Newsfeed

32C3: PushTAN-App der Sparkasse erneut ausgehebelt

Sie enthält nach erster Kritik im Oktober eine Root-Erkennung und sucht nach installierten Frameworks wie Xposed. Beides lässt sich aber durch Umbenennungen umgehen. Das Hauptproblem ist laut Vincent Haupert die Zusammenführung zweier Faktoren auf einem Smartphone.
Source: IT-Security News

Adobe schließt mehrere Sicherheitslücken in Flash

Der Notefall-Patch soll insgesamt 19 Schwachstellen in Flash Player und Adobe AIR beseitigen, darunter eine Zero-Day-Lücke. Ein Exploit ist bereits in Umlauf und wird „in begrenzten, gezielten Attacken“ eingesetzt. Durch einen Integer-Überlauf ist Angreifern die Ausführung beliebigen Codes möglich.
Source: IT-Security News

Daten von 191 Millionen US-Wählern exponiert

Sie reichen bis 2000 zurück. Das Abstimmungsverhalten wird nicht aufgezeichnet, wohl aber die Teilnahme an Vorwahlen der Parteien. Bisher ist unbekannt, wem der Server und die Datenbank überhaupt gehören.
Source: IT-Security News

Panne: Steam-Daten waren für Fremde einsehbar

Etwa eine Stunde lang bekamen manche Anwender Kontodaten von Fremden zu sehen. Steam-Betreiber Valve zufolge handelte es sich um ein Cache-Problem nach einer Konfigurationsänderung. Anwender müssen ihm zufolge keine Maßnahmen ergreifen.
Source: IT-Security News

Hotelkette Hyatt entdeckt Malware auf Kassensystemen

Ihr gehören 627 Hotels in 52 Ländern- darunter fünf in Deutschland. Wo das Schadprogramm im Einsatz war, ist offen. Kunden werden gebeten, ihre Kreditkartenabrechnungen im Auge zu behalten und unberechtigte Buchungen zurückzuweisen.
Source: IT-Security News

Google testet Anmeldung mit Smartphone statt Passwort

Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich.
Source: IT-Security News

Kein Passwort mehr nötig: Google testet Anmeldung mit Smartphone

Der Internetkonzern will Passwörter entbehrlich machen für die Anmeldung bei seinen Diensten. Die Anwender müssen auf PC oder Tablet nur ihre E-Mail-Adresse eingeben und die Anmeldung mit einem Button-Klick auf ihrem Smartphone bestätigen. Das neue Verfahren ist mit Android-Smartphones sowie iPhones möglich.
Source: IT-Security News

Microsoft geht gegen Man-in-the-Middle-Adware vor

Werbung muss sich ab 31. März an die vom Browser vorgesehenen Mechanismen halten. Dadurch bleibt die Kontrolle beim Anwender. Auch hofft Microsoft, so die Möglichkeiten von Malvertising über automatisierte Anzeigennetze einschränken zu können.
Source: IT-Security News

Google Chrome blockiert ab Januar neue SHA-1-Zertifikate

Es lässt sich nicht von seinem Zeitplan abbringen: Nach seinen Recherchen sind mit Cloud-Ressourcen errechnete SHA-1-Collisions schon heute für kriminelle Organisationen erschwinglich. Das mit Microsoft und Mozilla abgestimmte endgültige Aus für SHA-1-Zertifikate – spätestens zum 1. Januar 2017 – erwägt Google auf den 1. Juli 2016 vorzuverlegen.
Source: IT-Security News

Authentifizierungslücke in Linux-Bootloader entdeckt

Um die Authentifizierung von GRUB2 zu umgehen, muss man nur 28-mal die Rücktaste drücken. Anschließend sind Booten etwa von einem USB-Stick oder ein Export der kompletten Festplatte möglich. Der Anwender benötigt physischen Zugriff aufs Gerät. Die meisten Linux-Distributionen sind angeblich anfällig.
Source: IT-Security News