Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Sicherheit
24.04.2021 09:00 Uhr
Sicherheitsmeldungen in dieser Woche:
Signal-Gründer hackte ein berüchtigtes Telefon-Cracking-Gerät
Plus: App Store-Betrug, ein
Anti-Überwachungs-Gesetz und weitere der wichtigsten
Sicherheitsnachrichten der Woche.
Signal's Founder Hacked a Notorious
PhoneCracking Device
Foto: Issei Kato/REUTERS/Alamy
Diese Woche hat Apple Frühjahr
Produkt-Launch-Event wurde durch einen Ransomware-Angriff gegen einen
seiner Lieferanten, Quanta Computer getrübt. Der Vorfall ist
bemerkenswert, weil er Apple betrifft – und die Veröffentlichung
vertraulicher Schaltpläne –, aber auch, weil er einen Schnittpunkt
mehrerer störender Trends inder digitalen Erpressung darstellt.
In anderen Apple-benachbarten Hacking-News
fanden Facebook-Forscher heraus, dass eine Palästina-verknüpfte Gruppe
benutzerdefinierte Malware entwickelt hatte, um iOS
anzugreifen,versteckt in einer funktionalen Messaging-App. Opfer mussten
einen Drittanbieter-App-Store besuchen, um die bösartige Software zu
installieren, aber die Hacker nutzten Social-Engineering-Techniken, um
sie dazu zu betrügen. Und wenn man von Facebook spricht, ist der
Social-Media-Riese in eine weitere Datenbelichtung verwickelt, diesmal
die E-Mail-Adressen von Millionen von Nutzern, die diese Informationen
in ihren Einstellungen als "privat" festgelegt hatten. Dies kommt auf
den Fersen eines Fehlers, der das Abkratzen von 500 Millionen
Facebook-Nutzer-Telefonnummern erlaubte, die Anfang dieses Monats ans
Licht kamen.
Wir haben uns auch einen seither behobenen
Bug im Clubhouse angeschaut, der es den Leuten ermöglicht hätte,
unsichtbar in Räumen wie Geistern zu verweilen und sogar einen Schläger
zu verursachen, wobei der Moderator nicht in der Lage war, sie zu stumm
zu machen oder sie hinauszuwerfen.
Und es gibt noch mehr! Jede Woche runden wir
alle Nachrichten, die WIRED nicht ausführlich behandelt hat, ab. Klicken
Sie auf die Überschriften, um die vollständigen Geschichten zu lesen.
Und bleiben Sie sicher da draußen.
Signalgründer Moxie Marlinspike geht nach
Cellebrites Telefon-Cracking-Maschinen
Im Dezember behauptete das
Forensik-Unternehmen Cellebrite, das Behörden hilft, in iPhones und
Android-Geräte einzubrechen und daten zu extrahieren,dass es auf
Signal-App-Daten zugreifen könnte. Das war ein bisschen Fehlleitung; es
hatte nicht die berühmte robuste Verschlüsselung von Signal untergraben,
sondern die Unterstützung für Dateitypen hinzugefügt, die Signal seinem
Physical Analyzer-Tool verwendet. Die Unterscheidung ist ziemlich
wichtig. Cellebrite könnte im Grunde auf Signalnachrichten zugreifen,
sobald es bereits Ihr Telefon in der Hand hatte und entsperrt, was ein
Risiko mit jeder verschlüsselten Messaging-App sein wird.
Schnell vorwärts in dieser Woche, als
Signal-Gründer Moxie Marlinspike einen Blog-Beitrag veröffentlichte, der
seine scheinbar erfolgreichen Bemühungen beschreibt, das
Telefon-Cracking-Gerät eines Cellebrites zu hacken. Was er fand: viele
Schwachstellen, in dem Maße, dass eine App einen Cellebrite-Computer
gefährden könnte, indem sie einfach eine speziell formatierte Datei auf
einem gescannten Telefon einfügt. Marlinspike schlägt vor, dass man sich
durch die Beschädigung der Cellebrite-Hardware unauffindbar in die Daten
einmischen und einen Schatten auf die forensischen Berichte des
Unternehmens werfen könnte.
Das war schon die kurze Version, aber die
noch kürzere Version ist, dass Signal herausfand, wie man mit einem der
am häufigsten verwendeten Telefon-Cracking-Unternehmen durcheinander
kommt – und nicht so subtil vorschlug, dass es dies tatsächlich tun
könnte. Lustige Zeiten!
Der App Store ist ein Hafen für Betrügereien
Die Sicherheit von Apples iOS App Store stand
in den letzten Monaten im Mittelpunkt, da der Videospielentwickler Epic
das Geschäftsmodell des Unternehmens in Umregie bringt und der Kongress
weiterhin alle kartellrechtlichen Auswirkungen untersucht. Eine Sache,
die es nachweislich nicht so gut kann? Identifizieren und Stoppen
offensichtlicher Betrügereien. Ein Entwickler namens Kosta Eleftheriou
hat es sich zur Arbeit genommen, mehrere Millionen-Dollar-Programme in
den letzten Monaten zu kennzeichnen. The Verge hat selbst geschnüffelt
und festgestellt, dass das Aufdecken von Betrügereien so einfach war wie
ein Bildlauf durch die top-grossing-Apps des App Stores. Die Abzocke
versteckt sich in Sichtweite.
LinkedIn ist ein Favorit für
Social-Engineering-Spione geworden
Es ist gesund, LinkedIn Anfragen mit Argwohn
im Allgemeinen zu behandeln, nur auf persönlicher Ebene. Aber MI5 warnte
diese Woche, dass britische Staatsangehörige auch auf der Hut vor
ausländischen Spione sein sollten, die sich als freundschaftliche
Verbindungen ausgeben. Sie schlagen 10.000 Fälle in den letzten Jahren
vor, in denen gefälschte Profile Menschen in Regierungs- und sensiblen
Branchen angesprochen haben, indem sie Social-Engineering-Techniken
einnutzten, um sie für privilegierte Informationen zu pumpen. Die
Aktivität ist auch nicht auf das Vereinigte Königreich beschränkt; die
USA, Kanada, Australien und Neuseeland haben alle eine Version dieses
Anstiegs erlebt. Erweitern Sie Ihr Netzwerk, sicher, aber mit der
gebotenen Vorsicht.
Ein neues Gesetz würde einige der schlimmsten
Strafverfolgungsüberwachungs-Missbrauch eimten
Das Ausmaß, in dem
Gesichtserkennungstechnologie wie Clearview AIs und Standortdaten, die
von Apps auf Ihrem Smartphone abgeschwommen werden, die
Strafverfolgungsbemühungen in den letzten Jahren angeheizt haben, ist
außer Kontrolle geraten. Ein neuer Gesetzentwurf mit breiter
parteiübergreifender Unterstützung, der diese Woche vorgestellt wurde,
will das beheben. Der vierte Zusatzartikel ist nicht zum Verkauf Gesetz
würde beide betreffen, erfordern eine gerichtliche Anordnung, um
Standortdaten von Maklern zu erhalten und agenturen von Verträgen mit
Unternehmen, die ihre Daten illegal erhalten. (Clearview AI hat
beispielsweise seine Image-Datenbank aufgebaut, indem
Social-Media-Unternehmen abgekratzt wurden, eine klare Verletzung der
Nutzungsbedingungen.) Und ja, der überraschendste Teil könnte sein, dass
diese Praktiken nicht nur derzeit legal, sondern auch alltäglich sind.
https://www.wired.com/story/signal-cellebrite-hack-app-store-scams-security-news/?bxid=607f045c756d0b1163480d90&cndid=64727075&esrc=growl2-regGate-0321&mbid=mbid%3DCRMWIR012019%0A%0A&source=EDT_WIR_NEWSLETTER_0_DAILY_ZZ&utm_brand=wired&utm_campaign=aud-dev&utm_mailing=WIR_Daily_042521&utm_medium=email&utm_source=nl&utm_term=list1_p4
er-hackt-spionagetools-von-fbi-zulieferer-cellebrite