dollar zahlen

Private Schlüssel in freier Wildbahn sind ein verbreitetes Problem. Zuletzt traf es das Sicherheitsunternehmen DXC, das den AWS-Schlüssel versehentlich bei Github hochlud – und dann die Rechnung dafür bekam. (AWS, Cloud Computing)   Advertise on IT Security News. Lesen Sie…

Sicherheitsrisiko: Oneplus-Smartphones kommen mit eingebautem Root-Zugang

Oneplus verkauft offenbar seit Jahren seine Smartphones mit einem vorinstallierten Entwicklertool von Qualcomm, das Zugriff auf zahlreiche Systemressourcen erlaubt. Per ADB ist ein Root-Zugriff auf das jeweilige Gerät möglich. Der Hersteller will die Anwendung herauspatchen. (Oneplus, Smartphone)   Advertise on…

Funkverbindungen: US-Behörden wollen Boeing 757 gehackt haben

Nur mit Equipment, das die Sicherheitskontrolle passieren kann, wollen Mitarbeiter der US-Regierung eine Boeing 757 übernommen haben. Der Hack soll bereits vor mehr als einem Jahr stattgefunden haben und wurde über die Funkausrüstung vorgenommen. (Boeing, Internet)   Advertise on IT…

Android-Updates: Krack-Patches für Android, aber nicht für Pixel-Telefone

Mit dem November-Patch für Android schließt Google wieder zahlreiche Sicherheitslücken. Traditionell dabei: der Medienserver. Aber auch einen Patch für Krack gibt es – doch diesen bekommen noch nicht einmal die Pixel-Geräte von Google selbst. (Security, Nvidia)   Advertise on IT…

Leaking: Shadow Brokers sollen NSA mehr geschadet haben als Snowden

Eine Hackergruppe, die Blogposts in gebrochenem Englisch verfasst und zahlreiche Exploits veröffentlicht, macht der NSA offenbar auch nach einem Jahr noch zahlreiche Probleme. Der Geheimdienst sucht nach wie vor nach den Schuldigen. (Security, Server)   Advertise on IT Security News.…

iPhone X: Sicherheitsunternehmen will Face ID ausgetrickst haben

Ein vietnamesisches Sicherheitsunternehmen behauptet, Apples Gesichtsentsperrung Face ID mit Hilfe einer selbst hergestellten Maske ausgetrickst zu haben. Die Maske wurde mit Hilfe eines 3D-Druckers, eines Maskenbildners und mit speziellen Materialien hergestellt und soll 150 US-Dollar gekostet haben. (iPhone X, Apple)…

Digitalmedizin: Wenn das Pflaster die Wunde überwacht

Intelligentes Pflaster, Ultraschall „to go“ aus dem Google Play Store und die 3D-Datenbrille im OP: Die Digitalisierung hat die Medizin erfasst. Der Arztberuf wird sich durch Apps, Clouds und Roboter verändern. (Medizin, Datenschutz)   Advertise on IT Security News. Lesen…

Security: Hackern gelingt Vollzugriff auf Intel ME per USB

Sicherheitsforscher, die Intels Management Engine (ME) seit mehr als einem Jahr analysieren, melden nun: „Game over!“ für Intel. Die Forscher haben vollen Debug-Zugriff auf die ME über eine spezielle USB-Schnittstelle. (Intel, USB 3.0)   Advertise on IT Security News. Lesen…

IT-Sicherheit: BSI-Chef hält trotz Infineon-Panne an Gütesiegel fest

Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen. (BSI, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den…

IT-Sicherheit: BSI-Chef hält trotz Infinion-Panne an Gütesiegel fest

Das Bundesamt für Sicherheit in der Informationstechnik will im kommenden Frühjahr eine technische Richtlinie für Heimrouter vorstellen. Nach Ansicht des Innenministers ist ein gehackter Router gefährlicher als abgefahrene Reifen. (BSI, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den…

Kryptowährung: Bitcoins Segwit2x-Update findet keine Mehrheit

Völlig überraschend haben leitende Entwickler die Absage des Segwit2x-Updates für die Bitcoin-Blockchain abgesagt. Wenige Tage vor der geplanten Umsetzung hat Segwit2x offenbar keine Mehrheit gefunden. (Bitcoin, Studie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Kryptowährung: Bitcoins…

BSI-Lagebericht 2016: De Maizière lehnt Präventivbefugnis für Hackbacks ab

Die künftige Bundesregierung könnte deutschen Behörden die Erlaubnis für Gegenangriffe im Internet erteilen. Doch die potenziellen Koalitionspartner Grüne und FDP könnten sich querstellen. (Provider, Internet)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: BSI-Lagebericht 2016: De Maizière…

Fuzzing: Google zerlegt USB-Stack des Linux-Kernels

Mit einem speziellen Fuzzer für Kernel-Systemaufrufe von Google sind extrem viele Fehler im USB-Stack des Linux-Kernels gefunden worden. Viele davon werden als kritische Sicherheitslücken eingestuft, was aber eigentlich für alle Kernel-Fehler gilt. (Linux-Kernel, Sicherheitslücke)   Advertise on IT Security News.…

Middleboxen: TLS 1.3 soll sich als TLS 1.2 verkleiden

TLS 1.3 kämpft mit Problemen, da viele Middleboxen Verbindungen mit unbekannten Protokollen blockieren. Um das zu verhindern, sollen einige Änderungen dafür sorgen, dass das neue Protokoll wie sein Vorgänger TLS 1.2 aussieht. (TLS, Browser)   Advertise on IT Security News.…

Windows 10: Microsoft stellt Sicherheitsrichtlinien für Windows-PCs auf

Ein aktueller Prozessor, UEFI 2.4 und am besten ein TPM-Chip: Neue Sicherheitsrichtlinien machen Systeme mit Fall Creators Update laut Microsoft erst sicher. Die 8-GByte-RAM-Regel kann jedoch etwa das eigene Surface Pro teils nicht einhalten. (Windows 10, Microsoft)   Advertise on…

Datenweitergabe: Facebook verliert wieder gegen Verbraucherschützer

Im Streit über die Weitergabe von Nutzerdaten an Drittanbieter hat Facebook auch in zweiter Instanz verloren. Möglicherweise muss nun der Bundesgerichtshof entscheiden. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenweitergabe: Facebook verliert wieder…

Google-Urteil: US-Gericht lehnt weltweite Löschung von Suchergebnissen ab

Dürfen Gerichte die weltweite Löschung von Links durchsetzen? Im Streit zwischen Google und Kanada hat der Suchmaschinenkonzern nun die erforderliche Rückendeckung erhalten. (Google, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Google-Urteil: US-Gericht lehnt weltweite Löschung…

Security: Malware mit legitimen Zertifikaten weit verbreitet

Aktuelle Forschungen werfen erneut ein schlechtes Licht auf den Umgang mit Zertifikaten. Fast 200 Malware-Proben sind mit legitimen digitalen Unterschriften ausgestattet gewesen. Damit kann die Schadsoftware Prüfungen durch Sicherheitssoftware bestehen. (Security, Virus)   Advertise on IT Security News. Lesen Sie…

Saphira: Compiler-Patches verraten neue Qualcomm-CPU

Qualcomm arbeitet offenbar bereits an einem Nachfolger für seinen 48-Kern-ARM-Chip mit Falkor-Kernen. Die neuen CPU-Kerne heißen Saphira. Sie sind wohl für den Servereinsatz gedacht und bieten eine neue Security-Funktion in der Hardware. (Qualcomm, Prozessor)   Advertise on IT Security News.…

Linux und Mac: Tor-Browser-Exploit verrät IP-Adresse einiger Nutzer

Unter bestimmten Voraussetzungen verrät der Tor-Browser die unverschleierte IP-Adresse der Nutzer. Betroffen sind nur Mac und Linux-Versionen des Firefox-Bundles, in der täglichen Nutzung dürfte der Fehler nur wenige Personen betreffen. (Tor-Netzwerk, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie…

E-Government: Estland blockiert 760.000 eID-Zertifikate

Die von einer Sicherheitslücke betroffenen Zertifikate der estnischen eID-Karte werden nun doch zurückgezogen, nachdem der RSA-Bug von Infineon öffentlich ist. Estland will die Zertifikate updaten und künftig auf elliptische Kurven setzen. (Security, Verschlüsselung)   Advertise on IT Security News. Lesen…

Savitech: USB-Audiotreiber installiert Root-Zertifikat

Ein Treiber von Savitech installiert Root-Zerifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen. (Security, Treiber)  …

Server: Yubicos zweites Hardware-Security-Modul kostet 650 Dollar

Yubico bietet ein Hardware-Security-Modul für kleinere Unternehmen an, die nicht Hunderte Schlüssel sicher verwahren müssen. Der Schlüssel im Nano-Format verschwindet fast vollständig im USB-Port. (Verschlüsselung, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Server: Yubicos zweites…

IETF: TLS 1.3 ist zu sicher für Ciscos Sicherheitsboxen

Nach Versuchen der Bankenlobby und von ominösen Betreibern von Rechenzentren, das kommende TLS 1.3 zu schwächen, erklärt nun Cisco, dass TLS 1.3 die Sicherheitstechnik sogenannter Middleboxen verhindert. Dabei verhindern kaputte Middleboxen die Einführung von TLS 1.3. (TLS, Cisco)   Advertise…

Certificate Authority: Comodo gehört jetzt einem Staatstrojanerbesitzer

Es ist schon die zweite Zertifizierungsstelle, die in diesem Jahr verkauft wird: Comodo stößt das Geschäft mit Zertifikaten an eine Investmentgesellschaft ab. Diese hat unter anderem auch Hersteller von Staatstrojanern im Portfolio. (Comodo, OCR)   Advertise on IT Security News.…

Crypto-Messenger: Signal-Desktop-Client wechselt von Chrome auf Electron

Der Crypto-Messenger Signal nutzt für seinen Desktop-Client nun Electron als Basis statt Chrome-Apps. Der Client ist damit unabhängig vom Browser nutzbar und eine eigenständige Anwendung. Linux-Nutzer werden vorerst aber nur teilweise bedient. (Security, iPhone)   Advertise on IT Security News.…

Datenschutz: Jamaika-Koalition soll Vorratsdatenspeicherung beenden

Deutschland soll mit einer neuen Regierung Abschied von der Vorratsdatenspeicherung nehmen. Das Fordern zahlreiche Verbände unter dem Dach des AK Vorrat – insbesondere von den Grünen und der FDP. (Vorratsdatenspeicherung, Datenschutz)   Advertise on IT Security News. Lesen Sie den…

Pharmahersteller: Merck musste wegen NotPetya-Angriff Medikamente leihen

Auch das Pharmaunternehmen Merck merkt den NotPetya-Angriff in seiner Bilanz: Rund 375 Millionen US-Dollar Ausfall gibt das Unternehmen durch die Ransomware an. Um den Betrieb trotz Produktionsausfällen aufrechtzuerhalten, hat sich die Firma sogar Medikamente bei den US-Behörden geliehen. (Ransomware, Virus)…

HTTPS: Chrome will HTTP Public Key Pinning wieder aufgeben

Es bringt zwar Sicherheitsgewinne, aber auch einige Gefahren: HTTP Public Key Pinning (HPKP) ist ein kontroverses Feature in Browsern. Jetzt will Chrome es wieder abschaffen – und setzt stattdessen vor allem auf Certificate Transparency. (Chrome, Browser)   Advertise on IT…

Ransomware: Badrabbit verbreitete sich auch über Shadowbroker-Exploit

Wieder ein SMB-Exploit, aber nur als Backup für die Verbreitung im Firmennetzwerk: Badrabbit hat offenbar große Ähnlichkeiten mit der NotPetya-Kampagne. In Deutschland gibt es weiterhin nur wenige Opfer. (Ransomware, Virus)   Advertise on IT Security News. Lesen Sie den ganzen…

Georgia: Wählerdaten vor Analyse von Server gelöscht

Bevor im US-Bundesstaat Georgia untersucht werden konnte, ob eine Manipulation der Wählerverzeichnisse erfolgt ist, wurden die Daten gelöscht. Bislang will niemand dafür verantwortlich sein. (Security, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Georgia: Wählerdaten vor…

Virenscanner: McAfee lässt nur noch die USA an den Quellcode

Nach Symantec jetzt auch McAfee: Das Unternehmen will Regierungen keinen Zugriff mehr auf den eigenen Quellcode gewähren. Mit einer Ausnahme. (McAfee, Intel)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Virenscanner: McAfee lässt nur noch die USA…

Freie Linux Firmware: Google will Server ohne Intel ME und UEFI

Nach dem Motto „Habt ihr Angst? Wir schon!“ arbeitet ein Team von Googles Coreboot-Entwicklern mit Kollegen daran, Intels ME und das proprietäre UEFI auch in Servern unschädlich zu machen. Und das wohl mit Erfolg. (Open Source, Dateisystem)   Advertise on…

DNS über TLS: Google bringt sichere DNS-Abfragen in Developer-Android

Committs im Android-Open-Source-Project zeigen, dass Google an einer Implementierung für DNS über TLS für Android arbeitet. Damit können Anfragen nicht nur vor neugierigen Blicken versteckt, sondern auch gegen Manipulation abgesichert werden. Wann das Feature kommen könnte, ist aber noch unklar.…

Micropayment: Eine Erweiterung, sie alle zu flattern

Dieses Konzept könnte sogar dem Axel-Springer-Verlag gefallen: Das neue Flattr-Addon vom Adblocker-Anbieter Eyeo will Webseiten eine neue Einnahmequelle verschaffen. Doch Nutzer müssen einige Nachteile in Kauf nehmen. (Flattr, WordPress)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

Ransomware: Badrabbit verschlüsselt Nachrichtenagentur Interfax

In Russland und der Ukraine verbreitet sich eine neue Ransomware. Badrabbit wurde über Nachrichtenwebseiten verbreitet und befällt offenbar gezielt Unternehmensnetzwerke. Betroffen waren eine Nachrichtenagentur, der Flughafen von Odessa und die Metro von Kiew. (Ransomware, Virus)   Advertise on IT Security…

GPS-Tracking: Kindersmartwatches sind ein Datenschutz-Desaster

Smartwatches für Kinder sollen den Eltern Sicherheit vermitteln. Doch mehrere Geräte weisen nach Angaben norwegischer Verbraucherschützer gravierende Sicherheitsmängel auf, die eine Ausspähung der Kinder durch Fremde ermöglichen können. (Security, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen…

Teamkommunikation: Wire bringt Business-Messenger mit Privatnutzung

Businesskunden sollen künftig für Wire zahlen – und bekommen dafür zahlreiche Admintools. Für Privatnutzer bleibt der Dienst kostenfrei. Wer den Messenger auch privat nutzt, kann zwischen verschiedenen Nutzungsszenarien hin- und herschalten. (Security, Datenschutz)   Advertise on IT Security News. Lesen…

Check Point: LGs smarter Staubsauger lässt sich heimlich fernsteuern

LG hat eine Sicherheitslücke in seiner Smart-Home-App gepatcht, die eine volle Kontrolle über alle verbundenen Geräte ermöglicht hat. Dazu ist nur die Mailadresse der Besitzer erforderlich. Betroffen ist unter anderem die Kamera in einem smarten Staubsauger. (Security, LG)   Advertise…