Thema: Computer

Software, Hardware & Hacks

Installation von Banking4 anfällig für „DLL-Hijacking“

Unter dem Begriff „DLL-Hijacking“ bezeichnet man eine Sicherheitslücke, bei der Angreifer Programme dazu bekommen können, statt der korrekten DLLs eigene Versionen mit Schadcode zu laden und auszuführen. Siehe dazu auch https://de.wikipedia.org/wiki/DLL_Hijacking und https://skanthak.homepage.t-online.de/sentinel.html.

Die Windows-Version von Banking4 der Firma Subsembly ist leider auch für diese Lücke anfällig. Der Grund dafür ist, dass die Installation nicht als MSI-Paket angeboten wird, sondern als ausführbares Programm TopBanking4Setup.exe, siehe auch https://subsembly.com/buybanking4.html. Das Problem: dieses Programm fordert administrative Rechte für die Installation an und lädt dann unter anderem auch die DLL cabinet.dll.

Weiterlesen

Warum ich WhatsApp nicht nutze

Kürzlich war bei heise.de (https://heise.de/-4421379) folgende Meldung zu lesen:

WhatsApp leidet an einer Sicherheitslücke (CVE-2019-3568), die Unbefugten Fernzugriff auf das jeweilige Gerät erlaubt. Der Angreifer kann die Spyware einfach durch einen WhatsApp-Anruf in das jeweilige Gerät einschleusen, selbst wenn der Angerufene gar nicht abhebt. Seit Montagabend gibt es einen Patch.

Außerdem gab es schon letztes Jahr Berichte darüber, dass WhatsApp Nachrichten scannen wird, um personalisierte Werbung zu zeigen, was mittlerweile wohl auch der Fall ist:

WhatsApp will Werbung schalten und Verschlüsselung schwächen (Perspektive online)

Werbung bei WhatsApp: Jetzt wird Geld verdient! (heise)

Diese und etliche andere Ereignisse dieser Art (ich erinnere da auch an den „Cambridge Analytica“-Skandal bei Facebook) habe mich bisher davon abgehalten, WhatsApp auf irgendeinem meiner Geräte zu installieren und zu nutzen und ich werde das auch künftig nicht tun.

Wer WhatsApp verwendet, sollte sich darüber im Klaren sein, dass man potentiell angreifbar ist. Einerseits ist der Quellcode von WhatsApp nicht offengelegt, so dass niemand weiß, welche möglichen Hintertüren und Sicherheitslücken dort existieren, andererseits ist WhatsApp durch die riesige Zahl der Nutzer auch ein attraktives Ziel für Angriffe.

Alternative zu WhatsApp

Als Alternative kann ich „Signal“ empfehlen. Das ist ein freier Messenger, dessen Quellen auch offengelegt sind und der auch von Sicherheitsexperten empfohlen wird. Auch Edward Snowden nutzt und empfielt diese App. Wie bei WhatsApp genügt auch hier die Mobilnummer zur Anmeldung und zur Kontaktaufnahme mit anderen Personen, wobei der Betreiber von Signal keinen Zugriff auf diese Daten hat und ebenso alle Nachrichten verschlüsselt sind und nur von den Beteiligten Personen gelesen werden können.

Weiterlesen

Probleme bei Firefox und eine Lösung

Seit dem 4. Mai 2019 hat Firefox ein Problem mit AddOns: ein Zertifikat, mit dem AddOns signiert sein müssen, damit diese ausgeführt werden, ist abgelaufen. Das führt dazu, dass viele AddOns in Firefox deaktiviert wurden, wie etwa uBlock Origin.

Das Update auf Version 66.0.4 hat dieses Problem behoben. Für die Android-Version ist derzeit aber noch kein Update angekündigt.

Als Workaround hat Mozilla einen Hotfix als „Studie“ für Firefox bereitgestellt. Siehe dazu auch den Beitrag von Mozilla. Das funktioniert allerdings nicht, wenn man „Studien“ in about:preferences#privacy abgeschaltet hat. Ebenso hilft das nicht für die Android-Version, in der es „Studien“ gar nicht gibt. Man kann den Hotfox aber auch direkt installieren über folgendes Paket:

hotfix-update-xpi-intermediate@mozilla.com-1.0.2-signed.xpi

Quellen: Deskmodder, WinFuture

Update 2019-05-09: Mittlerweile hat Mozilla ein auch einen eigenen Beitrag  zu diesem Thema veröffentlicht: https://hacks.mozilla.org/2019/05/technical-details-on-the-recent-firefox-add-on-outage/

Warum DAVDroid in DAVx5 umbenannt wurde

Für die Synchronisation von Adressbüchern und Kalendern auf meinem Android-Smartphone nutze ich schon lange DAVDroid, was Open Source und auch bei F-Droid zu finden ist. Allerdings heißt DAVDroid jetzt DAVx5 – warum?

Die Gründe erfährt man in diesem Tweet – die Nutzung von „droid“ als Teil eines Namens verletzt ein Markenrecht von Lucasfilm. Siehe dazu auch diesen ausführlichen Artikel bei Priceonomics (in Englisch). Der Anbieter von DAVDroid hat sich daher entschlossen, den Namen in „DAVxxxxx“ zu ändern, und „xxxxx“ durch „x5“ zu ersetzen – auch wenn die offizielle Erklärung dazu etwas augenzwinkernd etwas anderes behauptet ;-).

Schneller Internetzugang

Ab sofort habe ich einen VDSL100-Internetzugang der nominell 100 MBit/s in Empfangsrichtung und 40 MBit/s in Senderichtung zur Verfügung stellt (vorher: 50 und 10 MBit/s).

Auch wenn die real erreichbaren Geschwindigkeiten etwas darunter liegen, ist der Upload von Daten immer noch mehr als drei Mal so schnell :-).

Technik für Helikoptereltern

Das Thema „SmartHome“ treibt mitunter seltsame Blüten. Es gibt Sensoren, mit denen man erkennen kann, ob ein Fenster oder eine Tür geöffnet werden. Gedacht ist das z.B. für Alarmanlagen. Die Firma Telekom hat sich noch eine weitere Funktion dafür ausgedacht: Helikoptereltern können sich per Nachricht auf ihr Smartphone informieren lassen, wenn ein Schrank in der Küche geöffnet wird, in dem sich die Putzmittel befinden.

https://www.telekom.de/zuhause/smarthome/funktionen/kindersicherheit

Ich frage mich, wie wir in den 1970ern aufwachsen konnten mit dem ständigen Risiko einer Putzmittelvergiftung. Und ist es nicht sehr störend, wenn man eine Nachricht auf dem Smartphone bekommt, nur weil man einen Schrank öffnet? Die Technik kann ja nicht unterscheiden, wer die Tür geöffnet hat.

Weiterlesen

BBC Computer Literacy Project

In den 1980er Jahren hat die BBC die Welt der Computer im Rahmen der nationalen Initiative „The Computer Literacy Project“ erkundet und über fast ein Jahrzehnt zahlreiche Sendungen dazu produziert.

Dieses Material ist nun als Archiv verfügbar, in dem man alle alten Sendungen noch einmal ansehen kann. Auch die damals entwickelten Programme für den „BBC Micro“ kann man in einem Emulator direkt im Browser ausführen:

https://computer-literacy-project.pilots.bbcconnectedstudio.co.uk/