"Passwort" Folge 35: News von Kopfhörer-Lauschangriff bis verschlüsselten DMs
Stammhörer des Security-Podcasts müssen stark sein: Diesmal ist PKI kein Thema. Dafür aber Bluetooth-Lücken, verschlüsselte DMs und das Disclosure-Ökosystem.
Zäsur im Security-Podcast! Eine Folge (fast) ohne PKI – was ist da los? Kein Grund zur Besorgnis: Andere Themen fanden die Hosts dieses Mal einfach spannender. Denn vom berüchtigten Sommerloch ist im Feld der IT-Sicherheit nichts zu spüren.
In der aktuellen Folge beschäftigen sich Sylvester und Christopher zunächst mit einem angeblichen Leak vieler Milliarden Zugangsdaten. Das entpuppte sich bei genauerem Hinsehen weitestgehend als Luftnummer, der dennoch viele Medien und besorgte Nutzer auf den Leim gingen. Das erklärt auch die Rekord-Zugriffszahlen bei der Leak-Plattform "Have I been pwned?" rund um das "Mega-Datenleck".
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
Verschlüsselte Twitter-DM in der Kritik
Apropos Luftnummer: Den neuen verschlüsselten Direktnachrichten (DMs) auf X kann Sylvester nur wenig abgewinnen. Seine ernüchterte Analyse: "Bei Elon Musks vollmundiger Ankündigung stimmen nur die ersten drei Worte." Auch prominente Verschlüsselungsexperten üben Kritik an der Implementierung.
Ein großes Thema in der aktuellen Folge sind Praktiken rund um das Melden, Katalogisieren und die Bearbeitung von Sicherheitslücken in Soft- und Hardware. Die Volten rund um einen Bug im Linux-Kernel und dessen Sicherheitsrelevanz gehören genauso dazu wie eine bemerkenswerte Veränderung bei libxml2, einer viel genutzten XML-Bibliothek.
Eine schwere Lücke in Millionen Bluetooth-Kopfhörern rundet die Folge ab. Auch hier war der Meldeweg länger und verschlungener, als er sein sollte, denn der Hersteller der verwundbaren Chips reagierte arg verzögert auf eine detaillierte Fehlermeldung der deutschen Sicherheitsforscher. Und auch die Update-Situation ist ausbaufähig, konstatiert Podcast-Cohost Christopher.
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(cku)
