Gesperrtes iPhones eines Drogendealers: FBI fordert weiterhin Apples Hilfe

In einem neuen Schriftsatz argumentieren die Strafverfolger, Apple habe bereits in Dutzenden anderen Fällen geholfen. Zuletzt hatte der in dem Fall zuständige Richter den Antrag der Staatsanwaltschaft abgelehnt. Apples wird sich wahrscheinlich erst Ende der Woche in einem eigenen Schriftsatz äußern. weiter

Blackberry plant günstigere Android-Smartphones

Nachdem das High-End-Smartphone Priv nicht den Umschwung brachte, wendet sich der Hersteller dem mittleren Marktsegment zu. CEO John Chen glaubt noch immer, Unternehmenskunden mit sicheren Android-Geräten überzeugen zu können. Eines der beiden neuen Modelle kommt mit Hardware-Tastatur. weiter

US-Gesetzentwurf kriminalisiert Verschlüsselung

Die Vorlage aus dem Geheimdienstausschuss verlangt, dass auf gerichtliche Anordnung hin Informationen und Daten "in lesbarer Form" vorzulegen sind. Auch die Mitwirkungspflicht von Firmen soll verschärft werden. Sicherheitsexperten kritisieren den Entwurf als ebenso widersinnig wie gefährlich. weiter

Adobe schließt 24 Sicherheitslücken in Flash Player

Darunter ist auch die bereits bekannte Zero-Day-Lücke. Die Angriffe richten sich inzwischen auch gegen Windows 8.x und Windows 10. Das Magnitude Exploit Kit versucht, die Ransomware CERBER einzuschleusen. weiter

FBI: Hintertür funktioniert nur mit iPhone 5C

Das bestätigt FBI-Direktor James Clapper. Auf neuere Geräte wie iPhone 5S und iPhone 6S lässt sie sich nicht anwenden. Das FBI kann aber nach eigenen Angaben auch andere Apple-Smartphones als das iPhone 5C knacken. weiter

Verbreitete Firefox-Erweiterungen wie NoScript für neuartigen Angriff anfällig

Eine zusätzlich installiertes Add-on kann im Huckepack-Verfahren Funktionen der häufig vorhandenen Erweiterungen für seine bösartigen Zwecke nutzen. Das enthüllen Sicherheitsforscher auf der Black Hat Asia in Singapur. Mozilla reagiert mit neuen Erweiterungs-APIs und sieht das Sandboxing von Firefox-Erweiterungen vor. weiter

Adobe warnt vor kritischer Zero-Day-Lücke in Flash Player

Sie steckt in der Version 21.0.0.197 und früher für Windows, Mac OS X, Linux und Chrome OS. Bisher sind aber nur Angriffe auf Flash Player 20 unter Windows 7 und Windows XP bekannt. Ab Version 21.0.0.182 funktioniert der Exploit aufgrund einer neuen Sicherheitsfunktion nicht. weiter

Microsoft schließt kritische Phishing-Lücke in seinen Online-Diensten

Ein Sicherheitsforscher stiehlt per Cross-Site-Request-Forgery Login-Tokens für Microsoft-Dienste. Sie erlauben die Anmeldung bei bestimmten Diensten ohne Eingabe von Nutzername und Passwort. Microsoft entwickelt in nur 48 Stunden einen Patch für die Schwachstelle. weiter

Risiko-Analyse als Basis der notwendigen Authentifikation in der Praxis

Adaptive und Risiko-basierte Authentifikation steigert die Sicherheit und Benutzerfreundlichkeit von mobilen und Web-Anwendungen gleichermaßen. Diese Funktionalität erfordert aber eine angemessene Integration in bestehende und neu entstehende Systeme und die Ermittlung individueller Regelwerke. weiter

Malwaregefahr: Tor widerspricht CloudFlare

Das Content-Delivery-Netz CloudFlare bezeichnet 94 Prozent des Tor-Traffics als von vornherein bösartig. Tor-Entwickler Mike Perry vermutet, dass die Behauptung auf fehlerhafter Methodik basiert. Das Anonymisierungsnetzwerk wirft CloudFlare vor, Millionen unbeteiligter Tor-Nutzer zu blockieren und zugleich seinen eigenen Kunden zu schaden. weiter

Sidestepper: Sicherheitslücke hebelt iOS Gatekeeper aus

Die Kommunikation zwischen iOS-Geräten und MDM-Lösungen ist anfällig für Man-in-the-Middle-Angriffe. Das wiederum erlaubt das Einschleusen bösartiger Unternehmens-Apps. Ein Angreifer muss allerdings einen Nutzer zur Installation eines manipulierten Konfigurationsprofils verleiten. weiter

Cloudflare: 94 Prozent des Tor-Traffics sind von vornherein bösartig

CEO Matthew Prince rechtfertigt damit gegen Tor-Nutzer gerichtete Maßnahmen wie Captchas für jede Site. Wenn das Tor-Projekt auf einen sicheren Hashing-Algorithmus umstiege, könnte Cloudflare einfach .onion-Sites für seine Kunden anlegen. Auch clientseitige Captchas hält er für eine Option, um Bots von Individuen zu unterscheiden. weiter

US-Justiz streitet um Tor-Browser-Exploit

Im Fall einer Kinderpornografie-Site zweifelt die Verteidigung an der Rechtmäßigkeit der Ermittlungsmethoden. Der Richter nannte diese Frage berechtigt und forderte das FBI zur Veröffentlichung des Exploits auf. Das Justizministerium protestiert nun dagegen. weiter

iPhone eines Drogendealers: US-Justiz prüft weiteres Vorgehen gegen Apple

Es will in den kommenden zwei Wochen entscheiden, ob es weiter Apples Unterstützung fordert. Aktuell lehnt der zuständige Richter eine Zwangsentsperrung ab. Auch andere US-Staatsanwälte zeigen inzwischen Interesse an dem vom FBI genutzten Verfahren, das iPhone des San-Bernardino-Attentäters zu entsperren. weiter

Oracle veröffentlicht Notfall-Patch für Java SE

Anfällig sind Java SE 7 und 8 für Windows, Mac OS X, Linux und Solaris. Oracle stuft die bereits öffentlich bekannte Sicherheitslücke als kritisch ein. Ein Angreifer könnte die vollständige Kontrolle über ein betroffenes System übernehmen. weiter

USA erlassen Haftbefehle gegen drei syrische Hacker

Sie steckten hinter diversen Angriffen auf Twitter-Konten von Medien, wo sie für den syrischen Präsidenten Baschar al-Assad warben und Falschinformationen verbreiteten. In anderen Fällen erpressten sie ihre Opfer mit gestohlenen Daten. Die Forderungen in Höhe von bis zu 300.000 Dollar flossen teils über den dritten Mann in Deutschland. weiter

Google erstellt Liste nicht vertrauenswürdiger Zertifikatsanbieter

Dabei kann es sich um Certificate Authorities oder kurz CAs handeln, die das in sie gesetzte Vertrauen verloren haben. Google reagiert mit der Liste auf Vorfälle im letzten Jahr. Aufgeführt werden aber auch neue Anbieter, die erst auf dem Weg sind, von Browsern als vertrauenswürdige Root-Aussteller gesehen zu werden. weiter

Yahoo führt Anmeldung ohne Passwort breiter ein

Account Key ist eine Ein-Faktor-Authentifizierung. Statt einem Passwort dient das Smartphone der Bestätigung. Das bisher nur für Mail nutzbare System steht nun etwa auch für Yahoo Finanzen und Messenger zur Verfügung. weiter

Uber startet Prämienprogramm für Sicherheitslücken

Es umfasst seine Websites einschließlich der Testsite und jeweils beide Apps für Android und iOS. Die maximale Belohnung beträgt 10.000 Dollar. Als innovativ gilt sein Ansatz, Forschern eine "Schatzkarte" der Architektur zu stellen, damit sie sich aufs Wesentliche konzentrieren können. weiter

Apple stopft 59 Sicherheitslöcher in Mac OS X

Einige davon erlauben das Einschleusen und Ausführen von Schadcode mit Kernelrechten. OS X 10.11.4 sowie das Sicherheitsupdate 2016-002 schließen aber auch die schon bekannte iMessage-Lücke. Ein zusätzlicher Patch für Safari beseitigt zwölf Schwachstellen. weiter

iOS 9.3 schließt iMessage-Lücke

Das Update enthält Fixes für insgesamt 38 Sicherheitslücken. Darunter sind auch kritische Schwachstellen im Kernel und der Browserengine WebKit. iOS 9.3 bringt aber auch neue Funktionen wie Night Shift, verbessert die Apps Notizen, News, Health, Apple Music, Fotos sowie iBooks und beseitigt Bugs wie den Datumsfehler. weiter

Pwn2Own 2016: Hacker knacken auch Microsoft Edge

Sie nutzten zwei neu entdeckte Lücken im Windows-10-Browser aus. In Kombination mit ebenfalls zuvor unbekannten Windows-Schwachstellen erlauben sie das Ausführen von Schadcode. Insgesamt legten Teilnehmer im Lauf des zweitägigen Wettbewerbs 21 neue Anfälligkeiten offen. weiter