Sie täuschen ihre Opfer mit gefälschten E-Mails. Die angeblichen Sicherheitswarnungen sollen tatsächlich die Anmeldedaten für die E-Mail-Dienste abfangen. Mit Hilfe eines versteckten Bilds werden die Hacker über eine Interaktion mit ihren Phishing-E-Mails informiert. weiter
Neben Galaxy S9 und OnePlus 6 lassen sich auch Galaxy Note 8 und LG G7 ThinQ austricksen. Auch die als sicherer geltende langsame Gesichtserkennung ist kein Hindernis. Nur Apples Gesichtserkennung Face ID lässt sich mit dem 3D-Modell nicht täuschen. weiter
Betroffen ist die Bibliothek libssh. Sie akzeptiert eine Bestätigungsmeldung für ein Login, das nie stattgefunden hat. Angreifer können also ohne Kenntnis von Nutzername und Passwort auf libssh-basierte Server zugreifen. weiter
Den Ermittlern genügt ein Hausdurchsuchungsbefehl. Der Verdächtige kommt der Aufforderung des FBI offenbar nach. Ohne Kenntnis des Passworts erhalten die Ermittler jedoch nur einen eingeschränkten Zugang zu dem mobilen Gerät. weiter
Microsoft verspricht das Ende des Passwort-Zeitalters. Enterprise-Kunden sollen mit Authenticator auf Azure AD mit allen verbundenen Diensten und Anwendungen zugreifen. Auf der Ignite-Konferenz stellt Microsoft Sicherheitsfeatures für die Cloud vor. weiter
Der Schlüssel authentifiziert den Nutzer im Fall eines Passwortverlusts. Er ist nur einmal gültig und muss vor Verlust des Kennworts erstellt werden. Der Recovery Key funktioniert ähnlich wie ein Einmal-Passwort einer Zwei-Faktor-Authentifizierung. weiter
Sie authentifizieren Apps anhand des Namens des Installationspakets. Der lässt sich jedoch leicht fälschen. Forscher tricksen bei ihren Tests unter anderem LastPass und 1Password aus. weiter
Exploits erlaubten schon lange die Umgehung des Passwortschutzes aus der Ferne. Ein Sicherheitsforscher meldete die Lücke in der My-Cloud-Serie im April 2017. Der Hersteller reagiert erst jetzt auf aktuelle Veröffentlichungen. weiter
Microsoft ermöglicht es Google-Anwendern, mit anderen Benutzern über Azure Active Directory B2B zusammenzuarbeiten, ohne dass sie ein Microsoft-Konto benötigen. weiter
Das Plug-in überwacht browserseitig die sichere Ausführung von Webprotokollen. Besonderen Schutz bietet es beim Einloggen mit Social-Media-Konten. Entwickelt wurde die Erweiterung von Forschern der TU Wien und einer italienischen Universität. weiter
Das öffnet den Dienst für die Kommunikation mit Nutzern anderer E-Mail-Services. Auch ein Umzug von einem anderen PGP-Client auf ProtonMail ist nun möglich. Die Sicherheitsfunktion Adress Verification soll indes Angriffe auf die Verschlüsselung von ProtonMail abwehren. weiter
Mit einer Authenticator App ist die Nutzung einer Zwei-Faktor-Authentifizierung auch dann möglich, wenn zum Beispiel der SMS-Dienst nicht zur Verfügung steht oder kostenpflichtig ist. weiter
Wie viele der 330 Millionen Konten betroffen sind, hat Twitter nicht mitgeteilt. In einem Blogbeitrag fordert der Microblogging-Dienst seine Nutzer auf, umgehend ihre Passwörter zu ändern. weiter
Sie nutzen Fehler im elektronischen Schließsystem Vision by VingCard des schwedischen Anbieters Assa Abloy. Betroffen sind Schließanlangen von mehr als 42.000 Objekten in 166 Ländern. Die anfälligen Türschlösser benötigen ein Firmwareupdate. weiter
Der neue Hardware-Key soll die sichere Anmeldung bei mit Azure AD verwalteten Windows-10-Geräten ermöglichen. Er ist zunächst für den Einsatz in Unternehmen mit verteilter Belegschaft gedacht. Laut Hersteller ist er " der Anfang einer passwortlosen Welt". weiter
Der Support beschränkt sich auf Windows 10 in einer Azure-AD-Umgebung. FIDO2 Security Keys sollen die Anmeldung per Benutzername und Passwort vor allem an gemeinsam genutzten Geräten ersetzen. Auch eine Zwei-Faktor-Authentifizierung mit zusätzlicher PIN oder Fingerabdruck ist möglich. weiter
WebAuthn hat inzwischen die Verfahrensstufe Candidate Recommendation (CR) des Standardisierungsgrmium W3C erreicht. Und Microsoft, Google und Mozilla haben Unterstützung von WebAuthn für ihre Browser angekündigt. weiter
Durch die Fehlerbehebung wurde das Sicherheitsproblem sogar noch verschärft. Beliebige Prozesse können dabei den Inhalt des Speichers lesen und auch verändern. Ein Angreifer oder eine Malware muss dafür jedoch lokal angemeldet sein. weiter
Betroffen sind Systeme, die für die Übermittlung von Authentifizierungsdaten SAML verwenden. Ein Implementierungsfehler erlaubt Manipulationen dieser Daten. Als Folge erhalten Hacker unter Umständen ohne Kenntnis des Passworts Zugang zu beliebigen Konten. weiter
"Decentralized Digital Identities" nennt Microsoft ein neues Projekt für föderierte digitale Identitäten. Größtes Problem dabei scheint aktuell die Skalierbarkeit von Blockchain zu sein. Doch will Microsoft hier einen neuen Ansatz gefunden haben. weiter
Die Authentifizierung mit Fujitsu PalmSecure soll Passwörter überflüssig machen. Fujitsu verbaut die Sensoren in Notebooks und über USB anschließbaren Scannern. Der Hersteller verspricht eine höhere Sicherheit als mit anderen biometrischen Lösungen. weiter
Hacker schleusen schädliche Skripte unter anderem in die WordPress-Datenbank ein. Die Skripte führen den Keylogger und auch einen Krypto-Miner aus. Die aktuelle Angriffswelle betrifft fast 2100 Websites. weiter
Der kombinierte Schutz aus Fingerabdruck und PIN hatte sich umgehen lassen. Der Anbieter hatte sich sechs Monate für einen Patch Zeit gelassen. Nun sollen auch interne Prozesse optimiert werden. weiter
Keeper Security ist nicht amüsiert über eine aufgedeckte Sicherheitslücke und fühlt sich verleumdet. Die Schwachstelle betrifft seinen gleichnamigen Passwortmanager und wurde von Google-Sicherheitsforscher Tavis Ormandy gemeldet. weiter
Die Datenbank ist 36 GByte groß. Sie enthält mehr als 3,5 Milliarden Felder mit Informationen wie ethnische Zugehörigkeit, Finanzstatus und Adresse. Abweichend von der Amazon-Standardkonfiguration war der Server für alle authentifizierten AWS-Nutzer verfügbar. weiter
Der "Biometricks"-Angriff umgeht die biometrische Authentifizierung von Windows Hello mit einem Papierausdruck. Sicher ist die Gesichtserkennung erst mit aktuellsten Versionen von Windows 10 und nach Aktivierung von "Enhanced Anti-Spoofing". weiter
Sie steckt in TeamViewer für Windows, Mac OS X und Linux. Ein Angreifer kann die Funktion "Richtungswechsel" benutzen, um ohne Zustimmung des Nutzers die Kontrolle über sein System zu übernehmen. Beispielcode für einen Exploit findet sich auf GitHub. weiter
Die 5G-basierte Plattform für Multi-Access Edge Computing (MEC) soll schnelles und einfaches Bezahlen ermöglichen. Im Einzelhandel erlaubt sie personalisierte Angebote. Angedacht sind auch Lösungen für den Zugang zu Wohnungen und Geschäftsräumen. weiter
Sie liegen auf einem ungesicherten AWS-Storage-Server. Es handelt sich um ein vollständiges Festplattenabbild. Einige der darauf gespeicherten Daten sind als Top Secret eingestuft. Sie gehören zum Projekt Red Disk der US-Armee und der NSA. weiter
Eine Video zeigt die mühelose Entsperrung durch den zehnjährigen Ammar Malik. Er konnte die Authentifizierung mit Apples Gesichtserkennung angeblich beliebig oft überwinden. Das legt große Toleranzen zugunsten einer einfachen Nutzung nahe. weiter
