Kameras werden aus Angst vor Spionage häufig abgeklebt. Gewisse Nutzerinteraktionen lassen sich aber auch über Umgebungslichtsensoren erfassen - mit Einschränkungen.

Die Hackerin Lilith Wittmann hat die blockierten Webseiten des Jugendschutzprogramms untersucht. Mit ihrem Skript lässt sich die Einstufung der eigenen Seite checken.
Von Friedhelm Greis

Die beiden Schwachstellen, über die der DoS-Angriff gelingt, sind eigentlich schon lange bekannt. Auch ein Exploit steht seit Monaten bereit.

An nur einem Tag hat die LG-Waschmaschine eines X-Nutzers 3,57 GByte hoch- und knapp 96 MBytes heruntergeladen. Die Ursache ist noch unklar.

Apple hat ein Update für die Magic Keyboards veröffentlicht, um eine kritische Bluetooth-Schwachstelle zu schließen, durch die Angreifer Tastatureingaben mitlesen können.

Gitlab hat Patches für mehrere Sicherheitslücken bereitgestellt. Eine davon erreicht mit einem CVSS von 10 den maximal möglichen Schweregrad.

Die Daten zahlreicher Halara-Kunden sind in einem Hackerforum aufgetaucht. Abgeflossen sein sollen sie über eine Schwachstelle in der Webseiten-API.

Ein vernetzter Winkelschrauber von Bosch Rexroth birgt wohl mehrere Schwachstellen, die es Angreifern ermöglichen, ganze Produktionslinien lahmzulegen.

In Ivanti Connect Secure und Policy Secure klaffen aktiv ausgenutzte Sicherheitslücken. Patches gibt es bisher nicht - nur einen Workaround.

KB5034441 soll eine Bitlocker-Schwachstelle schließen. Auf einigen Windows-10-Systemen bricht das Update jedoch mit einer Fehlermeldung ab.

Forensikern aus Peking ist es angeblich gelungen, Telefonnummern und E-Mail-Adressen von Airdrop-Absendern zu entschlüsseln.

Durch die Messung der für bestimmte Divisionsoperationen benötigten Rechenzeit lassen sich wohl geheime Kyber-Schlüssel rekonstruieren.

Infostealer missbrauchen diesen Endpunkt, um abgelaufene Sitzungscookies zu reaktivieren - für dauerhaften Zugriff auf fremde Google-Konten.

Selbst in Unternehmen werden Computer mit veralteten Windows-Versionen verwendet. Das kann im Schadenfall teuer werden.

Empfohlen ist die Mindestlänge von 12 Zeichen schon seit Jahren. Nun soll diese Grenze zur Sicherheit für alle Lastpass-Nutzer zur Pflicht werden.

Allein in Deutschland gibt es mehr als eine Million über das Internet erreichbare SSH-Server, die nicht gegen Terrapin gepatcht sind.

Durch eine Schwachstelle ist es unter bestimmten Bedingungen möglich, von Black Basta verschlüsselte Dateien kostenlos wiederherzustellen.

Durch eine Schwachstelle in einem OAuth-Endpunkt können sich Cyberkriminelle dauerhaft Zugriff auf das Google-Konto einer Zielperson verschaffen.

Rund um Weihnachten wurden im Darknet mehr als 50 Millionen neue Datensätze aus verschiedenen Quellen veröffentlicht. Der Zeitpunkt war kein Zufall.

Rund zwei Monate lang reagierte 3CX nicht auf eine im Dezember offengelegte Schwachstelle. Kritik daran wird aus dem 3CX-Forum entfernt.

37C3 Neben der Kartensperrung über die Bank gibt es noch einen weiteren Weg, um unerwünschte Abbuchungen zu verhindern. Doch der Dienst Kuno ließ sich auf recht einfache Weise hacken.
Ein Bericht von Friedhelm Greis

37C3 Durch einen Seitenkanalangriff haben Berliner Forscher den Sicherheitschip eines Tesla-Boards ausgetrickst. Das dürfte die Konkurrenz und digitale Forensiker interessieren.
Ein Bericht von Friedhelm Greis

37C3 Eigentlich sollen sensible Gesundheitsdaten über verschlüsselte E-Mails ausgetauscht werden. Doch Forscher fanden einen "GAU" in der Public-Key-Infrastruktur.
Ein Bericht von Friedhelm Greis

37C3 Eine Berliner Forschergruppe hat die Hardware von Teslas Fahrassistenzsystem geknackt und konnte danach wohl auch auf Firmengeheimnisse zugreifen.

Eigentlich sollte der Chatbot auf diese Anfrage gar nicht antworten. Tut er es dennoch, lauern womöglich noch viel brisantere Informationen.

Ein Käufer, der will, dass die Predator-Spyware einen Neustart überdauert, wird gesondert zur Kasse gebeten. Exploits erwirbt Intellexa von externen Anbietern.

Angreifer haben wohl einen Server des für seine Lego-ähnlichen Klemmbausteine bekannten Herstellers Bluebrixx infiltriert. Kunden sollten ihre Passwörter ändern.

Das FBI hat die Datenleckseite der Ransomwaregruppe ALPHV beschlagnahmt. Die Hacker haben jedoch auch noch Zugriff darauf. Sie drohen nun mit neuen Regeln.

Ein Angriff kann wohl zur Verwendung weniger sicherer Authentifizierungsalgorithmen führen. Betroffen sind viele gängige SSH-Implementierungen.

Zu den abgegriffenen Daten zählen wohl einige Ziffern von hinterlegten Zahlungsinformationen sowie Namen, Rufnummern, Anschriften und E-Mail-Adressen.

Zu den abgegriffenen Daten gehören wohl Kundennamen, Telefonnummern, E-Mail-Adressen und Systemprotokolle. Das genaue Ausmaß untersucht MongoDB noch.

Apple könnte dem Bluetooth-Exploit, der es Flipper-Zero-Geräten ermöglichte, iPhones und iPads in der Nähe zum Absturz zu bringen, in aller Stille ein Ende gesetzt haben.

Statt einen Patch bereitzustellen, fordert 3CX seine Kunden nun dazu auf, aus Sicherheitsgründen ihre SQL-Datenbank-Integrationen zu deaktivieren.

Der Besitzer einer Netatmo-Kamera hatte das Problem wohl schon Anfang Oktober gemeldet. Eine Erklärung hat der Hersteller erst zwei Monate später geliefert.

Teilweise erhielten Anwender sogar Benachrichtigungen auf ihre Smartphones, in denen Bilder der fremden Kameras enthalten waren.

Ein neues Datenleck bei der Tesla-Tochtergesellschaft in Deutschland erregt Aufsehen.

Nach einem Urteil des Europäischen Gerichtshofs müssen Unternehmen nachweisen, genug gegen Cyberangriffe getan zu haben.

Viele Entwickler meiden Upgrades verwendeter Drittanbieter-Bibliotheken. Anwendungen bleiben dadurch oft anfällig für bekannte Schwachstellen.

Die Toyota Financial Services war im November Ziel eines Cyberangriffs geworden. Erste betroffene Kunden haben inzwischen Post erhalten.

Forscher haben mehrere Schwachstellen in gängigen 5G-Modems offengelegt. Damit können Angreifer vielen Smartphone-Nutzern 5G-Verbindungen verwehren.

Das Dicom-Protokoll dient vor allem dem Austausch medizinischer Bilder. Viele Einrichtungen kümmern sich bei dessen Einsatz aber offenbar kaum um Sicherheitsaspekte.

Durch den Slam-Angriff lassen sich sensible Daten abgreifen. Forscher demonstrieren dies am Beispiel eines ausgelesenen Root-Passwort-Hashes.

Viele Android-Apps rendern Log-in-Seiten per Webview direkt in der App. Nutzen Passwortmanager dort die Autofill-Funktion, können Daten durchsickern.

Die Bluetooth-Implementierungen von MacOS, iOS, Android und Linux erlauben es Angreifern offenbar, unbemerkt bösartige Befehle auszuführen.

Auf das Webinterface von Hypercharger-Ladesäulen konnte man mit Zugangsdaten zugreifen, die in der Anleitung zu finden waren.
Eine Recherche von Hanno Böck

Allein in Europa basieren wohl noch über 10.000 Server auf einer veralteten Version von Microsoft Exchange, für die es keine Updates mehr gibt.