Homepage C-Security Cyberspace CSpionage CTerror  Gefährdung Kriminalität  Computer Kommunikation  Systeme Mensch Information Mobiltelephon Ramson Emission Schwachstellen
 Quanten Forschung Fachberichte Wirtschafte Technik Netzee Kryptologiee Geheimdienste kyb.Waffen Bildung Supercomp. Standorte I-Satelliten Diverses C-Politik  Verschlüsselung
Schwachstellen Hardware Programme Software History Kommunikation IoT / Geräte Militär Netzwerke Handys Mensch Spionagetools Tools Industrie
MS Exchange Solar Winds RamsonFlicken
Schwach-stellen I
Schwach-stellen II

Allgemeine Bemerkungen
Woher
Forscher haben davor gewarnt, dass militärische Operationen und Flugsicherheits-kommunikation, die durch Software Schwächen gefährdet
Konten sekundenschnell gehackt Forscher warnen vor Whatsapp-W-Lücke

Löcher im digitalen Schutzwall
873 Schwachstellen im F 35 aber bereits weniger als 2018
Identitätsdiebstahl: Sicherheitsforscher warnen vor grundlegender Lücke in LTE-Netzen
Angreifer könnten sich als andere Personen ausgeben, und in deren Namen auftreten – Allerdings hoher Aufwand notwendig

NSA-Hintertür in Netzwerk-Hardware wurde von anderem Staat zur Spionage genutzt
Signal-Entwickler hackt Spionagetools von FBI-Zulieferer Cellebrite
Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Hunderte Sicherheitslücken in Qualcomm-Chips gefährden Millionen Smartphone-Nutzer
Schwere Sicherheitslücke ermöglicht Abhören von Telefongesprächen bei einem Drittel aller Smartphones
Google stößt im Android-System auf bedrohliche Sicherheitslücke
Samsung deckt kritische Schwachstellen in allen Smartphones auf, die nach 2014 veröffentlicht wurden
 
 
 
 
 
 
W I R E D
Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Sicherheit
24.04.2021 09:00 Uhr
Sicherheitsmeldungen in dieser Woche: Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Plus: App Store-Betrug, ein Anti-Überwachungs-Gesetz und weitere der wichtigsten Sicherheitsnachrichten der Woche.
Signal's Founder Hacked a Notorious PhoneCracking Device
Foto: Issei Kato/REUTERS/Alamy
Diese Woche hat Apple Frühjahr Produkt-Launch-Event wurde durch einen Ransomware-Angriff gegen einen seiner Lieferanten, Quanta Computer getrübt. Der Vorfall ist bemerkenswert, weil er Apple betrifft – und die Veröffentlichung vertraulicher Schaltpläne –, aber auch, weil er einen Schnittpunkt mehrerer störender Trends inder digitalen Erpressung darstellt.

In anderen Apple-benachbarten Hacking-News fanden Facebook-Forscher heraus, dass eine Palästina-verknüpfte Gruppe benutzerdefinierte Malware entwickelt hatte, um iOS anzugreifen,versteckt in einer funktionalen Messaging-App. Opfer mussten einen Drittanbieter-App-Store besuchen, um die bösartige Software zu installieren, aber die Hacker nutzten Social-Engineering-Techniken, um sie dazu zu betrügen. Und wenn man von Facebook spricht, ist der Social-Media-Riese in eine weitere Datenbelichtung verwickelt, diesmal die E-Mail-Adressen von Millionen von Nutzern, die diese Informationen in ihren Einstellungen als "privat" festgelegt hatten. Dies kommt auf den Fersen eines Fehlers, der das Abkratzen von 500 Millionen Facebook-Nutzer-Telefonnummern erlaubte, die Anfang dieses Monats ans Licht kamen.

Wir haben uns auch einen seither behobenen Bug im Clubhouse angeschaut, der es den Leuten ermöglicht hätte, unsichtbar in Räumen wie Geistern zu verweilen und sogar einen Schläger zu verursachen, wobei der Moderator nicht in der Lage war, sie zu stumm zu machen oder sie hinauszuwerfen.

Und es gibt noch mehr! Jede Woche runden wir alle Nachrichten, die WIRED nicht ausführlich behandelt hat, ab. Klicken Sie auf die Überschriften, um die vollständigen Geschichten zu lesen. Und bleiben Sie sicher da draußen.

Signalgründer Moxie Marlinspike geht nach Cellebrites Telefon-Cracking-Maschinen
Im Dezember behauptete das Forensik-Unternehmen Cellebrite, das Behörden hilft, in iPhones und Android-Geräte einzubrechen und daten zu extrahieren,dass es auf Signal-App-Daten zugreifen könnte. Das war ein bisschen Fehlleitung; es hatte nicht die berühmte robuste Verschlüsselung von Signal untergraben, sondern die Unterstützung für Dateitypen hinzugefügt, die Signal seinem Physical Analyzer-Tool verwendet. Die Unterscheidung ist ziemlich wichtig. Cellebrite könnte im Grunde auf Signalnachrichten zugreifen, sobald es bereits Ihr Telefon in der Hand hatte und entsperrt, was ein Risiko mit jeder verschlüsselten Messaging-App sein wird.

Schnell vorwärts in dieser Woche, als Signal-Gründer Moxie Marlinspike einen Blog-Beitrag veröffentlichte, der seine scheinbar erfolgreichen Bemühungen beschreibt, das Telefon-Cracking-Gerät eines Cellebrites zu hacken. Was er fand: viele Schwachstellen, in dem Maße, dass eine App einen Cellebrite-Computer gefährden könnte, indem sie einfach eine speziell formatierte Datei auf einem gescannten Telefon einfügt. Marlinspike schlägt vor, dass man sich durch die Beschädigung der Cellebrite-Hardware unauffindbar in die Daten einmischen und einen Schatten auf die forensischen Berichte des Unternehmens werfen könnte.

Das war schon die kurze Version, aber die noch kürzere Version ist, dass Signal herausfand, wie man mit einem der am häufigsten verwendeten Telefon-Cracking-Unternehmen durcheinander kommt – und nicht so subtil vorschlug, dass es dies tatsächlich tun könnte. Lustige Zeiten!

Der App Store ist ein Hafen für Betrügereien
Die Sicherheit von Apples iOS App Store stand in den letzten Monaten im Mittelpunkt, da der Videospielentwickler Epic das Geschäftsmodell des Unternehmens in Umregie bringt und der Kongress weiterhin alle kartellrechtlichen Auswirkungen untersucht. Eine Sache, die es nachweislich nicht so gut kann? Identifizieren und Stoppen offensichtlicher Betrügereien. Ein Entwickler namens Kosta Eleftheriou hat es sich zur Arbeit genommen, mehrere Millionen-Dollar-Programme in den letzten Monaten zu kennzeichnen. The Verge hat selbst geschnüffelt und festgestellt, dass das Aufdecken von Betrügereien so einfach war wie ein Bildlauf durch die top-grossing-Apps des App Stores. Die Abzocke versteckt sich in Sichtweite.

LinkedIn ist ein Favorit für Social-Engineering-Spione geworden
Es ist gesund, LinkedIn Anfragen mit Argwohn im Allgemeinen zu behandeln, nur auf persönlicher Ebene. Aber MI5 warnte diese Woche, dass britische Staatsangehörige auch auf der Hut vor ausländischen Spione sein sollten, die sich als freundschaftliche Verbindungen ausgeben. Sie schlagen 10.000 Fälle in den letzten Jahren vor, in denen gefälschte Profile Menschen in Regierungs- und sensiblen Branchen angesprochen haben, indem sie Social-Engineering-Techniken einnutzten, um sie für privilegierte Informationen zu pumpen. Die Aktivität ist auch nicht auf das Vereinigte Königreich beschränkt; die USA, Kanada, Australien und Neuseeland haben alle eine Version dieses Anstiegs erlebt. Erweitern Sie Ihr Netzwerk, sicher, aber mit der gebotenen Vorsicht.

Ein neues Gesetz würde einige der schlimmsten Strafverfolgungsüberwachungs-Missbrauch eimten
Das Ausmaß, in dem Gesichtserkennungstechnologie wie Clearview AIs und Standortdaten, die von Apps auf Ihrem Smartphone abgeschwommen werden, die Strafverfolgungsbemühungen in den letzten Jahren angeheizt haben, ist außer Kontrolle geraten. Ein neuer Gesetzentwurf mit breiter parteiübergreifender Unterstützung, der diese Woche vorgestellt wurde, will das beheben. Der vierte Zusatzartikel ist nicht zum Verkauf Gesetz würde beide betreffen, erfordern eine gerichtliche Anordnung, um Standortdaten von Maklern zu erhalten und agenturen von Verträgen mit Unternehmen, die ihre Daten illegal erhalten. (Clearview AI hat beispielsweise seine Image-Datenbank aufgebaut, indem Social-Media-Unternehmen abgekratzt wurden, eine klare Verletzung der Nutzungsbedingungen.) Und ja, der überraschendste Teil könnte sein, dass diese Praktiken nicht nur derzeit legal, sondern auch alltäglich sind.

https://www.wired.com/story/signal-cellebrite-hack-app-store-scams-security-news/?bxid=607f045c756d0b1163480d90&cndid=64727075&esrc=growl2-regGate-0321&mbid=mbid%3DCRMWIR012019%0A%0A&source=EDT_WIR_NEWSLETTER_0_DAILY_ZZ&utm_brand=wired&utm_campaign=aud-dev&utm_mailing=WIR_Daily_042521&utm_medium=email&utm_source=nl&utm_term=list1_p4
er-hackt-spionagetools-von-fbi-zulieferer-cellebrite