lost+found: Was von der Woche übrig blieb
Heute unter anderem mit: Einem gehackten Smart-Plug von D-Link, Android-Sandboxes, SSL Stripping bei LinkedIn, miTLS, einem erpressten Pizzadienst und einige interessante Antworten der End-to-End-Entwickler bei Google.
Noch nicht in Deutschland erhältlich – doch schon gehackt: der D-Link DSP-W215 Smart Plug. Ganz interessante Beschreibung eines Pufferüberlaufs, über den man dann ganz einfach beliebige Systembefehle ausführen kann.
Ein ganz nützlicher Überblick zu Android-Sandboxes: einmal als Präsentation oder als Paper.
Zimperium warnt, dass LinkedIn für Man-in-the-Middle-Attacken durch SSL Stripping anfällig ist. Wer die Startseite über eine unverschlüsselte Verbindung ansurft, riskiert, dass das 's' für die verschlüsselte https-Login-Seite nicht bei ihm ankommt, weil es von einem Man-in-the-Middle gefiltert wurde. Dann geht bei der Anmeldung das Passwort im Klartext über die Leitung. Wie übrigens die Entdecker von Zimperium, setzt LinkedIn kein HSTS ein, das das verhindern könnte.
(Bild: D-Link)
Übrigens: der D-Link DSP-W215 Smart Plug wurde nochmal gehackt.
Der Mobile Threat Report von F-Secure für das erste Quartal 2014 birgt keine Überraschungen: 275 neue Schädlings-Familien für Android, 1 für iOS (mit Jailbreak) und 1 Symbian-Trojaner. Knapp 90 Prozent der Android-Trojaner sind "Profit-orientiert" – verschicken also zum Beispiel heimlich SMS-Nachrichten an Premium-Dienste.
Nach Heartbleed sehnt sich so mancher nach einer OpenSSL-Alternative, die vertrauenswürdiger entwickelt wird. Das in F# geschriebene miTLS ist wenigstens einen Blick wert. Wie die Sprache schon vermuten lässt, wird das Projekt hauptsächlich von Microsoft nahestehenden Entwicklern vorangetrieben.
D-Links intelligente Steckdose hat noch ein Sicherheitsproblem.
Pizzalieferant Domino's wird von der Hackergruppe Rex Mundi erpresst. Die Hacker haben angeblich persönliche Daten von 650.000 Kunden des französischen Ablegers der Firma kopiert. Dominos hat sich geweigert zu bezahlen und die Hacker drohen damit, die Daten zu veröffentlichen.
Yo – die Messaging-App mit der man nur ein einziges Wort verschicken kann – hat klare Schwachstellen. Unter anderem kann man wohl die Telefonnummer eines beliebigen Nutzers auslesen.
Die Macher der End-to-End-Erweiterung für Chrome haben sich auf Reddit den Fragen der Community gestellt. Unter anderem beantworten sie, ob das Team lieber Pilsener oder Stout trinkt.
Und bevor wir's vergessen: Der DSP-W215 wurde gehackt – ja: wirklich nochmal, nochmal, nochmal! Aber am 30. Juni soll es von D-Link neue Firmware geben, die die Lücken schließt. (ju)
