Schlagwort Archiv: android

Unvermeidbar: WhatsApp teilt Telefonnummer mit Facebook

Wer nicht explizit die neuen Richtlinien von WhatsApp ablehnt, der teilt unabsichtlich seine Telefonnummer und den Zeitpunkt wann man zuletzt online war mit Facebook. Unten beschreibe ich, wie man verhindern kann, dass Facebook die Telefonnummer kommerziell nutzt! Ganz kann man das Teilen jedoch nicht abschalten.

… werden wir einige deiner Account-Informationen, wie die Telefonnummer […] und die Zeit, wann du das letzte Mal unsere Dienste verwendet hast, mit Facebook und der Facebook-Unternehmensgruppe teilen.WhatsApp FAQ

Facebook wird nach dem teilen der Telefonnummer diese für Werbezwecke nutzen, indem die Nummer mit Firmen in Verbindung gebracht wird. Weiß Facebook also, dass man des öfteren bei einem Lieferdienst Pizza bestellt, kann es passieren, dass vermehrt Pizza-Werbung dieser speziellen Firma auftaucht.

WhatsApp hatte noch nie wirklich gute Datenschutzbestimmungen und das wird sich wohl auch sobald nicht ändern, doch ist die Entwicklung sehr interessant: WhatsApp released → Ziemlich cooler Messenger! WhatsApp wird von Facebook übernommen → hmm, nicht so geil. WhatsApp führt Ende-zu-Ende Verschlüsselung ein → Ziemlich nice. WhatsApp teilt Telefonnummer mit Facebook → Och nöö, son Dreck 🙁

Kann ich verhindern, dass WhatsApp meine Telefonnummer weitergibt?

(mehr …)

WhatsApp: Endlich ganze Sachen mit Ende-zu-Ende Verschlüsslung

WhatsApp verschlüsselt nun alles

WhatsApp verschlüsselt nun alle Nachrichten, Telefonate und Anhänge per Ende-zu-Ende Verschlüsselung.

Wer bisher über WhatsApp Nachrichten verschickt hat, der konnte nie wirklich sicher sein, dass sie auch per Ende-zu-Ende Verschlüsselung gesichert waren. Zwar wird schon seit geraumer Zeit verschlüsselt, jedoch nur bei Android und auch nur bei bestimmten Versionen (zu alte Clients verschlüsselten nicht). Auch gab es bisher keine Anzeige, die eine vorhandene Ende-zu-Ende Verschlüsselung gekennzeichnet hätte.

Das hat sich nun geändert: WhatsApp verschlüsselt nach eigenen Aussagen alles mit einer Ende-zu-Ende Verschlüsselung, sodass FBI, NSA und auch WhatsApp selbst die Nachrichten nicht mehr lesen können. Unterstützt wird das aber erst ab Version 2.16.9, also alle schnell updaten.

WhatsApp benutzt Elliptische Kurven und AES256

Hauptsächlich zum Einsatz kommt die Elliptische Kurve Curve25519, der Verschlüsselungsalgorithmus AES256 und die Hash-Funktion SHA-256. Der AES-Algorithmus erledigt die Hauptarbeit beim verschlüsseln, denn Nachrichten und Anhänge werden darüber Abgewickelt. Dabei gibt es eine Vielzahl von Mechanismen zum absichern der Verschlüsselung.

Für jede Nachricht wird über die Curve25519 ein neuer Message Key generiert, der diese dann verschlüsselt. Der Message Key ändert sich zudem bei jeder Nachricht, sodass ein Angreifer mit einem gecrackten Key auch nur eine Nachricht entschlüsseln kann und nicht die gesamte Konversation.

Auch Gruppennachrichten, Anhänge (Bilder, Videos, Sprachnachrichten, etc.), sowie Telefonate werden ebenfalls Ende-zu-Ende verschlüsselt. Zudem wird der Nutzer durch ein Icon davon in Kenntnis gesetzt, dass die Verschlüsselung aktiv ist. Ist das Icon nicht da, so ist die Verbindung unverschlüsselt.

Teilweise Open Source

(mehr …)

Softwarepatente: Die „Microsoft liebt Linux“ Propaganda

Microsoft näher sich der OpenSource Welt an.

Auch wenn Microsoft sich der OpenSource Welt annähert, so sollte man sich doch Gedanken über die Gründe machen …

Die Debatte um Softwarepatente nimmer erneut Fahrt auf und der Satz „Microsoft liebt Linux“, der in letzter Zeit immer häufiger vorkommt, rückt dadurch in ein anderes Licht.
Dennoch ist die „Microsoft liebt Linux“ Propaganda sowohl in Linux-/GNU-/OpenSource-Communities, als auch bei Windows-Nutzern/-Entwicklern sehr beliebt. Dabei dreht es sich darum, dass Microsoft Software für und mit Linux und deren Community entwickelt und Erfahrungen tauscht.
Das klingt alles nach einer heilen Welt, doch die Wirklichkeit sieht anders aus.

Warum Softwarepatente schlecht sind

Patente im Allgemeinen sind Schutzrechte, die die alleinige Nutzung von Erfindungen ermöglichen. Durch die Anmeldung eines Patentes wird es einem Unternehmen ermöglicht Gewinn mit der Erfindung oder dem Verfahren zu machen. Anderen wird die Nutzung untersagt.

Klingt erst mal gut und richtig, die Idee an sich hat auch keinen großen Haken, doch bei Software sieht das ganze etwas anders aus.

(mehr …)

Alle Android Geräte von Stagefright betroffen … erneut

In Androids Stagefright Mediensystem befinden sich zwei Sicherheitslücken.

Erneut kamen zwei schwerwiegende Sicherheitslücken in Androids Mediensystem Stagefright zum Vorschein.

Wie ich bereits ziemlich genau vor zwei Monaten berichtet habe, wurde Android von der Sicherheitslücke im Mediensystem Stagefright geplagt. Dies hat sich diesen Monat wiederholt denn schon wieder ist Stagefright von Sicherheitslücken betroffen – und dabei haben die meisten Geräte zusätzlich noch die alten Lücken.

Theoretisch sind alle Geräte, die ab 2008 (Android 1.0 Release) gekauft wurden betroffen. Praktisch sind jedoch einige Android Geräte durch vorherige Updates der Hersteller abgesichert.

Lücke in Stagefright und libutils

Wieder handelt es sich um Lücken im Mediensystem Stagefright und wieder kann man durch veränderte MP3 / MP4 Dateien Code auf dem Smartphone ausführen (sog. Remote-Code-Execution).

Die zwei gefundenen Lücken liegen in den Bibliotheken libutils und libstagefright von Android. Obwohl die Lücken an unterschiedlichen Stellen sind, können sie mit dem selben Trick benutzt werden und ermöglichen auch beide eine RCE (Remote-Code-Execution).

Durch das angucken an sich wird die Lücke nicht ausgenutzt, gefährlich ist jedoch die Verarbeitung der Metadaten (z.B. Datum, Größe, Auflösung, Länge, etc.) vor dem abspielen der Datei. Diese findet in eben den Bibliotheken libstagefright, bzw. libutils statt.

Wer ist betroffen?

(mehr …)

Sicherheitslücken plagen Android

In Android wurden schwere Sicherheitslücken entdeckt.

In den Letzten Tagen kamen einige schwerwiegende Sicherheitslücken in Android zum Vorschein.

In den letzten Tagen kam es vermehrt zu Sicherheitslücken in Android-Systemen, wie etwa die Stagefright-Lücke und die aktuelle Lücke im Media-System von Android.

Stagefright

Eine Lücke in der Android „media playback engine“ namens Stagefright ist eine Sicherheitslücke der besonderen Art, denn mit ihr ist es möglich Code per MMS auf Smartphones zu übertragen. Sobald man die MMS bekommt (man muss diese nicht einmal lesen!), wird der darin enthaltene Code ausgeführt.

Mit MP4-Video Android hacken

Klingt ähnlich kurios wie der Windows-Hack über eine Scrollbar, doch dank einer Lücke im Media-System von Android kann man den Player für MP4-Videos zum Absturz bringen. Genauer gesagt wird ein Heap-Overflow (also ein Überlauf des Zwischenspeichers für Programme) ausgelöst, was zur folge hat, dass Code aus den MP4-Dateien ausgeführt werden kann.

Es ist also nicht nur das Problem, dass man Android abstürzen lassen kann, sondern dies ist eine „Remote Code Execution“, also eine Ausführung fremdes Codes, was die schwerste Art von Sicherheitslücke ist. Damit ist dies eine sehr gefährliche Lücke und sollte nicht unterschätzt werden, da überall im Internet MP4-Dateien verwendet werden.

Wer ist betroffen?

Beide Lücken befinden sich im Mediasystem und bieten eine Remote Code Execution und sollten daher nicht unterschätzt werden!

Die Stagefright-Lücke klafft auf ca. 95% aller Android Smartphones, sprich alle Geräte mit Android 2.2 oder neuer.
Die MP4-Lücke befindet sich „nur“ auf Android 4.0.1 bis 5.1.1, was „nur“ 94% aller Geräte ausmacht – Puh!

Wie kann man sich schützen?

Es liegt nun an den Herstellern Updates zu liefern, was hoffentlich bald geschieht. Google wurde schon im Mai informiert und hat Ende Juli bereits nachgebessert.

Bis die Geräte-Hersteller die Updates verteilen sollte man sein Gehirn benutzen und nicht unnötig seine Telefonnummer preis geben oder sinnlos irgendwelche Videos auf dubiosen Websites abgucken.