Tor Project startet Sicherheitslücken-Prämienprogramm

Anfänglich steht es Forschern nur auf Einladung zur Verfügung. Finanzielle Unterstützung erhält das Tor Project vom Open Technology Fund. Der Exploit-Broker Zerodium zahlt derzeit bis zu 30.000 Dollar für Lücken im Tor-Netzwerk. weiter

CES 2016: Samsung macht Smart-TVs kompatibel zum Internet der Dinge

Dazu verwendet es die 2014 für 200 Millionen Dollar zugekaufte Plattform SmartThings. So lassen sich per TV etwa Heizung und Licht regeln. Für die Absicherung hat Samsung ein System namens Gaia mit geschütztem Bereich innerhalb des Betriebssystems Tizen geschaffen. weiter

AVG macht Chrome unsicher

Tavis Ormandy von Google Project Zero entdeckt Schwachstellen in der Chrome-Erweiterung Web TuneUp, die von AVG ungefragt mit seiner Antiviren-Lösung installiert wurde. Der Sicherheitsforscher sieht durch fehlerhaften Code und JavaScript-APIs die Sicherheit der Nutzer ausgehebelt. Die Erweiterung ist inzwischen in einer fehlerbereinigten Version erhältlich. weiter

32C3: PushTAN-App der Sparkasse erneut ausgehebelt

Sie enthält nach erster Kritik im Oktober eine Root-Erkennung und sucht nach installierten Frameworks wie Xposed. Beides lässt sich aber durch Umbenennungen umgehen. Das Hauptproblem ist laut Vincent Haupert die Zusammenführung zweier Faktoren auf einem Smartphone. weiter

Sicherheitslücken: Updates für Flash und AIR verfügbar

Der Notefall-Patch soll insgesamt 19 Schwachstellen in Flash Player und Adobe AIR beseitigen, darunter eine Zero-Day-Lücke. Ein Exploit ist bereits in Umlauf und wird "in begrenzten, gezielten Attacken" eingesetzt. Durch einen Integer-Überlauf ist Angreifern die Ausführung beliebigen Codes möglich. weiter

Daten von 191 Millionen US-Wählern exponiert

Sie reichen bis 2000 zurück. Das Abstimmungsverhalten wird nicht aufgezeichnet, wohl aber die Teilnahme an Vorwahlen der Parteien. Bisher ist unbekannt, wem der Server und die Datenbank überhaupt gehören. weiter

Panne: Steam-Daten waren für Fremde einsehbar

Etwa eine Stunde lang bekamen manche Anwender Kontodaten von Fremden zu sehen. Steam-Betreiber Valve zufolge handelte es sich um ein Cache-Problem nach einer Konfigurationsänderung. Anwender müssen ihm zufolge keine Maßnahmen ergreifen. weiter

Dokumente von 2011 belegen NSA-Kenntnis von Juniper-Hintertür

Dass der US-Geheimdienst den Code selbst einschleuste, lässt sich mit dem Schriftstück aus dem Fundus von Edward Snowden nicht belegen. Die NSA informierte den US-Anbieter von Netzwerklösungen aber auch nicht. Vielmehr beschreibt er Junipers Sicherheitsbemühungen als "Gefahr für die Signalaufklärung." weiter

Yahoo warnt Nutzer vor mutmaßlich staatlichen Angriffen

Es folgt damit dem Vorbild von Google, Facebook und Twitter. Zu den vorgeschlagenen Maßnahmen gehört eine Überprüfung der Weiterleitungsoptionen. Über die Erkennungsmethodik verrät Yahoo nichts, gibt aber nur Meldungen heraus, wenn es sich "ziemlich sicher" ist. weiter

Kein Passwort mehr nötig: Google testet Anmeldung mit Smartphone

Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich. weiter

Microsoft geht gegen Man-in-the-Middle-Adware vor

Werbung muss sich ab 31. März an die vom Browser vorgesehenen Mechanismen halten. Dadurch bleibt die Kontrolle beim Anwender. Auch hofft Microsoft, so die Möglichkeiten von Malvertising über automatisierte Anzeigennetze einschränken zu können. weiter

Google Chrome blockiert ab Januar neue SHA-1-Zertifikate

Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate - spätestens zum 1. Januar 2017 - erwägt Google auf den 1. Juli 2016 vorzuverlegen. weiter

Authentifizierungslücke in Linux-Bootloader entdeckt

Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig. weiter

Tobii-Eyetracker unterstützen Log-in mit Windows Hello

Dies gilt sowohl für die Notebook-Nachrüst-Lösung EyeX wie auch das für Integratoren gedachte Modul IS4. Sie erkennen das Gesicht des Anwenders und erlauben zusätzlich Maussteuerung mit den Augen. Auch kann sich der Bildschirm automatisch abdunkeln, sobald der Nutzer wegsieht. weiter

21-jähriger Brite wegen Hackerangriff auf VTech verhaftet

Er soll sich unerlaubt Zugang zu Computern, Programmen und Daten verschafft haben. Die Ermittler beschlagnahmen auch mehrere elektronische Geräte des Mannes. VTech steht nach eigenen Angaben mit den Strafverfolgungsbehörden in Kontakt. weiter

MacKeeper verliert persönliche Daten von 13 Millionen Nutzern

Ein Sicherheitsforscher fand einen öffentlichen Zugang zur Datenbank des Herausgebers Kromtech. Das Kölner Unternehmen stopfte das Datenleck nach eigenen Angaben innerhalb weniger Stunden. Es schließt einen Missbrauch der Daten aus. weiter

Facebook: Auslaufen von SHA-1-Zertifikaten gefährdet Millionen

Zusammen mit CloudFlare macht es sich für Legacy-Validation-Zertifikate stark. Sie sollen verschlüsselte Kommunikation mit veralteten Feature Phones und Betriebssystemen ermöglichen. Ab 1. Januar 2016 läuft Unterstützung von SHA-1-Zertifikaten zugunsten von SHA-256 offiziell aus. weiter

Anonymous nimmt Website von Donald Trump vom Netz

Eine Stunde lang war die Online-Präsentation seiner Wahlkampfkampagne am Freitag offline. Anonymous wandte sich damit laut einer Videobotschaft gegen Trumps Idee, Muslimen die Einreise zu verweigern. Gegen diese intolerante Position sprachen sich auch Eric Schmidt, Mark Zuckerberg und Sundar Pichai aus. weiter

Lenovo schließt Zero-Day-Lücken im Lenovo Solution Center

Zwei Schwachstellen ermöglichen das Ausführen von Schadsoftware mit Systemrechten. Sie stecken im Hintergrunddienst des Lenovo Solution Center. Außerdem sind die Versionen 2.8.005 sowie 3.2.0001 und früher auch anfällig für Cross-Site Request-Forgery. weiter

Twitter warnt Nutzer vor möglichem staatlichen Hackerangriff

Offenbar sind mindestens elf Twitter-Mitglieder betroffen. Darunter ist auch die deutsche Internetaktivistin Anne Roth. Twitter zufolge hatten es die Angreifer offenbar auf E-Mail-Adressen, IP-Adressen und Telefonnummern abgesehen. weiter

Microsoft warnt vor „versehentlich offengelegtem“ Xbox-Live-Zertifikat

Mit dem Private Key könnten Kriminelle sich als die Domain xboxlive.com ausgeben und etwa Zugangs- oder Zahlungsdaten stehlen. Das scheint Microsoft zufolge nicht der Fall. Es hat dem Zertifikat das Vertrauen entzogen. Sicherheitsforscher sind jedoch irritiert, wie es zu dem Vorfall kommen konnte. weiter

Adobe stopft 77 Löcher in Flash Player

Sie stecken auch in den Plug-ins, die Microsoft und Google in ihre Browser integrieren. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. Darüber hinaus sind Air für Windows, OS X und Android sowie Air SDK und Compiler anfällig. weiter