https://mobilsicher.de/kommentar/scoolio-app-das-geht-gar-nicht
Ausdruck vom 26.04.2024
Wie das IT-Sicherheitskollektiv „zerforschung" am 26. Oktober berichtete, waren Nutzerdaten der Schul-App Scoolio frei im Internet zugänglich. Doch auch das werbebasierte Geschäftsmodell und die Netzwerkfunktion der Plattform sind mehr als fragwürdig.
Seit Anfang der Woche häufen sich Berichte über unautorisierte Abbuchungen von PayPal-Konten. Betroffen sind Konten, die mit Google Pay verknüpft waren. Vermutlich nutzen die Angreifer dabei eine Sicherheitslücke aus, die PayPal bereits seit einem Jahr bekannt war.
Besitzer*innen neuer Google-Smartphones können ab sofort den Bildschirm per Gesichtserkennung entsperren. Den Fingerabdruckscanner soll die Funktion vollständig ersetzen. Doch schon vor der Markteinführung hat der Google-Service ein Sicherheitsproblem.
Gleich zwei schwere Sicherheitslücken hat Googles eigenes Hacker-Team „Project Zero“ in den vergangenen zwei Wochen entdeckt: Der Messenger Signal ließ sich offenbar durch einen verdeckten Anruf in eine Wanze verwandeln und auch im Android-Betriebssystem klaffte eine Schwachstelle.
Keine schöne Woche für Apple: Zuerst geht der Start von iOS 13 letzte Woche in einer ganzen Flut von Fehlern und Sicherheitsproblemen unter. Kaum ist das behoben, wird „Checkm8“ bekannt, die Sicherheitslücke aus der Hölle: Sie betrifft iPhones von 4S bis X und lässt sich nicht beheben. Die wichtigsten Fakten:
Armbanduhren mit GPS-Trackern sind bei Eltern beliebt: Damit können sie übers Internet verfolgen, wo ihre Kinder sind. Doch etliche der verbauten GPS-Sender enthalten eine Sicherheitslücke, über die auch Dritte aus der Ferne den Standort abfragen können. Momentan sind knapp eine Million betroffene Geräte im Umlauf.
Mit einem IMSI-Catcher lassen sich Handydaten über das Mobilfunknetz abfangen. Eingesetzt werden die Geräte zum Beispiel von Polizei und Geheimdiensten. Doch wer sich gut auskennt, kann so einen Spion auch selbst bauen. Wir erklären, was erlaubt ist und wie man sich schützen kann.
Chats in Ende-zu-Ende-verschlüsselten Messengern können Dritte nicht mitlesen. Allerdings lassen sich Bilder, PDFs und Sprachnachrichten bei WhatsApp abfangen, bevor sie verschlüsselt werden. Die gute Nachricht: Sie können etwas dagegen tun.
Trotz Ende-zu-Ende-Verschlüsselung sind Dateien, die per WhatsApp und Telegram verschickt werden, nicht vor Angriffen geschützt. Sicherheitsexpert*innen haben eine Schwachstelle in den Android-Versionen der Apps identifiziert. Die gute Nachricht: Sie können eine entscheidende App-Einstellung ändern.
Mozilla hat eine neue Firefox-Version veröffentlicht, die ein wichtiges Sicherheitspatch enthält. In veralteten Versionen ist es möglich, den Browser zum Absturz zu bringen und eventuell Schadcode auf Geräte zu schleusen. Wir empfehlen daher, die Firefox-App zu aktualisieren.
Veraltete WhatsApp-Versionen sind von einer kritischen Sicherheitslücke bedroht: Per WhatsApp-Anruf ist es möglich, ein Schadprogramm einzuschleusen, das Fernzugriff auf das Gerät ermöglicht. Wer WhatsApp jetzt auf den neuesten Stand bringt, ist sicher.
Bei Instagram kann man seit kurzem alle seine Daten herunterladen. Wer die Funktion nutzt, erhält einen Link, unter dem die Daten dann abrufbar sind. Nicht so schön: Diese Webadresse enthielt bei etlichen Nutzern das Instagram-Passwort – im Klartext. Der Vorfall wirft Fragen auf: Missachtet Instagram beim Speichern von Passwörtern gängige Sicherheitsstandards?
Für die Internetgiganten läuft es gerade nicht so rund: Vor zwei Wochen der Facebook-Hack, diese Woche ein Datenleck bei Google, jetzt eine massive Sicherheitslücke bei WhatsApp. Von der Vorstellung, dass die eigenen Daten zumindest bei den "Großen" sicher sind, sollten wir uns endgültig verabschieden.
Aufgrund einer Manipulation nahm der Datenverkehr von Telegram am Montag einen ungewöhnlichen Weg: über Server eines staatlichen iranischen Unternehmens. Unmittelbaren Schaden gab es wohl nicht, aber die schwache Verschlüsselung macht Telegram anfälliger als vergleichbare Apps.
Über eine neu entdeckte Sicherheitslücke können Angreifer die Kommunikation zwischen gekoppelten Bluetooth-Geräten abhören und manipulieren. Dazu müssen sie sich allerdings in der Nähe befinden. Betroffen waren sowohl iOS- als auch Android-Geräte. Für beide Betriebssysteme gibt es bereits ein Update, das den Fehler behebt.
Mit dem Update auf iOS 11.4 könnte es für Behörden schwieriger werden, iPhones zu knacken. Eine neue Funktion, die in der Vorabversion des Updates enthalten ist, sieht eine Schutzmaßnahme gegen das professionelle Auslesen von iOS-Geräten vor.
Sicherheitslücke bei iOS: Über die Bestätigungsfunktion „Diesem Gerät vertrauen“ können Kriminelle Zugriff auf ein iPhone erhalten, etwa wenn Nutzer ihr Gerät an einer manipulierten Ladestation in einem Café aufladen. Mit einem Trick bleibt der Zugriff auch möglich, wenn das Smartphone nicht mehr per Kabel angeschlossen ist.
Dem Datum zu Sicherheitsupdates auf Android-Handys können Sie nicht immer trauen. Manchmal fehlen einige der sogenannten „Patches“, mit denen Hersteller neu entdeckte Sicherheitslücken ihrer Geräte stopfen. Dabei scheinen einige Hersteller die Nutzer bewusst zu täuschen.
Die Industrie für Überwachungs-Software boomt - auch an Privatnutzer werden die zweifelhaften Produkte hemmungslos vermarktet. Zwei Hacker hatten der nach ihrer Ansicht verwerflichen Branche letztes Jahr den Kampf angesagt. Nun schlugen sie erneut zu und veröffentlichten massenhaft Daten von Nutzern und überwachten Geräten.
In bestimmten Situationen können Angreifer in den Datenverkehr bei der Nutzung von Tinder hineinschauen. Die weltweit meist genutzte Dating-App schützt ihre Verbindungen nicht vollständig durch Verschlüsselung und ermöglicht teilweise Musteranalysen.
Eine Sicherheitslücke in den Prozessoren der meisten Hersteller macht Smartphones und Tablets angreifbar. Für Android und iOS gibt es mittlerweile Sicherheitsupdates, die die Auswirkungen von "Spectre" minimieren sollen.
Die großen Browser sind anfällig für einen Angriff, der die Autofill-Funktion ausnutzt. Damit können sensible Daten wie E-Mail-Adressen und Passwörter entwendet werden. Nur Chrome scheint vor dem Angriffsszenario sicher zu sein.
Apples Betriebssystem iOS gilt als sicher, zumindest im Vergleich mit Android. Doch bei den Apps für iOS sieht es nicht so gut aus: Bei vielen populären Apps für iPhone und iPad hat ein IT-Experte jetzt Sicherheitslücken gefunden, über die sich zum Beispiel Login-Daten auslesen lassen.
Im Protokoll, das WLAN verschlüsselt, wurde eine Schwachstelle entdeckt. Über die „Krack“-Lücke lässt sich Datenverkehr mitlesen und verändern. Besonders heikel: sowohl Router als auch Gerät brauchen ein Update. Wir erklären, wer betroffen ist und was Sie jetzt tun können.
Daten von möglicherweise sechs Millionen Instagram-Konten sind an Hacker gelangt, die sie im Netz zum Kauf anbieten. Anders als vermutet, sind nicht nur Profile von Prominenten betroffen, sondern auch die von normalen Nutzerinnen und Nutzern.
Im Kampf um Nutzerdaten geht eine chinesische Firma besonders weit. Mit ihrer Software, die auf vielen Android-Geräten vorinstalliert ist, sichert sie sich praktisch die volle Kontrolle über die Samrtphones.
Verbraucherschützer wollen gerichtlich gegen den Verkauf von Android-Geräten vorgehen, die nicht behebbare Sicherheitslücken haben. Konkret geht es um ein Handy, das beim Verkauf bereits 15 Sicherheitlücken aufwies, die nicht mehr geschlossen werden konnten.
Betroffen sind Mobilgeräte mit WLAN-Chips der Firma Broadcom. Angreifer müssten bei dieser Attacke das Gerät nicht in der Hand haben, sondern sich nur im selben WLAN befinden. Allerdings ist dafür viel Knowhow nötig.
Mit zwei Updates hat Apple Sicherheitslücken bei iPhones und iPads geschlossen, die von Angreifern gern genutzt wurden. Beliebte Angriffsszenarien sollen damit der Vergangenheit angehören. Die Updates sind jedoch nicht auf allen Geräten ganz einfach zu installieren.
Am Dienstag veröffentlichte Wikileaks Dokumente, die aus dem Besitz des US-Geheimdienstes CIA stammen sollen. Sie enthalten Informationen darüber, wie die CIA unter anderem Smartphones überwacht. Was ist dran an den CIA-Methoden?
Der Präsident des BSI, Arne Schönbohm, kritisiert die Hersteller von Smartphones. Im Gespräch mit mobilsicher.de fordert Schönbohm: „Die Hersteller sollten sich mit einer freiwilligen Selbstverpflichtung bereit erklären, gemeldete Sicherheitslücken schnell zu schließen.“
Rund 900 Millionen Android-Geräte verschiedener Anbieter sind von dem Sicherheitsproblem namens "QuadRooter" betroffen. Noch wird diese Lücke nicht ausgenutzt. Völlig unklar ist, bei welchen Geräten die Hersteller diesen Fehler überhaupt beheben werden.
Wer mobil telefoniert oder SMS-Textnachrichten versendet, nutzt dazu meistens die mobilen Telefonnetze, die je nach Mobilfunkanbieter verfügbar sind. Das am weitesten verbreitete Standardnetz ist das GSM-Netz. Aber wie sicher sind diese Verbindungen?
Mitarbeiter von mobilsicher.de haben bei dem Dienst mytaxi eine Sicherheitslücke entdeckt, mit der Nutzerkonten geknackt werden konnten. Die App wurde mehr als 10 Millionen Mal heruntergeladen. Das Unternehmen behob das Problem nach eigenen Angaben am Freitag.
