Sicherheit

N26 hat(te) viel Nachholbedarf bezüglich Sicherheit

Unternehmen, die die angestaubte Bankenbrache revolutionieren wollen, sind stark im kommen und bekannt unter dem Buzzword „FinTech„. Deutschlands aufstrebendes FinTech N26 hat einige Fehler in ihrer Mobile Banking-App gehabt, die für kritische Sicherheitslücken gesorgt haben. Vincent Haupert hat auf dem 33C3 seine bei N26 entdeckten Sicherheitslücken im Detail vorgestellt. Was dem deutschen FinTech zu Gute gehalten werden muss: Sie haben professionell reagiert, anscheinend alle von ihm entdeckten Sicherheitslücken gestopft und Vincent zu sich eingeladen, der die Entwickler dann in Workshops geschult hat. Der Vortrag ist auf englisch. Eine deutsche Simultanübersetzung findet Ihr hier.

By | 2017-01-14T18:59:49+00:00 14. Januar 2017|33C3, Sicherheit|2 Comments

Apple Appstore: Viele Apps mit XCodeGhost-Malware infiziert

Apps für iOS gelten als sicher: Ohne Jailbreak lassen sich keine Apps aus anderen Quellen wie dem Apple AppStore installieren. Um Apps im AppStore veröffentlichen zu können, müssen Entwickler eine jährliche Mitgliedschaft für 99 US-Dollar abschließen. Warum? Jeder App wird beim Einreichen von einem Apple Mitarbeiter auf Schadcode und Einhalten der AppStore-Richtlinien geprüft. Jetzt wurde aber bekannt, dass mehrere hunderte Apps in Apples AppStore mit der Malware XCodeGhost infiziert waren.

By | 2015-09-21T14:34:57+00:00 21. September 2015|Sicherheit|2 Comments

GMX, Web.de und 1&1 integrieren Mailverschlüsselung

Wer der NSA-Ausspähaffäre nur ein wenig gefolgt ist, dürfte klar sein, dass unsere Internetkommunikation an vielen Stellen überwacht wird und unsere E-Mails die Sicherheitsstufe einer Postkarte im realen Leben haben. Auf dem Weg vom Sender bis zum Empfänger kann also jeder ungehindert in die Mail hineinschauen, es sei denn man benutzt eine kryptographische Verschlüsselung.

Verschlüsselung ist nichts neues und PGP-Mailverschlüsselung existiert schon seit über 24 Jahren. Bisher haben aber nur Technikaffine verschlüsselt und viele von den Technikinteressierten auch aus Bequemlichkeit nicht. Aus diesem Grund ist United Internet, zu denen GMX, Web.de und 1&1 gehören, nun eine Kooperation mit dem deutschen Anbieter Mailvelope eingegangen, um ihren Nutzern Verschlüsselung so einfach wie möglich zu machen.

By | 2015-08-22T15:14:10+00:00 22. August 2015|Internet, Sicherheit|4 Comments

Certifi-Gate macht Android-Geräte fernsteuerbar

In Las Vegas fand die letzten Tage die Sicherheitskonferenz Black Hat statt, bei der Experten Ihre Entdeckungen von Sicherheitslücken vorstellen. Entgegen des Titels verfolgt die Konferenz natürlich den White Hat-Ansatz und Hersteller werden im Vorfeld über die Sicherheitslecks informiert, um entsprechend noch vor der Bekanntgebung reagieren zu können. So war es auch bei dem neuesten Schlag ins Gesicht für Android-Nutzer, dem Certifi-Gate.

Angreifer können über eine eigene App die Fernsteuerung des Android-Smartphones übernehmen, sofern eine der betroffenen Remote-Apps installiert sind. Blöd nur, dass Smartphones von LG und Samsung diese Remote-Apps standardmäßig und sogar als nicht entfernbare System-Apps installiert haben.

By | 2015-08-11T16:42:40+00:00 8. August 2015|Mobile, Sicherheit|1 Comment

Threema unterstützt Suche nach vermissten Kindern mit Amber Alerts

In den USA gibt es seit 1996 die sogenannten Amber Alerts, die für America’s Missing: Broadcast Emergency Response stehen. Kinder verschwinden aber auch in Deutschland und das nicht nur, weil sie einfach abhauen, sondern weil sich Kriminelle an unseren Schützlingen vergreifen. Sogar Facebook unterstützt die Koordination nach vermissten Kindern. Jetzt bietet auch der schweizer Instant Messenger Threema Amber Alerts an, für die sich die Nutzer anmelden können. Bekannt wurde Threema durch seine Verschlüsselung und der Verifikation seines Chat-Partners. Die Amber Alerts  werden in Kooperation mit der in Hamburg ansässigen Initiative Vermisste Kinder ausgerufen.

By | 2015-08-06T12:40:05+00:00 6. August 2015|Mobile, Sicherheit|1 Comment

Neue WordPress Version 4.2.4 schließt drei Arten von Sicherheitslücken

Das letzte Security und Maintenance Update von WordPress ist noch nicht einmal zwei Wochen her und schon gibt es eine Neue. Sie stopft Schwachstellen, die mit Hilfe von SQL Injection ausgenutzt werden können, um beispelsweise eine neuen Administrator-Konto anzulegen. Ebenso wurde eine weitere Lücke geschlossen die Cross-Site-Scripting (XSS) ermöglichte. Zu guter letzt werden mit dem Update eine potenzielle Lücke zur Ausnutzung eines Timing Side Chanels geschlossen. Dennoch gab es auch vier Bugfixes die es in das Sicherheits-Update geschafft haben. Kurzum: Ihr solltet Euren WordPress-Blog bald updaten.

By | 2015-08-05T00:17:21+00:00 5. August 2015|Sicherheit|1 Comment
Load More Posts