blog.wlami.com

Virtuelles Zuhause von Wladislaw Mitzel

BEAST: Hacker stellen Angriff auf TLS 1.0 vor – SSL nicht mehr sicher

Falls ihr es schon schlimm fandet, dass Diginotar auf ganzer Linie versagt hat, sodass Zertifikate für google.com und weitere Seiten ausgestellt wurden, solltet ihr euch jetzt lieber setzen. Denn es wird heftig! Während es sich beim ersten Fall nur um kompromittierte  Zertifikate handelt, ist nun ein Angriff auf das Protokoll TLS 1.0 vorgestellt worden.

Zahlreiche Android-Geräte sowie Computer auf der DEFCON19 angegriffen und mit Malware infiziert

Wie gerade auf der Full Disclosure Mailingliste diskutiert wird, fand auf der Hacker-Konferenz DEFCON19 ein groß angelegter Hackerangriff auf die Teilnehmer statt. Zwar mag man denken, dass bei der schieren Menge an Sicherheitsexperten bei dieser Konferenz die möglichen Angriffsvektoren sehr begrenzt waren. Trotzdem berichtet “coderman” von einer sehr hohen Erfolgsrate. Er beschreibt den Angriff folgendermaßen:

Passwörter der E-Mail App werden unter Android als Klartext in SQLite gespeichert

Das hört sich zunächst einmal kritisch an. Passwörter in Klartext abzulegen klingt nicht nur unsicher, sondern kann auch kritisch sein, sofern man nicht den Zugriff auf die Datei beschränkt, die das Passwort enthält. Im Android Issue-Tracker wird gerade diskutiert, inwiefern es sich bei diesem Vorgehen wirklich um ein Sicherheitsproblem handelt. Im Folgenden möchte ich einige Interessante Ansichten aufgreifen und kommentieren.