Schlagwort Archiv: Google

[curi0sity] > Google

Die Sicherheit von Go (aka golang)

7. Januar 2016 0 Kommentare

Wie sicher ist Go?

Go ist eine sehr schöne Sprache, doch wie sicher ist sie für z.B. Web-Anwendungen?
Hier das Maskottchen von Go, der Gopher.

Go (oder auch golang) ist eine seit 2009 entwickelte und seit 2012 als stabil verfügbare Programmiersprache. Sie ist natürlich open-source und wird von einem kleinen Google Team betreut, wobei sich mehr und mehr eine Community bildet.
Die Sprache selbst ist eine imperative und objektorientierte Sprache, welche das Prinzip der Nebenläufigkeit direkt und unkompliziert zur Verfügung stellt. Sie wurde entwickelt, da Robert Griesemer, Rob Pike und Ken Thompson (die Initiatoren des Projektes) bisher vorhandene Sprachen für die Entwicklung von u.A. Cluster- oder Cloud-Computing Software für ungeeignet erachten. Golang soll dort einiges besser und einfacher machen.

Und jetzt?

Klingt ja erst mal ziemlich nice, dass eine Sprache Nebenläufigkeit einfach so out-of-the-box mitbringt. Auch, dass es eine sehr performante open-source Sprache ist (nicht nur wegen der Nebenläufigkeit), spricht nicht gerade gegen Go.

Doch wie sieht es da bezüglich der Nebenläufigkeit und dem bevorzugten Einsatzgebiet der Web basierten Software eigentlich in Hinsicht auf die IT-Sicherheit aus?

Eine enzige Bekannte Sicherheitslücke

(mehr …)

Sicherheit, Sicherheitslücken

, , , , , ,

Das Image der Ende-zu-Ende Verschlüsselung

28. November 2015 0 Kommentare

Eine vernünftige Ende-zu-Ende-Verschlüsselung ist bei vielen Dienstleistern noch die Ausnahme.

Eine vernünftige Ende-zu-Ende-Verschlüsselung ist bei vielen Dienstleistern noch die Ausnahme.

Schon oft habe ich über das Thema Verschlüsselung und vor allem Ende-zu-Ende Verschlüsselung geschrieben. Dabei geht es nicht nur um die Mail-Verschlüsselung oder um das chatten mit IMs, sondern um generellen Datentransfer über das Internet. Wie ebenfalls oft berichtet ist dabei vielen Unternehmen die Verschlüsselung nicht wichtig oder greift ihre Ideale und Konzepte an.

Anstatt also offen an das Thema Ende-zu-Ende Verschlüsselung heran zu gehen wird an vielen Stellen das Image „Mailverschlüsselung ist tierisch kompliziert“ weiter geschürt.

Google + Ende-zu-Ende Verschlüsselung = Pleite?

Klingt irgendwie seltsam, ist aber so.
Aber wenn man mal nachdenkt: Womit verdient Google hauptsächlich Geld? Richtig, mit personalisierter Werbung aus den Daten der Nutzer von Google-Diensten (ca. 90% der Einnahmen stammen von personalisierter Werbung).

Wenn Google also vernünftig verschlüsseln würde, wären die Inhalte von Nachrichten und somit die Daten der Nutzer nicht mehr lesbar. Google könnte also keine personalisierte Werbung mehr schalten und würde deutlich weniger Profit machen. Das ist einer der Gründe, warum bei Hangouts und vielen weiteren Diensten keine Ende-zu-Ende Verschlüsselung vorliegt.

Ganz ähnlich geht es bei vielen anderen Dienstleistern zu, die Ihren Gewinn mit Nutzerdaten machen (z.B. Facebook, Microsoft mit Windows 10 und anderen Diensten, Twitter, Instagram, etc.).

Allgemein kann man sich ruhig öfters mal fragen: Warum kann ich Facebook eigentlich kostenlos nutzen? Warum kann ich kostenlos einfach so Bilder bei Instagram hochladen? Warum kann ich kostenlos einfach so die komplette Erde in HD Qualität und teilweiser 3D Ansicht mit Routenplanung und HD Straßenansichten begutachten?????

Keine technischen Hürden

(mehr …)

Sicherheit

, , , , , , , , , ,

Alle Android Geräte von Stagefright betroffen … erneut

2. Oktober 2015 1 Kommentar

In Androids Stagefright Mediensystem befinden sich zwei Sicherheitslücken.

Erneut kamen zwei schwerwiegende Sicherheitslücken in Androids Mediensystem Stagefright zum Vorschein.

Wie ich bereits ziemlich genau vor zwei Monaten berichtet habe, wurde Android von der Sicherheitslücke im Mediensystem Stagefright geplagt. Dies hat sich diesen Monat wiederholt denn schon wieder ist Stagefright von Sicherheitslücken betroffen – und dabei haben die meisten Geräte zusätzlich noch die alten Lücken.

Theoretisch sind alle Geräte, die ab 2008 (Android 1.0 Release) gekauft wurden betroffen. Praktisch sind jedoch einige Android Geräte durch vorherige Updates der Hersteller abgesichert.

Lücke in Stagefright und libutils

Wieder handelt es sich um Lücken im Mediensystem Stagefright und wieder kann man durch veränderte MP3 / MP4 Dateien Code auf dem Smartphone ausführen (sog. Remote-Code-Execution).

Die zwei gefundenen Lücken liegen in den Bibliotheken libutils und libstagefright von Android. Obwohl die Lücken an unterschiedlichen Stellen sind, können sie mit dem selben Trick benutzt werden und ermöglichen auch beide eine RCE (Remote-Code-Execution).

Durch das angucken an sich wird die Lücke nicht ausgenutzt, gefährlich ist jedoch die Verarbeitung der Metadaten (z.B. Datum, Größe, Auflösung, Länge, etc.) vor dem abspielen der Datei. Diese findet in eben den Bibliotheken libstagefright, bzw. libutils statt.

Wer ist betroffen?

(mehr …)

Mobiles Internet, Sicherheit, Sicherheitslücken

, , , , , ,

Sicherheitslücken plagen Android

3. August 2015 1 Kommentar

In Android wurden schwere Sicherheitslücken entdeckt.

In den Letzten Tagen kamen einige schwerwiegende Sicherheitslücken in Android zum Vorschein.

In den letzten Tagen kam es vermehrt zu Sicherheitslücken in Android-Systemen, wie etwa die Stagefright-Lücke und die aktuelle Lücke im Media-System von Android.

Stagefright

Eine Lücke in der Android „media playback engine“ namens Stagefright ist eine Sicherheitslücke der besonderen Art, denn mit ihr ist es möglich Code per MMS auf Smartphones zu übertragen. Sobald man die MMS bekommt (man muss diese nicht einmal lesen!), wird der darin enthaltene Code ausgeführt.

Mit MP4-Video Android hacken

Klingt ähnlich kurios wie der Windows-Hack über eine Scrollbar, doch dank einer Lücke im Media-System von Android kann man den Player für MP4-Videos zum Absturz bringen. Genauer gesagt wird ein Heap-Overflow (also ein Überlauf des Zwischenspeichers für Programme) ausgelöst, was zur folge hat, dass Code aus den MP4-Dateien ausgeführt werden kann.

Es ist also nicht nur das Problem, dass man Android abstürzen lassen kann, sondern dies ist eine „Remote Code Execution“, also eine Ausführung fremdes Codes, was die schwerste Art von Sicherheitslücke ist. Damit ist dies eine sehr gefährliche Lücke und sollte nicht unterschätzt werden, da überall im Internet MP4-Dateien verwendet werden.

Wer ist betroffen?

Beide Lücken befinden sich im Mediasystem und bieten eine Remote Code Execution und sollten daher nicht unterschätzt werden!

Die Stagefright-Lücke klafft auf ca. 95% aller Android Smartphones, sprich alle Geräte mit Android 2.2 oder neuer.
Die MP4-Lücke befindet sich „nur“ auf Android 4.0.1 bis 5.1.1, was „nur“ 94% aller Geräte ausmacht – Puh!

Wie kann man sich schützen?

Es liegt nun an den Herstellern Updates zu liefern, was hoffentlich bald geschieht. Google wurde schon im Mai informiert und hat Ende Juli bereits nachgebessert.

Bis die Geräte-Hersteller die Updates verteilen sollte man sein Gehirn benutzen und nicht unnötig seine Telefonnummer preis geben oder sinnlos irgendwelche Videos auf dubiosen Websites abgucken.

Mobiles Internet, Sicherheitslücken

, , , ,

Android hack: So schwerwiegend kann ein Hackerangriff sein

16. März 2015 0 Kommentare

Hackerangriffe auf Android können sehr gefähtlich sein.

Wie hundsgefährlich ein Android hack ist, zeigt Sophos Mitarbeiter James Lyne.

Auf dem MWC 2015 (Mobile World Congress 2015) hat der Sophos Mitarbeiter James Lyne gezeigt, wie verheerend ein Android hack über eine infizierte Website sein kann.

Bei dem Live Auftritt durfte eine nette Dame aus dem Publikum eine Website öffnen, die mit schadhaftem Code infiziert wurde. Danach konnte Lyne auf alle Funktionen des Gerätes (in diesem Fall ein 4.2.x Android Tablet) zugreifen.

Zugriff auf die SD-Karte, Kamera und Mikrofon

Allein durch den Schadcode konnte Lyne auf die SD-Karte zugreifen und so alle Dateien erreichen, die Kamera steuern um unbemerkt Bilder auf zu nehmen und das Mikrofon einschalten und damit Aufnahmen der Umgebung machen. Dabei könne man neben Fotos auch eine Art Live-Stream des Video-Signals machen und so etwa Filmen wie jemand z.B. durch die Stadt läuft während das Handy in Händen gehalten wird.

Mobile-Devices: Das Paradies für Hacker

(mehr …)

Mobiles Internet, Sicherheitslücken

, , , , , , , ,