Artikel-Archiv: „Oktober 2017“

„WPA2 ist angeschlagen, aber nicht gänzlich geknackt“

Zwei Sicherheitsforscher zeigen, wie sie auf Grund von Fehlern im WPA2-Protokoll verschlüsselte Daten zwischen einem Access Point und Client einsehen können. WPA2 ist das mittlerweile fast überall genutzte Protokoll für die Verschlüsselung in Funknetzen und soll Angreifer daran hindern, Daten durch einfaches Belauschen der Funkübertragung zu erschnüffeln. Durch den KRACK getauften Angriff könnten Angreifer etwaweiterlesen

WhatsApps „Hintertür“

Die Bezeichnung „Backdoor“, die der Guardian für seine initiale WhatsApp-Story gewählt hat, ist irreführend (und wahrscheinlich der Grund warum man nachträglich die Überschrift von „WhatsApp backdoor allows snooping on encrypted messages“ auf „WhatsApp vulnerability allows snooping on encrypted messages“ geändert hat). Die Wortwahl „Hintertür“ suggeriert, dass damit automatisch ein Zugang zum kompletten Nachrichtenverlauf eines Gesprächsweiterlesen

Das FBI zieht zurück

”The government has now successfully accessed the data stored on terrorist Syed Rizwan Farook’s iPhone and therefore no longer requires the assistance from Apple Inc.,“ prosecutors wrote in the Monday filing, which does not explain precisely what was done. „Feds break through seized iPhone, stand down in legal battle with Apple“ Nicht aufgehoben, sondern aufgeschobenweiterlesen

„Hacked out of the box“

Two new critical vulnerabilities in Google’s mobile operating system announced by security researchers on Thursday put more than a billion Android devices at risk of being hacked. That means “almost every Android device” is affected, ranging from Android version 1.0 to the latest version 5.0, also known as “lollipop,” the researcher said. […] Avraham addedweiterlesen

Die Verantwortungs­verschiebung bei Android-Sicherheitslücken

Google rollt keine eigenen Android-Updates für die WebView-Komponente1 von Pre-KitKat-Geräten – Android 4.4, eingeführt im Oktober 2013, mehr aus. Grundsätzlich befürworte ich das Abschneiden alter Zöpfe – sonst geht es nicht voran. Der Zeitraum hier erscheint jedoch so knapp kalkuliert, dass viele Kunden noch nicht einmal ihre zweijährige Vertragslaufzeit beim Mobilfunkprovider beendet haben, von demweiterlesen

Apples SSL-Lücke

„Viel schlimmer kann es kaum kommen“ – Apple dürfte die Hintergründe zur desaströse SSL-Sicherheitslücke, die mit iOS 7.0.6 am Freitag geschlossen wurde, für Mavericks aber bislang nur versprochen ist, gerne mit zusätzlichen Informationen unterfüttern. In diesem Fall wäre ein Statement angebracht. Für ein bisschen mehr Hintergrund zum goto fail; sei die aktuelle ‚Bits und so‘weiterlesen

[update] Angreifbar: Belkins WeMo-Serie

Auch die letzte Hürde überwanden die IOActive-Forscher anscheinend: Die Authentizitätsprüfung des Binaries wollen sie umgangen haben, indem sie aus der Originalfirmware den zum Signieren der Binärdatei verwendeten privaten Schlüssel extrahierten. Damit steht der Weg offen, beispielsweise im Heimnetz mittels ARP-Spoofing allen Internet-Verkehr über ein Wemo-Gerät umzuleiten, interessante Daten an Dritte weiterzugeben oder als Proxy weitereweiterlesen

WhatsApp lässt sich beim Bezahlen in die Karten schauen

When making a payment to gain a WhatsApp licence, the connection between the WhatsApp server and payment services, including Google Wallet and PayPal, is protected by Secure Sockets Layer (SSL) encryption. But the connection between the app’s browser, which launches when payments are made, and the WhatsApp server is not protected at all. Curesec, whichweiterlesen