Sicherheit

Es ist ein physischer Zugang zu einem Windows-Computer erforderlich. Der Forscher stellt eine feste Verbindung mit TPM-Modul eines PCs her und liest den Bitlocker-Schlüssel aus. Eine Pre-Boot-Authentifizierung schützt vor dem Angriff. weiter

Die Hintermänner nutzen ein legitimes Werbe-SDK zum Einschleusen von Schadcode. Die Entwickler der fraglichen Apps wissen nicht, dass das Werbe-SDK ihre Anwendungen zu Adware macht. Davon betroffen sind 210 im Google Play Store angebotene Apps. weiter

Darunter ist die von Google öffentlich gemachte Schwachstelle. Sie betrifft nur Windows 7 und Server 2008. Die zweite Zero-Day-Lücke bedroht auch Nutzer von Windows 10 und Server 2019. Insgesamt bringt der Patchday Fixes für 64 Anfälligkeiten. weiter

Zu den Betroffenen zählt auch Apple. Forscher entwickeln ein Tool, das Vanity-URLs zu Box-Freigaben aufspürt. Auf diese Art finden sie Finanzunterlagen, Passfotos, Mitarbeiterlisten, Gesprächsprotokolle und sogar Details zu technischen Prototypen. weiter

Die Erpressersoftware ist seit rund zwei Monaten im Umlauf. Sie versieht die Dateien ihrer Opfer mit einer 128-Bit-AES-Verschlüsselung. Avast und Emisoft knacken das individuelle Passwort durch den Vergleich einer verschlüsselten Datei mit ihrem unverschlüsselten Original. weiter

Die ungesicherte MongoDB-Datenbank gehört dem Unternehmen Verifications.io. Sie enthält mehr als 800 Millionen eindeutige E-Mail-Adressen. Zu den E-Mail-Adressen liegen zum Teil auch Telefonnummern, IP-Adressen und Postleitzahlen vor. weiter

Forscher geben ein Registrierungssystem für Nutzer eines Sozialen Netzwerks in Auftrag. 18 von 43 freiberuflichen Entwicklern speichern die Kennwörter dabei im Klartext. Insgesamt setzen nur 17 auf als sicher geltende Verschlüsselungsverfahren. weiter

Die Täter erbeuten nicht näher genannte geschäftliche Dokumente. Laut Citrix gibt es keine Beweise für unerlaubte Zugriffe auf Software oder andere Produkte. Die Ermittlungen dauern noch an. Einem Medienbericht zufolge stecken iranische Hacker hinter dem Angriff. weiter

Die nur für den internen Einsatz durch Apple-Entwickler gedachten "Dev-Fused-iPhones" sind nicht gegen externe Zugriffe abgeschottet. Auch bekannte Hersteller von Hackingtools erwerben sie auf einem grauen Markt. weiter

Die meisten Vorfälle ereignen sich in Nordamerika und Asien. Auf die USA und China entfallen alleine 47 Prozent aller Datenverluste. Auch der Handel mit gestohlenen Daten steigt 2018 sprunghaft an. weiter

Laut Kaspersky Lab sorgten 2018 wenige Banking-Malware-Familien für den Großteil der Angriffe. Gegenüber 2017 nahmen Angriffe mit Banking-Trojanern weiter zu. 24 Prozent von ihnen zielten auf geschäftliche Nutzer. weiter

Der Use-after-Free-Bug in Chromes FileReader-API kann die Ausführung von bösartigem Code erlauben. Die als kritisch eingestufte Schwachstelle wurde bereits für Attacken genutzt. Der Chrome-Sicherheitschef rät dringend zum sofortigen Update. weiter

Der Geheimdienst setzt eine Ankündigung von Januar um. Bei Sicherheitsexperten stößt das Tool auf positive Resonanz. Die NSA versieht es mit Modulen für zahlreiche Prozessorarchitekturen und einer umfangreichen Dokumentation. weiter

Bislang galt nur die Empfehlung, das neue Anmeldeverfahren zu nutzen. WebAuthn findet bereits Unterstützung durch Webbrowser und Betriebssysteme. Zur Authentifizierung können Hardware-Security-Keys, Mobilgeräte und biometrische Verfahren dienen. weiter

Googles Project Zero hat eine Zero-Day-Schwachstelle in macOS veröffentlicht. Zuvor hat es eine Frist von 90 Tagen verstreichen lassen, die Apple jedoch nicht zur Beseitigung des Problems genutzt hat. weiter

Durch den von Google bereitgestellten Retpoline-Code soll der Leistungsverlust durch die Spectre-Patches minimiert werden. Einen vollständigen Schutz vor Spectre-Angriffen bietet aber auch Retpoline nicht. weiter