Tag: backup & security

Selbstbau-AirTag umgeht Stalking-Schutz

Direkt zur Veröffentlichung der AirTags von Apple gab es die ersten Meldungen, dass die kleinen, durchaus nützlichen Dinger leider auch zweckentfremdet werden und damit unter anderem Menschen ohne ihr Wissen gestalkt wurden. Apple hat sich seinerzeit zum Stalking-Schutz geäußert, leider ist dieser wohl aber nicht ausreichend durchdacht worden. Denn wie unser Leser, der Sicherheitsforscher Fabian Bräunlein in einem sehr umfangreichen Beitrag mitteilt, werden inoffizielle Tracker, die sich klammheimlich im „Wo ist?“-Netzwerk von Apple anmelden, bislang nicht von Apples Erkennung berücksichtigt.

Bräunlein hat gemeinsam mit einem in Szenario involvierten „Opfer“ fünf Tage nachstellen können, dass ein AirTag-Imitat in der Lage war, den Standort der Person nachzuverfolgen, ohne dass das Opfer davon etwas mitbekommt, geschweige denn über sein iPhone darüber informiert wird. Laut Bräunlein will er Apple darauf aufmerksam machen, dass die bisherigen Schutzmaßnahmen neu durchdacht werden müssen, die Schutzfunktionen dürften nicht direkt auf den AirTags selbst stattfinden. Bei seiner Methode sendet der Klon des AirTags ganz einfach regelmäßig neue öffentliche Schlüssel aus, wirkt darum auch jedes Mal wie ein neuer AirTag und erzeugt so keinerlei Tracking-Warnung.

Das Ganze läuft auf einem ESP32. Das ist ein kleiner 32-Bit-Mikrocontroller der chinesischen Firma Espressif, der auch in zahlreichen IoT-Geräten arbeitet. Der läuft mit einer speziellen Firmware. Interessierte können den Quellcode des Projektes hier einsehen.

Bestseller Nr. 2

AngebotBestseller Nr. 3


Neu Apple AirTag 4er Pack

Neu Apple AirTag 4er Pack

Nur einmal Tippen reicht, um dein AirTag mit deinem iPhone oder iPad zu koppeln

−23,84 EUR

95,16 EUR

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

KeePass 1.40 veröffentlicht: Kostenloser Passwortmanager

Höre ich in mein Umfeld und werfe einen Blick in die Kommentare, dann hat KeePass in der letzten Zeit viele Nutzer an Bitwarden verloren. Dennoch hat KeePass eine große Fan-Gemeinde. Nutzer der klassischen Ausgabe des Passwortmanagers KeePass finden ab sofort die Version 1.40 zum Download vor. KeePass Version 1 und 2 unterscheiden sich stark in ihren Funktionen, allerdings gibt es eben Nutzer, denen die Version 1 ausreicht. Eine Übersicht der Unterschiede zwischen KeePass 1 und KeePass 2 findet ihr auf dieser Seite. Hier einmal die Übersicht der Änderungen zwischen KeePass 1.39 und 1.40:

Auf den meisten Windows-Systemen ist AES-KDF jetzt etwa dreimal so schnell wie zuvor.

Es wurde ein Dialog zur Information über die Datenbankdatei hinzugefügt, der beim Erstellen einer neuen Datenbank angezeigt wird.

Beim Doppelklick auf die Titelzelle eines Eintrags in der Haupteintragsliste bei gedrückter Umschalttaste wird der Titel nun in die Zwischenablage kopiert.

Verbesserungen:

Verbesserte Standard-Konfigurationsdatei.


Verschiedene Verbesserungen an CHM-Dateien.


Aktualisiert auf Boost-Bibliotheken Version 1.78.0.


Installationsprogramm: Verbessertes Überschreiben von Dateien.


Aktualisiertes Installationsprogramm.


Verschiedene Code-Optimierungen.


Kleinere andere Verbesserungen.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Verwundbarer Exchange: 12.000 Server in Deutschland öffentlich erreichbar

Es gibt neue Warnmeldungen, die Exchange-Admins aufhorchen lassen sollten. Das Notfallteam des Bundesamts für Sicherheit in der Informationstechnik (BSI) informierte über Twitter über den Umstand, dass rund 12.000 (bzw. 30 %) der ihnen bekannten Exchange-Server  (2013, 2016 und 2019) mit offenem Outlook Web Access aktuell für mindestens eine kritische Schwachstelle verwundbar sind, da sie mit einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind.

Rund 12.000 bzw. 30% der uns bekannten #Exchange-Server 2013/2016/2019 mit offenem #OWA in Deutschland sind aktuell für mindestens eine kritische #Schwachstelle verwundbar, da sie mit einem veralteten Cumulative-Update-Stand laufen, für den keine Patches verfügbar sind. ?? pic.twitter.com/94Yf7B7E5p

— CERT-Bund (@certbund) November 30, 2021

Hinzu komme eine Dunkelziffer von Systemen, die zwar mit einem aktuellen CU-Stand laufen, auf denen aber nicht alle verfügbaren Patches zur Behebung der kritischen Schwachstellen eingespielt wurden. Angreifer könnten die Schwachstellen ausnutzen, um Schadcode auf den Exchange-Servern auszuführen und darüber ggf. interne Netzwerke inkl. des Active Directory vollständig zu kompromittieren, Daten auszuspähen oder Ransomware zur Verschlüsselung von Daten auszurollen.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Schufa, Crif Bürgel und andere sammelten ohne Einwilligung Daten von Handynutzern

Daten- und Verbraucherschützer beobachten Unternehmen wie die Schufa ohnehin mit kritischem Blick. Dort werden massenhaft Kundendaten gehortet und tun kann man dagegen wenig. Allerdings könnten die Schufa, Crif Bürgel und andere Firmen nun ihre Kompetenzen laut der Süddeutschen Zeitung überschritten haben. Sie speicherten ohne Einwilligung massenhaft Daten von Handynutzern. Laut Datenschützern sei das nicht rechtens und die Daten müssten gelöscht werden, fordern Verbraucherschützer.

Seit 2018 sollen die Auskunfteien die Daten ohne Einwilligung der Verbraucher gesammelt haben. Betroffen sind potenziell alle Menschen in Deutschland, die seit 2018 einen Mobilfunkvertrag abgeschlossen haben. Teilweise sollen die Daten über das Vertragsverhalten nicht nur gespeichert worden sein, sondern sie flossen wohl auch in die Scores ein.

Der Verbraucherzentrale Bundesverband (vzbv) bezweifelt, dass die Praxis rechtens bzw. von der Datenschutzgrundverordnung gedeckt sei. Auch die Datenschutzkonferenz (DSK) ist kritisch und betrachtet das Verhalten als „unzulässig“. Ohne Anlass seien erhebliche Datenmengen über Alltagsvorgänge aus dem Wirtschaftsleben gespeichert und ausgewertet worden. Wer jetzt denkt, vor 2018 wurde nichts gespeichert: Doch, auch das war der Fall. Da musste man aber eine Einwilligung der Verbraucher einholen. Nach Eintreten der DSGVO stiegen aber die Anforderungen an eine solche Einwilligung. So entscheid man sich dann einfach darauf zu verzichten und trotzdem Daten zu erheben.

Die Auskunfteien beriefen sich darauf, ein „berechtigtes“ Interesse an den Daten zu haben. Genau das bezweifeln aber Daten- und Verbraucherschützer. Somit steht nun auf der Kippe, ob die Sammelei weitergehen darf bzw. alte Daten eventuell gelöscht werden müssten. Die Auskunfteien sind natürlich erzürnt und drehen den Spieß bei ihrer Argumentation um: Nur durch die Erhebung der Daten sei ja eine Kreditwürdigkeitsprüfung auf leichtem Wege möglich und finanzschwächere Menschen würden davon profitieren.

Die Verbraucherschützer halten genau dieses Argument eher für eine Farce, denn die Interessen seien ganz andere. Vielmehr liege es nahe, dass es vielen Menschen erschwert werde, Verträge abzuschließen. Dies könne eintreten, wenn Menschen oft den Vertrag wechseln, um etwa Rabatte mitzunehmen. Das Erheben solcher Positivdaten sehen die Verbraucherschützer seit jeher kritisch. Sie sollen eigentlich belegen, dass jemand, der etwa seine Rechnungen immer pünktlich bezahlt, einen besseren Score erhält. Ob tatsächlich so verfahren wird, ist aber häufig intransparent. Denn die Auskunfteien legen ungern offen, was sie etwa mit Daten zu Vertragsabschlüssen überhaupt anstellen.

Ob und welche Schritte nun konkret folgen, ist leider offen. Möglicherweise werden die Verbraucherschützer vor Gericht ziehen, denn aktuell sieht es nicht danach aus, als ob sich ohne rechtliche Schritte etwas ändert.

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

QNAP behebt Sicherheitslücke im Media-Streaming-Addon

Nutzer eines QNAP mit aktiviertem Media-Streaming-Addon sollten einmal nachschauen, dass ihr System auf dem aktuellen Stand ist. In einer aktuellen Mitteilung informiert man über eine Sicherheitslücke mit dem Schweregrad „Hoch“, abgelegt unter CVE-2021-34362. Das Gute: Die Lücke ist mittlerweile geschlossen. Ausgenutzt würde sie eine Remotecodeausführung ermöglichen. Um die Sicherheitslücke zu beheben, empfehle man, das Media-Streaming Addon auf die neueste Version zu aktualisieren.

Folgende Versionen sind sicher:

QTS 5.0.0: Media Streaming Zusatzmodul 500.0.0.3 (2021/08/20) und später


QTS 4.5.4: Media Streaming-Zusatzmodul 500.0.0.3 (2021/08/20) und später


QTS 4.3.6: Media-Streaming-Zusatzmodul 430.1.8.12 (2021/08/20) und später


QTS 4.3.3: Media Streaming Zusatzmodul 430.1.8.12 (2021/09/29) und später


QuTS hero h5.0.0: Media-Streaming-Zusatz 500.0.0.3 (2021/08/20) und später

In diesem Artikel sind Partner-Links enthalten. Durch einen Klick darauf ge­lan­gt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir ei­ne kleine Provision. Für euch ändert sich am Preis nichts. Danke für eure Unterstützung!

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies