Ab und an löschen wir den Browserverlauf und denken, dass sich dies auch auf die Cloud bezieht. Bei Apple ist das bar wohl nicht der Fall. Wie der russische Softwarehersteller Elcomsoft herausfand, speichert Apple die Browserverläufe bei aktivierter iCloud-Synchronisierung noch etwa ein Jahr in der Cloud. Die neueste Version des Elcomsoft Phonebreakers kann sie aufspüren und chronologisch darstellen. Die Software richtet sich an Polizei- und Sicherheitsbehörden und ist ein datenschutzrechtlicher Alptraum.

Schattenverläufe wiederherstellen

Kaum etwas sagt so viel über eine Person aus wie ihr Browserverlauf. Wer diese vermeintlich gelöschten Daten wiederherstellen kann, erfährt eine Menge über eine Person, von Hobbys über Aktivitäten in sozialen Netzwerken oder berufliche Aktivitäten kann alles dabei sein.

Es ist unklar, warum Apple die Verläufe so lange aufbewahrt und ob Cupertino dieses Verhalten künftig abstellen wird.

Der Beitrag Safariverlauf wird über ein Jahr in der iCloud gespeichert erschien zuerst auf Macnotes.de.

Inzwischen ist bekannt, was es mit der angeblichen Sicherheitslücke bei WhatsApp auf sich hat. Als der Guardian indes zuerst berichtete, schlug die Meldung schnell hohe Wellen, das allgemeine Misstrauen gegenüber der Sicherheit von WhatsApp ist ohnehin hoch. Sicherheitsforscher und Kryptoexperten verschiedener Firmen und Universitäten erklärten nun in einem offenen Brief, die Zeitung habe hier falsch reagiert. Man habe den Bericht vorschnell und unter Berufung auf nur einen Forscher veröffentlicht und es schlicht versäumt oder unterlassen weitere Meinungen einzuholen.

Verfasst wurde der Brief von der türkischen Journalistin Zeynep Tufekci, die der Zeitung vorwirft zumindest in der Türkei konkreten Schaden angerichtet zu haben. Aktivisten und Kritiker des dortigen Regimes, das die demokratische Ordnung nach und nach abschafft, hielten den Dienst jetzt vielfach für unsicher. Verschiedene Sicherheitsforscher hatten indes erklärt, aufmerksame Nutzer könnten sehr wohl weiterhin sicher über WhatsApp kommunizieren.

Guardian zeigt sich etwas einsichtig

Die Zeitung hat inzwischen die Überschrift des strittigen Artikels geändert und erklärte, man sei bereit eine Antwort auf den Brief zu veröffentlichen. Grundsätzlich begrüße die Zeitung einen Dialog mit den Verfassern. Die Erklärung war unter anderem von Kryptoexperte Bruce Schneier, Matthew Green, Professor für Kryptografie an der Johns Hopkins University und Mitarbeitern von Google, Intel Security und Cloudflare unterzeichnet worden.

Der Beitrag Offener Brief: Guardian-Bericht über WhatsApp-Hintertür war vorschnell und fahrlässig erschien zuerst auf Macnotes.de.

Eine neue Malware, die auf Mac-Rechnern läuft, wurde kürzlich mehr zufällig entdeckt. Nach dem, was bisher bekannt ist, schadet sie den infizierten Systemen nicht direkt, aber sie ist darauf ausgelegt verschiedene Methoden zu nutzen, um Bildschirmfotos zu machen und auf die Webcam zuzugreifen. Die Ergebnisse werden dann an einen C&C-Server geschickt. Auch sind verschiedene Methoden den Cursor und Mauszeiger zu lokalisieren und zu bewegen, um so Eingaben vornehmen zu können, Teil der Malware. Schließlich lädt sie ein Skript nach, das einen Scan des lokalen Netzwerks vornimmt und Daten über verbundene Geräte und deren IP V4- und IPV6-Adressen und genutzte Ports sammelt. Sicherheitsexperten vermuten, sie zielt vornehmlich auf biomedizinische Forschungseinrichtungen.

Uralter Code

Teile des extrem einfach gehaltenen Codes verwenden Bibliotheken, die zuletzt im Jahr 1998 aktualisiert wurden.

Die Malware läuft auf Pearl und Java. Fruitfly benutzt verschiedene Befehle, um die Uptime, die vergangene Zeit seit dem letzten Bootvorgang, zu ermitteln. Einige davon funktionieren auch auf Linuxsystemen, was die Vermutung nahelegt, die Malware könnte auch auf Linuxrechnern teilweise lauffähig sein.

Der Beitrag Mac-Malware mit Code aus Prä-OS X-Zeiten entdeckt erschien zuerst auf Macnotes.de.

Der Bericht im englischen Guardian, WhatsApp habe absichtlich eine Hintertür in seine Ende-zu-Ende-Verschlüsselung eingebaut, führte umgehend zu einer Reaktion des Kurznachrichtendienstes. Dieser bestreitet die Verschlüsselung absichtlich geschwächt zu haben.

Interessanterweise stimmt der Entwickler, das Unternehmen OpenWhisper Systems, mit WhatsApp überein. Demnach ist die beschriebene Eigenschaft ein üblicher Aspekt bei Verschlüsselungen dieser Art, die verhindere, dass Nachrichten verloren gehen, wenn Nutzer offline sind oder Geräte wechseln. Wenn ein Nutzer offline ist und dabei das Gerät oder die SIM wechselt, wird ein neuer Kryptokey benötigt, wenn die App neu installiert wird ebenfalls. Dadurch ändert sich die Sicherheitsnummer, die vom Nutzer angezeigt werden kann. WhatsApp hat hier einen massentauglichen Kompromiss zwischen Sicherheit und Nutzerfreundlichkeit gewählt.

Sicherheitsbenachrichtigungen bieten begrenzte Gewissheit

Statt Nachrichten bei Änderungen der Schlüssel nicht zuzustellen oder Warnmeldungen  auszugeben, wie es etwa der auf höchste Sicherheit getrimmte Messenger Signal tut, wird bei WhatsApp einfach ein neuer Schlüssel erzeugt und Nachrichten erneut zugestellt. Dies sei so, damit keine Nachrichten verloren gehen, wenn Nutzer ihr Gerät wechseln. OpenWhisper Systems bestätigt: „The fact that WhatsApp handles key changes is not a „backdoor,“ it is how cryptography works. Any attempt to intercept messages in transmit by the server is detectable by the sender, just like with Signal, PGP, or any other end-to-end encrypted communication system.“
Schutz gegen eine unbemerkte Kompromittierung der Verschlüsselung bietet die Aktivierung der Sicherheitsbenachrichtigungen unter Einstellungen > Account > Sicherheit. Wann immer sich die aus dem Schlüssel generierte Sicherheitsnummer eines Nutzers ändert, wird dies im Chatverlauf angezeigt. Misstrauische Zeitgenossen können dann hinterfragen, wie das verursacht wurde. Der WhatsApp-Server wisse überdies nicht, ob die Sicherheitsbenachrichtigungen aktiviert seien oder nicht, so OpenWhisper Systems. Allein, dass sie nicht standardmäßig aktiv sind, könnte kritisiert werden. In einem Punkt war die Guardian-Berichterstattung indes anscheinend schlicht falsch: Keinesfalls könnten durch Neugenerierung von Schlüsseln frühere Nachrichten einer Konversation entschlüsselt werden, so WhatsApp und die Entwickler des Signal-Protokolls übereinstimmend.

Der Beitrag Signal-Entwickler: WhatsApp nicht absichtlich kompromittiert erschien zuerst auf Macnotes.de.

Eine Sicherheitslücke erlaubt es Facebook Unterhaltungen von WhatsApp-Nutzern mitzulesen. Wie der britische Guardian nun berichtete, wird dabei das Erzeugen neuer Schlüssel erzwungen, während ein Nutzer offline ist. Anschließend werden als nicht zugestellt markierte Nachrichten mit diesem neuen Schlüssel verschlüsselt und ausgeliefert.

WhatsApp kann nun die weitere Unterhaltung mitlesen. Der Nutzer bemerkt dabei allenfalls, dass die Sicherheitsnummer eines Kontakts sich geändert hat, sofern diese Einstellung unter Einstellungen > Account > Sicherheit aktiviert ist. Das kann allerdings verschiedene Ursachen haben und dürfte nur die wenigsten Nutzer alarmieren. Der Zeitung zur Folge haben die Sicherheitsforscher, die die Lücke entdeckten, WhatsApp schon im April vergangenen Jahres über ihre Entdeckung informiert. Die Facebook-Tochter hatte indes nur angemerkt, dass es sich um ein erwartetes Verhalten handelt.

Ein Sprecher kommentierte den Zeitungsbericht und verteidigte das Vorgehen des Messengers: Die Änderung der Sicherheitsnummer sollte nicht zum Scheitern der Zustellung führen, diese sei oft die Folge häufiger Geräte- oder SIM-Kartenwechsel. In vielen Regionen nutzten Menschen billige Smartphones, die sie oft wechselten, so führte er aus. In diesem Fall sollen Nachrichten nicht verloren gehen. Privatsphäre-Aktivisten sprachen indes schon von einer Goldmine für Sicherheitsbehörden.

Verschlüsselung in Frage gestellt

Die von WhatsApp eingesetzte Ende-zu-Ende-Verschlüsselung stammt von Open Whisper Systems und gilt als sicher. Sie wird auch im Kryptomessenger Signal eingesetzt. Dieser ist unter anderem bei Menschenrechtsaktivisten beliebt. Unlängst unternahm die ägyptische Regierung erste Schritte zu dessen Sperrung. Das Signal-Kryptoverfahren enthält die bei WhatsApp entdeckte Schwachstelle nicht. Wird dort etwas ähnliches versucht, scheitert die Nachrichtenzustellung und es gibt keinen  automatischen weiteren Zustellversuch. Laut Tobias Boelter, Entdecker der Schwachstelle, der als Sicherheitsforscher an der University of California arbeitet, könnte WhatsApp so Regierungen Zugang zu Unterhaltungen möglicher Regierungsgegner gewähren.

Der Beitrag Sicherheitslücke in WhatsApp untergräbt Ende-zu-Ende-Verschlüsselung [Update] erschien zuerst auf Macnotes.de.

iOS 9 unterstützt die Zwei-Faktor-Authentifizierung, die Apple eingeführt hat, um die Apple ID besser gegen feindliche Übernahmen zu schützen, von Natur aus nicht. Es fehlt das Feld zur Eingabe des sechsstelligen Überprüfungscodes, den man bekommt, wenn der Zugang wiederhergestellt werden soll.

Apple hat es so gedreht, dass iOS 9-Geräte und Macs, die noch unter OS X El Capitan laufen, doch noch unterstützt werden.

Code an Passwort anhängen

Wie Apple in einem Supportdokument ausführt, muss der sechsstellige Code einfach an das Passwort der Apple ID angehängt werden, wenn der Anmeldedialog auf dem iOS 9-Gerät auftaucht. Möglich, dass Apple diese Lösung serverseitig noch implementieren konnte. Zwei-Faktor-Authentifizierungen helfen dabei die Kontrolle über Accounts nicht zu verlieren, wenn sie gehackt wurden. Das kann im Einzelfall durchaus unangenehme Folgen haben, in diesem Zusammenhang sei nochmals empfohlen für die wichtigsten Accounts niemals die selben oder ähnliche Passwörter zu verwenden.

Der Beitrag Tipp: So funktioniert die Zwei-Faktor-Anmeldung der Apple ID unter iOS 9 erschien zuerst auf Macnotes.de.

In die Common Vulnerabilities and Exposures-Datenbank, den zentralen Katalog identifizierter Sicherheitslücken, der von einer nicht gewinnorientierten MIT-Ausgründung betrieben wird, wurden vergangenes Jahr 523 Sicherheitslücken eingetragen. Viele dieser Lücken steckten allerdings in Komponenten und Treibern Dritter Hard- und Softwarehersteller wie etwa Prozessortreibern von Qualcomm.

Google übt vermehrt Druck auf Hersteller von Endgeräten aus, um diese dazu zu bringen mehr für die Sicherheit von Android zu tun. Die unsichersten Softwareprodukte stammen indes von Adobe und Microsoft, beide trugen immerhin mehr als 1.300 Sicherheitslücken bei, gefolgt von Google mit immerhin noch knapp 700 Lücken.

Über 600 Lücken in Appleprodukten

611 Sicherheitslücken traten in Plattformen und Software von Apple auf. Die Aussagekraft solcher Zahlen ist indes nicht zu überschätzen. Wichtig ist auch, wie betroffene Unternehmen mit ihnen umgehen. Apple und Google haben auftretende kritische Schwächen zumeist recht schnell beseitigt, wobei Apple hier die hohe Verbreitung aktueller Versionen von MacOS und insbesondere iOS zugute kommt.

Der Beitrag Android war die Plattform mit den meisten Sicherheitslücken in 2016 erschien zuerst auf Macnotes.de.

In Indien verbreitet sich aktuell eine Malware, die die Androidversionen von WhatsApp angreift und kritische Informationen wie Bankingdaten, Logins und Passwörter stiehlt. Sie tarnt sich dabei zumeist als Exceltabelle, kann aber auch als PDF oder Worddokument erscheinen.

Wie eine indische Tageszeitung berichtet, sind bislang vorwiegend Mitglieder von Militär und anderen Sicherheitsdiensten Ziel dieser Malware geworden. Das Personal wurde aufgefordert besondere Vorsicht im Umgang mit unbekannten  Anlagen walten zu lassen.

iOS noch nicht betroffen

Vorerst scheint es, als ob lediglich die Androidversion von WhatsApp betroffen ist. So oder so tun WhatsApp-Nutzer gut daran Anlagen aus unbekannter Quelle nicht sorglos zu öffnen.

Der Beitrag Indische WhatsApp-Malware stiehlt Daten von Smartphones erschien zuerst auf Macnotes.de.

Eine spezifisch manipulierte vCard kann iMessage respektive die Nachrichten-App des iOS-Geräts zum Absturz bringen. Die vCard enthält einen umfangreichen Textblock, so groß, dass bei seiner Verarbeitung die CPU überlastet werde und die App einfriert, erklärte ihr Erfinder, der französische Blogger @vincedes3.

Die Kontaktkarte muss vom Opfer allerdings angeklickt werden, damit die Wirkung einsetzt. Diese ist indes verheerend.

Neustart hilft nicht

Weder ein Neustart der Nachrichten-App, noch ein Geräteneustart beheben das Problem, so @vincedes3, da Nachrichten die zuletzt geladene Nachricht erneut laden wolle, was dann erneut den Absturz auslöse. Der Blogger, den als Sicherheitsforscher zu bezeichnen wahrscheinlich seriösen Sicherheitsexperten die Schamesröte ins Gesicht treibt, stellt einen „Magischen Link“ zum Beheben des Problems bereit, gemeinsam mit der hinterhältigen vCard. Bei einigen iPads soll das indes nicht funktionieren. Der lapidare Kommentar von @vincedes3: Da kann ich nichts machen. Wann und ob Apple auf die Schwachstelle in Nachrichten reagiert, bleibt ungewiss. Scheinbar sind alle Versionen ab iOS 8 bis hin zur letzten Beta betroffen.

Der Beitrag Manipulierte vCard macht Nachrichten-App unbrauchbar erschien zuerst auf Macnotes.de.