Kategorie: Golem.de – Security

Schweizer Post: Code von Schweizer Online-Wahl geleakt

Die Schweizer Post hatte dazu aufgerufen, ihr Online-Voting-System zu testen – allerdings nur gegen die Zusicherung, gefundene Sicherheitsprobleme nicht unabgesprochen zu veröffentlichen. Jetzt ist der Quellcode zugänglich gemacht worden. (Wahlcomputer, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den…

Datenskandal: Briten kritisieren Facebook als „digitale Gangster“

In einem aufsehenerregenden Bericht dokumentiert das britische Parlament, wie Facebook die Daten seiner Nutzer für Werbezwecke verkauft. Die Untersuchungskommission fordert eine neuartige Regulierung sozialer Medien. (Facebook, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenskandal: Briten…

BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

Die Sicherheitslage ist angespannt. Immer mehr Sicherheitsvorfälle werden dem BSI gemeldet. Die Zahlen sind jedoch wenig aussagekräftig. (BSI, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: BSI: Mehr Sicherheitsvorfälle bei kritischer Infrastruktur

Security: Wireguard-VPN für MacOS erschienen

Die freie VPN-Technik Wireguard steht nun auch für Apples Desktop-System MacOS bereit. Der Code basiert zu großen Teilen auf der iOS-App. Das Team hatte bei der Entwicklung Probleme mit den Regularien des Mac-App-Stores. (VPN, Mac OS X)   Advertise on…

Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig aus

Selbst populäre Apps mit Hunderten Millionen Nutzern verstoßen gegen die Werberichtlinien von Google. Das Unternehmen reagierte monatelang nicht auf die Vorwürfe. (Apple, Google)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz: 18.000 Android-Apps spionieren Nutzer unzulässig…

Ubuntu-Sicherheitslücke: Snap und Root!

Über einen Trick kann ein Angreifer Ubuntus Paketverwaltung Snap vorgaukeln, dass ein normaler Nutzer Administratorrechte habe – und damit wirklich einen Nutzer mit Root-Rechten erstellen. (Ubuntu, API)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Ubuntu-Sicherheitslücke: Snap…

Microsoft: Preview für Windows 10 aus dem Jahr 2020 schon verfügbar

Windows-10-Skip-Ahead-Tester überspringen die Version 19H2 und bekommen direkt das erste große Inhaltsupdate für das Jahr 2020 präsentiert. 20H1 ist bisher eher eine Baustelle, enthält wohl aber noch immer Cortana und eine Anti-Tamper-Sicherheitsfunktion. (Windows 10, Microsoft)   Advertise on IT Security…

Datenschutz: Hohes Bußgeld wegen offenem Mail-Verteiler

Wer seinen Mailverteiler nicht im BCC versteckt, kann auch als Privatperson gegen den Datenschutz verstoßen. Das bekam nun ein Behördentroll in Sachsen-Anhalt zu spüren. (DSGVO, Technologie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Datenschutz: Hohes Bußgeld…

Videoüberwachung: Bahn stoppt Testprojekt am Berliner Südkreuz

Nach dem Testprojekt zur automatischen Gesichtserkennung wollte die Bahn die Kameras am Berliner Südkreuz eigentlich für einen anderen Versuch nutzen. Doch daraus wird vorläufig nichts. (Gesichtserkennung, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Videoüberwachung: Bahn…

Xiaomi-Hack: Go Scooter, stop Scooter

Xiaomis Scooter mit Elektroantrieb haben eine drastische Sicherheitslücke: Die Scooter können per Bluetooth ferngesteuert werden. (Xiaomi, Malware)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Xiaomi-Hack: Go Scooter, stop Scooter

Realtime-Bidding: Werbenetzwerke im Visier der Datenschützer

Echtzeit-Auktionen für Internetwerbung arbeiten mit teilweise sehr sensiblen Nutzeretikettierungen. Drei europäische Datenschutzaufsichtsbehörden müssen nun entscheiden, ob diese Praxis von Google und anderen Anbietern zulässig ist. (Tracking, Datenschutz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Realtime-Bidding: Werbenetzwerke…

Runc: Sicherheitslücke ermöglicht Übernahme von Container-Host

Eine Sicherheitslücke ermöglicht es, dass Software aus einem Container ausbricht. Die Ausführungsumgebung Runc, mit der Container gestartet werden, kann überschrieben und so der Host übernommen werden. Docker und viele andere Lösungen sind verwundbar. (Security, Web Service)   Advertise on IT…

DSGVO-Beschwerde: Anonymisierung reicht als Löschverfahren aus

Die EU-Datenschutz-Grundverordnung räumt den Nutzern ein Recht auf die Löschung ihrer Daten ein. Doch Anbieter haben nach Ansicht der österreichischen Datenschutzbehörde verschiedene Möglichkeiten, dem Verlangen zu entsprechen. (Passwort, Technologie)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

HHVM: Facebooks PHP-Alternative erscheint ohne PHP

Mit der eigenen freien virtuellen Maschine HHVM für PHP hat Facebook die Sprache deutlich beschleunigt. Die aktuelle Version 4.0 von HHVM unterstützt wie angekündigt jedoch kein PHP mehr, sondern nur noch die eigene Sprache Hack. (HHVM, PHP)   Advertise on…

Security: Qnap-NAS-Systeme von unbekannter Malware betroffen

Besitzer von TS-251+-NAS-Geräten berichten von merkwürdigen Einträgen in der Hosts-Datei durch Malware, die das Aktualisieren und Installieren von Antivirensoftware verhindern. Erst auf Nachfrage stellt Qnap einen Fix bereit. Nutzer wundern sich über dessen Trägheit in der Sache. (Qnap, Virus)  …

Inspire: Fitbits neues Wearable gibt es nicht im Handel

Schlafanalyse und Schrittzählung, auf Wusch auch optische Herzfrequenzmessung: Ein neues Wearable von Fitbit mit dem Namen Inspire klingt auf den ersten Blick wenig aufregend. Das Spannende ist, dass es nur in den USA und nur über Firmenpartner erhältlich ist. (Fitbit,…

Sicherheitspatches: Android lässt sich per PNG-Datei übernehmen

Mit dem aktuellen Februar-Update für Android schließt Google eine Sicherheitslücke, durch die Schadcode über eine PNG-Datei eingeschleust werden kann. Das Team hat außerdem weitere kritische Sicherheitslücken behoben. (Android, Nvidia)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

iOS-Apps: Apple reagiert auf Datenschutzvorwürfe

Mehrere bekannte iOS-Apps wie Expedia oder Hotels.com verwenden ein Drittanbieter-Tool, das jede Interaktion mit der Anwendung aufzeichnet – ohne den Nutzern dies mitzuteilen. Das ist nach App-Store-Statuten nicht erlaubt, Apple hat den Anbietern daher eine eintägige Frist zur Beseitigung der…

Clusterfuzz: Google legt Werkzeug zum Fuzzen in der Cloud offen

Mit Clusterfuzz sucht Google automatisiert nach Fehlern im Chromium-Code oder in anderen Open-Source-Programmen. Die Software läuft dafür in der Google-Cloud und steht jetzt selbst als Open-Source bereit. Theoretisch könnte sie damit auf andere Cloud-APIs portiert werden. (Open Source, Google)  …

Apple: Gruppen-Facetime wird durch iOS 12.1.4 repariert

Der Fehler in Gruppen-Facetime, der das iPhone oder iPad zur Abhöreinrichtung machen könnte, ist mit dem neu veröffentlichten iOS 12.1.4 behoben worden. Die Server wurden ebenfalls wieder eingeschaltet. (iOS, Server)   Advertise on IT Security News. Lesen Sie den ganzen…

Like: Kartellamt schränkt Datensammelei von Facebook ein

Facebook hat in Deutschland eine marktbeherrschende Stellung – und missbraucht sie: Das hat nun das Bundeskartellamt entschieden. Es untersagt das Zusammenführen von Daten, auch Whatsapp und Instagram sind betroffen. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie…

Karlsruhe: Verfassungsrichter stoppen Abgleich von Autokennzeichen

Ohne dass die Pkw-Insassen etwas mitbekommen, scannen Polizisten an manchen deutschen Straßen die Nummernschilder sämtlicher Autos. Das Bundesverfassungsgericht hat sich das lange angeschaut – und schreitet jetzt ein. (Datenschutz, Internet)   Advertise on IT Security News. Lesen Sie den ganzen…

Internet-Infrastruktur: Fehlerhafte Router stoppen BGP-Experiment

Ein Forscherteam hat die Nutzung bisher ungenutzter Flags aus dem BGP-Routingstandard getestet. Dabei haben reihenweise Router ihre Verbindungen abgebrochen. Das Experiment wurde nun gestoppt. (BGP, Netzwerk)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Internet-Infrastruktur: Fehlerhafte Router…

Wearable: EU warnt vor deutscher Kinder-Smartwatch

Die Smartwatch Enox Safe-Kid-One soll es Eltern ermöglichen, einfach mit ihrem Kind zu kommunizieren – und es im Notfall leicht orten zu können. Dummerweise können das auch externe Nutzer, weshalb die EU-Kommission nun einen Rückruf anordnet. (Smartwatch, Datenschutz)   Advertise…

Quadrigacx: Kryptomarktbesitzer tot, 137 Millionen Dollar unerreichbar

Der Inhaber einer Kryptowährungsbörse ist plötzlich gestorben. Er hinterlässt verschlüsselte Festplatten mit Währung im Wert von 137 Millionen US-Dollar. Allerdings wusste nur er das Passwort. (Kryptomining, Börse)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Quadrigacx: Kryptomarktbesitzer…

Daniel Stenberg: DNS über HTTPS ist für Endnutzer

Die Übertragung von DNS-Informationen über HTTPS sei nicht nur sicherer als Alternativen, sondern vor allem gut für den Endnutzer, sagt Curl-Entwickler Daniel Stenberg. Noch seien aber nicht alle Probleme mit der Technik gelöst. (DNS, Server-Applikationen)   Advertise on IT Security…

Hashfunktion: Gits langer Weg zu SHA-256

Die Entwickler des Versionskontrollsystems Git wollen und müssen von SHA-1 auf SHA-256 wechseln. Doch auch fast zwei Jahre nach ersten Plänen gibt es nur langsame Fortschritte in dieser Richtung und den Entwicklern steht noch viel Arbeit bevor. (Git, Versionsverwaltung)  …

Airbus: Flugzeughersteller meldet Sicherheitsvorfall

Bei einem Angriff auf den Flugzeug- und Rüstungshersteller Airbus sollen Daten europäischer Mitarbeiter abgeflossen sein. Mit weiteren Details hält sich das Unternehmen, das selbst über eine IT-Sicherheitssparte verfügt, zurück. (Airbus, Security)   Advertise on IT Security News. Lesen Sie den…

Karma-Spyware: Wie US-Auftragsspione beliebige iPhones hackten

Eine Spionageabteilung im Auftrag der Vereinigten Arabischen Emirate soll die iPhones von Aktivisten, Diplomaten und ausländischen Regierungschefs gehackt haben. Das Tool sei wie Weihnachten gewesen, sagte eine frühere NSA-Mitarbeiterin und Ex-Kollegin von Edward Snowden. (iPhone, Apple)   Advertise on IT…

Nist: Zweite Runde im Wettbewerb für Post-Quanten-Kryptographie

Die US-Standardisierungsbehörde Nist hat eine Vorauswahl von Algorithmen getroffen, die für zukünftige Standards von quantensicheren Algorithmen in Frage kommen. (Post-Quanten-Kryptographie, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Nist: Zweite Runde im Wettbewerb für Post-Quanten-Kryptographie

Europol und FBI: Hacker-Marktplatz xDedic geschlossen

Auf dem Online-Marktplatz xDedic konnten Kriminelle den Zugang zu gehackten Rechnern und Daten kaufen. Nun gingen Ermittler international gegen die Plattform vor. (FBI, Server)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Europol und FBI: Hacker-Marktplatz xDedic…

Z1: Zahnarztsoftware installiert lückenhaften Adobe Reader

Eine Verwaltungssoftware für Zahnarztpraxen installiert beim Update automatisch einen Adobe Reader in einer sehr alten Version, der zahlreiche bekannte Sicherheitslücken hat. Der Hersteller meint, das Problem behoben zu haben, das stimmt aber offenbar nicht. (Adobe Reader, PDF)   Advertise on…

DSGVO: Mehr als 12.000 Datenpannen in Deutschland gemeldet

In der EU sind seit Inkrafttreten der DSGVO mehr als 40.000 Datenpannen registriert worden, die meisten davon in Deutschland. Was genau hinter den Verletzungen des Datenschutzes steckt, wird jedoch nicht erfasst. (Passwort, PHP)   Advertise on IT Security News. Lesen…

Niedersachsen: Technische Panne schluckt Datenschutzbeschwerden

Seit Inkrafttreten der EU-Datenschutz-Grundverordnung sind in Europa fast 100.000 Datenschutzbeschwerden von Bürgern eingegangen. In Niedersachsen war dies nur eingeschränkt möglich. (Passwort, PHP)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Niedersachsen: Technische Panne schluckt Datenschutzbeschwerden

Facebook: Transparenztools für Wahlwerbung funktionieren nicht mehr

Facebook brüstet sich damit, mehr Transparenz über politische Kampagnen herstellen zu wollen. Doch das Unternehmen blockiert nun Plugins von Nachrichtenorganisationen und NGOs, die gezielte Werbeanzeigen analysieren. (Facebook, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel:…

NX4 Networks: Netflix sperrt erneut Glasfasernetzbetreiber

Netflix bekommt seine Probleme mit einzelnen Netzbetreibern nicht in den Griff. Nach einer kurzen Entspannung wird ein Anbieter wieder blockiert. (Netflix, Streaming)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: NX4 Networks: Netflix sperrt erneut Glasfasernetzbetreiber

Datenbank: Lange bekannte MySQL-Lücke führt zu Angriffen

Das MySQL-Protokoll erlaubt es Servern, Daten des Clients auszulesen. Offenbar nutzte die kriminelle Gruppe Magecart dies zuletzt, um mit dem PHP-Datenbankfrontend Adminer Systeme anzugreifen. Auch PhpMyAdmin ist verwundbar. (MySQL, PHP)   Advertise on IT Security News. Lesen Sie den ganzen…

Smart Home: Wenn die Lampe zum Trojaner wird

Wo führt das hin, wenn Alltagsgegenstände smart und damit angreifbar werden? Der Sicherheitsforscher Michael Steigerwald zeigt, was mit einem smarten Leuchtmittel alles möglich ist. (Smart Home, Netzwerk)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Smart Home:…

Pantsdown: Fehler in Server-Firmware ermöglicht Rootkit

Eine Sicherheitslücke in der Firmware von Baseband Management Controllern (BMC) ermöglicht bösartigen Admins, eine Art Rootkit zu installieren, das nur schwer auffindbar ist. Besonders kritisch wird dies bei der Verwendung gebrauchter Hardware. (Sicherheitslücke, IBM)   Advertise on IT Security News.…

DSGVO: Datenaustausch mit Japan uneingeschränkt möglich

Die EU-Kommission hat mit Japan den „weltweit größten Raum für sicheren Datenverkehr“ geschaffen. Das Datenabkommen mit den USA zählt in dieser Rechnung nicht. (DSGVO, Soziales Netz)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: DSGVO: Datenaustausch mit…

AWS: Amazon Worklink soll einfachen VPN-Ersatz bieten

Externen Mitarbeitern Zugriff auf interne Inhalte zu geben, ist für Admins oft mit viel Arbeit verbunden. Amazons neuer Cloud-Dienst Worklink soll das nun deutlich vereinfachen, vor allem natürlich dann, wenn schon viele Daten bei AWS liegen. (AWS, Amazon)   Advertise…

Verschlüsselung: Open SSL 1.1.1 überzeugt im Sicherheitsaudit

Die Initiativen Ostif und Quarkslab haben OpenSSL 1.1.1 einem Audit unterzogen. Den Fokus legten die Sicherheitsforscher auf die neuen TLS-1.3-Funktionen und die Änderungen am Pseudo Random Number Generator (PRNG). (OpenSSL, Verschlüsselung)   Advertise on IT Security News. Lesen Sie den…

Apt: Bug in Debian-Paketmanager feuert Debatte über HTTPS an

Ein Fehler im Debian-Paketmanager Apt erlaubt es einem Netzwerkangreifer, dem System bösartigen Code unterzuschieben. Debian nutzt für seine Pakete kein HTTPS, was den Bug zumindest schwerer ausnutzbar machen würde. (Debian, Ubuntu)   Advertise on IT Security News. Lesen Sie den…

Paketmanagement: PHP-Codesammlung Pear wurde gehackt

Die Webseite von Pear, einer Sammlung von Bibliotheken für PHP, ist zurzeit offline. Offenbar wurde der Server gehackt und die Installationsdatei ausgetauscht. (PHP, Server-Applikationen)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Paketmanagement: PHP-Codesammlung Pear wurde gehackt

HTTPS: Let’s Encrypt schaltet alte Validierungsmethode ab

Let’s Encrypt wird in Kürze die Domain-Validierungsmethode TLS-SNI-01 aufgrund von Sicherheitsbedenken nicht mehr anbieten. Für Nutzer älterer Versionen der Certbot-Software wird das zum Problem – beispielsweise für Debian-Anwender. (Let's Encrypt, Debian)   Advertise on IT Security News. Lesen Sie den…

Fehlerhafter Airbag: Tesla ruft ältere Model S zurück

Ein Airbag soll den Beifahrer bei einem Unfall davor bewahren, mit dem Kopf auf das Armaturenbrett zu knallen. Das geht aber nur, wenn der Airbag funktioniert. Wegen fehlerhafter Airbags müssen Tesla und andere Hersteller nun Autos zurückrufen. (Tesla Model S,…

Europäische Netzpolitik: Schlimmer geht’s immer

Lobbyeinfluss, Endlosdebatten und Blockaden: Die EU hat in den vergangenen Jahren in der Netzpolitik nur wenige gute Ergebnisse erzielt. Nach der Europawahl im Mai gibt es noch viele Herausforderungen für einen digitalen Binnenmarkt. (Europawahl 2019, Google)   Advertise on IT…

LLVM: Google will Compiler-Team gegen Spectre-Angriffe ansetzen

Um Seitenkanalangriffe wie Spectre besser zu verstehen und zu verhindern, will Google ein spezialisiertes LLVM-Team für Programmiersprachen und Compiler aufbauen. Weitere Entwickler sollen die Unterstützung für eine interne Plattform umsetzen. (LLVM, Google)   Advertise on IT Security News. Lesen Sie…

DSGVO: Soziale Medien erschweren Nutzern die Datenauskunft

Mit dem Recht auf Auskunft sollen die Nutzer mehr Kontrolle über die gespeicherten Daten bekommen. Doch die sozialen Medien machten es den Nutzern trotz der DSGVO nicht so einfach, kritisieren Verbraucherschützer. (Angela Merkel, Google)   Advertise on IT Security News.…

Kriminalität: Zwei Angeklagte nach Hack der US-Börsenaufsicht

Über eine Sicherheitslücke und Phishing sollen Hacker an unveröffentlichte Dokumente der US-Börsenaufsicht gelangt sein. Händler sollen mit den Insiderinformationen über vier Millionen US-Dollar verdient haben. Gegen die Hacker wurde nun Anklage erhoben. (Börse, Malware)   Advertise on IT Security News.…

Sicherheitslücken: Bauarbeitern die Maschinen weghacken

Bergbaumaschinen, Kräne und andere Industriegeräte lassen sich fernsteuern oder durch einen DoS-Angriff unbenutzbar machen. Das ist laut einer Studie nicht nur gefährlich, sondern auch vergleichsweise einfach. (Sicherheitslücke, Industrieanlage)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Sicherheitslücken:…

Schwer ausnutzbar: Die ungefixten Sicherheitslücken

Sicherheitslücken wie Spectre, Rowhammer und Heist lassen sich kaum vollständig beheben, ohne gravierende Performance-Einbußen zu akzeptieren. Daher bleiben sie ungefixt. Trotzdem werden sie bisher kaum ausgenutzt. (Sicherheitslücke, Prozessor)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Schwer…

Datenleak: Telekom und Politiker wollen härtere Strafen für Hacker

Die Telekom und Politiker mehrerer Parteien wollen Hacker als Folge der illegalen Veröffentlichung der Daten von Prominenten und Politikern strenger bestrafen. Bundesjustizministerin Barley bringt nach dem Politiker-Hack eine Musterfeststellungsklage gegen Twitter und Facebook ins Gespräch. (Politiker-Hack, Soziales Netz)   Advertise…

Datenleak: Die Fehler, die 0rbit überführten

Er ließ sich bei einem Hack erwischen, vermischte seine Pseudonyme und redete zu viel – Johannes S. hinterließ viele Spuren. Trotzdem brauchte die Polizei offenbar einen Hinweisgeber, um ihn als mutmaßlichen Täter im Politiker-Hack zu überführen. (Politiker-Hack, VPN)   Advertise…

Vivy & Co.: Gesundheitsapps kranken an der Sicherheit

Mit Sicherheitsversprechen geizen die Hersteller von Gesundheitsapps wahrlich nicht. Doch wie ist es wirklich darum bestellt? (Medizin, Gesundheitskarte)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Vivy & Co.: Gesundheitsapps kranken an der Sicherheit

Hacker: Achtung, ich spreche durch deine gehackte Kamera!

Auf eine unkonventionelle Art weist ein kanadischer Hacker Kameraeigentümer auf eine Sicherheitslücke hin: Er spricht mit ihnen durch ihre Kamera. (IoT, Sicherheitslücke)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Hacker: Achtung, ich spreche durch deine gehackte…

Österreich: Post handelt mit politischen Einstellungen

Ob eine Person eher mit rechten oder mit linken Parteien sympathisiert? Diese Information kann bei der Österreichischen Post gekauft werden. Datenschützer halten die Praxis für rechtswidrig. (Datenschutz, Post)   Advertise on IT Security News. Lesen Sie den ganzen Artikel: Österreich:…