lost+found: Was von der Woche übrig blieb

Heute unter anderem mit den Krypto-Tools Cryptocat und MiniLock, dem BillGates-Botnetz, Googles "Security Princess" in der Elle, Details zur towelroot-Lücke, Schnüffeln mit der Content-Security-Policy und Reverse-Engineering von Android-Apps.

In Pocket speichern vorlesen Druckansicht 5 Kommentare lesen
Lesezeit: 2 Min.

Nach eigenen Angaben wird der Krypto-Messenger Cryptocat von Tibet bis zum Libanon von Menschen verwendet, die sicher kommunizieren wollen. Auch Edward Snowden soll die App benutzt haben. In der Vergangenheit hatte das Programm allerdings unter einer schwerwiegenden Lücke zu leiden. Jetzt wollen die Entwickler eine Android-App auf die Beine stellen und die iOS-Version verbessern. Dafür sammeln sie auf Kickstarter 45.000 US-Dollar.

Wo wir gerade von Cryptocat reden: Dessen Chefentwickler Nadim Kobeissi arbeitet laut Wired gerade an einem Chrome-Plug-in namens MiniLock, das asymmetrische Verschlüsselung von Nachrichten ohne Schlüsselverwaltung umsetzen soll. Die privaten Schlüssel werden nur temporär generiert und die Nachrichten mit einem Passwort geschützt.

Unter Linux gibt es ein DDoS-Botnetz mit dem passenden Namen BillGates. Damit lassen sich unter anderem DNS-Verstärkungsangriffe fahren. Kaspersky hat die einzelnen Module des Trojaners analysiert.

Wer immer noch glaubt, Hacker seien picklige Jungs und Frauen könnten mit Security nichts anfangen, dem sei der Artikel Meet Google's Security Princess beim Mode- und Lifestyle-Magazin Elle ans Herz gelegt. Die dort vorgestellte Parisa Tabriz ist eine von Googles Top-Security-Leuten; dass Elle derart positiv über Security berichtet, ist sicher einer ihrer genialeren Hacks – *Kudos*.

Mit towelroot hat geohot eine schöne Möglichkeit geschaffen, aktuelle Android-Geräte im Handumdrehen zu rooten. Bei Tinyhack.com findet man jetzt eine ausführliche Analyse der dafür genutzten Schwachstelle.

Die Content-Security-Policy schützt Websites vor Cross-Site-Scripting. Kreativ eingesetzt lässt sie sich aber auch missbrauchen, um herauszufinden, ob ein Besucher bei einem bestimmten Dienst (etwa Google oder Facebook) eingeloggt ist.

Wer Android-Apps auf die Schliche kommen will, kann es mit dem funktionsreichen Reverse-Engineering-Tool Androguard versuchen. (ju)