Wöchentlicher C<3W Newsletter #7
by Der C3W Newsletter für IT Zeug, Datenschutz und Privatsphäre
Liebe Freund*innen und Angehörige des Wiener Chaos,
Der Newsletter für die Woche vom 24.06.2019 bis 30.06.2019.
Inhalt:
- Rückruf von Insulinpumpen mit Schwachstellen [EN]
- Neuartiger Ansatz: Phishing-Mails mit QR-Code
- Angriff auf PGP Keyserver, wieso PGP hoffnungslos Kaputt ist
- Digitalsteuer kommt mit anonymisierter IP-Speicherpflicht 2020
- Risiken für Privatsphäre durch Captive Portals im öffentlichen WLAN [EN]
- Wie das Fusion-Festival gezeigt hat, dass Freiheitsrechte verteidigt
werden können
- Exploit veröffentlicht: iMessage-Nachricht kann iPhones lahmlegen
- How to speak Silicon Valley: 53 essential tech-bro terms explained - Ein
Lexicon mit Augenzwinkern über das Internet aus Sicht des Silicon Valley
*** Rückruf von Insulinpumpen mit Schwachstellen***
--------------------------------------------------
Medtronic, der weltgrößte Hersteller von medizinischen Geräten, hat einen
Rückruf für eine Gruppe seiner Insulinpumpen zurückgerufen da es unpatchbare
Schwachstellen in ihnen gefunden wurden.
https://www.helpnetsecurity.com/2019/06/28/hackable-medtronic-insulin-pumps-
recall/ [EN]
*** Neuartiger Ansatz: Phishing-Mails mit QR-Code ***
Sicherheitsforscher sind auf eine neue Methode gestoßen, mit der Betrüger
erfolgreich Spam-Filter austricksen.
Derzeit sollen im Finanzbereich Phishing-Mails unterwegs sein, die
erfolgreich durch Spam-Filter schlüpfen. Die Betrüger sind auf der Jagd nach
Log-in-Daten von beispielsweise AOL und Microsoft.
Um Sicherheitslösungen, die Mails auf Anhänge und URLs scannen, zu umgehen,
betten die Betrüger QR-Codes in die Mails ein. Davon bekommen Mail-Scanner
offensichtlich nichts mit und derartige Nachrichten landen direkt im
Postfach von Opfern, erläutern Sicherheitsforscher von Cofense in einem
Beitrag.
https://www.heise.de/newsticker/meldung/Neuartiger-Ansatz-Phishing-Mails-mit
-QR-Code-4457948.html
*** Verschlüsselte Kommunikation: Angriff auf PGP-Keyserver demonstriert
hoffnungslose Situation ***
--------------------------------------------------
Mit einem gezielten Angriff auf zwei PGP-Schlüssel demonstrieren Unbekannte,
dass ein zentraler Teil der PGP-Infrastruktur wahrscheinlich unrettbar
kaputt ist. - Keyserver sind das Fundament der PGP-Infrastruktur. Über sie
bekommt man die notwendigen Schlüssel, um mit Dritten verschlüsselt zu
kommunizieren oder deren digitale Unterschriften zu prüfen, wenn man keinen
direkten Draht zum Schlüsselbesitzer hat. Doch das von PGP-Enthusiasten
betriebene SKS-Keyserver-Netz erlebt derzeit einen Angriff, der seinen
weiteren Betrieb sehr grundsätzlich in Frage stellt.
--------------------------------------------------
https://www.heise.de/newsticker/meldung/Neuartiger-Ansatz-Phishing-Mails-mit
-QR-Code-4457948.html
*** Risiken für Privatsphäre durch Captive Portals im öffentlichen WLAN
[EN]***
Open access WiFi hotspots are widely deployed in many public places,
including restaurants, parks, coffee shops, shopping malls, trains,
airports, hotels, and libraries. While these hotspots provide an attractive
option to stay connected, they may also track user activities and share
user/device information with third-parties, through the use of trackers in
their captive portal and landing websites. In this paper, we present a
comprehensive privacy analysis of 67 unique public WiFi hotspots located in
Montreal, Canada, and shed some light on the web tracking and data
collection behaviors of these hotspots. Our study reveals the collection of
a significant amount of privacy-sensitive personal data through the use of
social login (e.g., Facebook and Google) and registration forms, and many
instances of tracking activities, sometimes even before the user accepts the
hotspot's privacy and terms of service policies. Most hotspots use
persistent third-party tracking cookies within their captive portal site;
these cookies can be used to follow the user's browsing behavior long after
the user leaves the hotspots, e.g., up to 20 years. Additionally, several
hotspots explicitly share (sometimes via HTTP) the collected personal and
unique device information with many third-party tracking domains.
https://arxiv.org/abs/1907.02142
*** Das Fusion-Festival hat gezeigt, dass Freiheitsrechte verteidigt werden
können***
--------------------------------------------------
Ausgerechnet einem Kulturfestival in Mecklenburg-Vorpommern gelingt es, die
bislang größte Schlacht des Jahres gegen Überwachung zu gewinnen. Wie konnte
das passieren und was können wir daraus lernen? Ein Kommentar auf
Netzpolitik.org
--------------------------------------------------
https://netzpolitik.org/2019/das-fusion-festival-hat-gezeigt-dass-freiheitsr
echte-verteidigt-werden-koennen
*** Exploit veröffentlicht: iMessage-Nachricht kann iPhones lahmlegen ***
--------------------------------------------------
Per Textnachricht lassen sich iPhones und iPads so außer Gefecht setzen,
dass nur eine Wiederherstellung hilft. In iOS 12.3 ist der Bug gefixt. - Der
Empfang einer manipulierten iMessage kann iPhones und iPads vorübergehend
unbrauchbar machen, wenn auf diesen noch nicht iOS 12.3 installiert ist: Ein
Fehler in Apples Nachrichten-App führt dazu, dass der unter anderem für den
Homescreen verantwortliche iOS-Prozess Springboard in eine Absturzschleife
gerät, wie die für Googles Project Zero tätige Sicherheitsforscherin Natalie
Silvanovich erklärt.
--------------------------------------------------
https://www.heise.de/mac-and-i/meldung/Exploit-veroeffentlicht-iMessage-Nach
richt-kann-iPhones-lahmlegen-4463481.html
*** How to speak Silicon Valley: 53 essential tech-bro terms explained - Ein
Lexicon mit Augenzwinkern über das Internet aus Sicht des Silicon Valley
***
--------------------------------------------------
Großartiges Lexicon mit schmankerl wie "cloud, the (n) Servers. A way to
keep more of your data off your computer and in the hands of big tech, where
it can be monetized in ways you dont understand but may have agreed to when
you clicked on the Terms of Service. Usually located in a city or town whose
elected officials exchanged tens of millions of dollars in tax breaks for
seven full-time security guard jobs." <3 guardian
--------------------------------------------------
https://www.theguardian.com/us-news/2019/jun/26/how-to-speak-silicon-valley-
decoding-tech-bros-from-microdosing-to-privacy
LG,
SaltySolomon