no more cubes

Category: Security & Privacy

  • Ikea Smart Light System Flaw

    Security related ‘news’ that have Zigbee based lighting systems as the subject of their research make me feel on Groundhog Day. They show up repeatedly, and their content is about exchangeable, along with the solution. Ladies and Gentlemen, this time it’s Ikea Trådfri that Synopsys found a flaw in. The flaw exploits malformed Zigbee frames. The vendor patched the flaw in early 2022.

    Ikea Trådfri

    With just one malformed Zigbee frame, attackers could take over certain Ikea smart lightbulbs, leaving users unable to turn the lights down.

    Source: Ikea Smart Light System Flaw Lets Attackers Turn Bulbs on Full Blast

  • (ISC)² Chapter Germany Conference 2022

    Nur noch eine Woche bis zur (ISC)² Chapter Konferenz in Düsseldorf. Die Veranstaltung hat sechs hochkarätige Referenten. Die gesamte Agenda gibt es hier, es gibt noch die Möglichkeit sich per eMail anzumelden.

    Der Hinweis dazu auf der Seite des (ISC)² Chapter Germany: Chapter Conference 2022 in DUS

    (ISC)2 Logo

    Das Ziel des (ISC)² Chapter Germany e.V. ist es, das Verständnis und die Bedeutung der Informationssicherheit zu fördern.

  • Rechtschreibprüfung schickt Passwörter

    close up shot of keyboard buttons
    Photo by Miguel Á. Padriñán on Pexels.com

    Hey Security-Bubble! Habt Ihr euch auch schon mal Gedanken darüber gemacht, ob die Passwörter eurer Benutzer auch alle richtig sind? Dann gibt es gute Nachrichten für euch!

    Jedenfalls berichtet t3n, dass otto-js Research Team sich einmal den Chrome & Edge Enhanced Spellcheck angeschaut haben. Und dabei stellt sich folgendes raus:

    Sicherheitslücke: Rechtschreibprüfung schickt Passwörter an Microsoft und Google

    Artikelüberschrift

    Source: t3n

  • Jailbroken

    Corellium

    In case you were wondering. Corellium shared on twitter they’ve jailbroken iOS16 on iPhone 14 Pro.

  • Identity Authentication as a Service

    Cloud is a solution for everything. Databases, Message-Queues, Storage, Loadbalancing, everything. You’ll leverage somebody else’s Computer to run your workload, you’ll store data to help your business scale. Even Identity Authentication as a Service is a thing.

    Well, until the remote provider gets hacked. This is in particular bad if the provider offers authentication and has employee credentials.

    And it looks like Okta has fallen victim to Lapsus, a Russian Ransomware Group. At this point, this appears unconfirmed. But it will be a lot of trouble, way beyond Decembers Log4J RCE, if true.

  • Apple hits Facebook

    Facebook complains how Apple’s approach to privacy in iOS will have a substantial impact to their revenue. Following their own statement the impact will be as high as $10 billion for the current year. Facebook’s business model is widely perceived as being based on violating privacy.

    Sheryl Sandberg frowning
    Sheryl Sandberg frowning

    Apple’s privacy feature disrupts the behind-the-scenes mechanics of many mobile ads, especially those that confirm whether a purchase or download was made.

    Source: Facebook says Apple iOS privacy change will result in $10 billion revenue hit this year

  • Datenreichtum

    Datenreichtum bei Flexbooker, 3.7 Millionen Benutzer betroffen.

  • Elektronisches Bürger- und Organisationenpostfach

    Nach “DeMail” mit privaten Anbietern: Das elektronische Bürger- und Organisationenpostfach (eBO) soll ab dem 1. Januar 2022 als weiterer „sicherer Übermittlungsweg“ für elektronischen Rechtsverkehr starten.

    So wie sich mir das darstellt, setzt eBP kostenpflichtige Software kommerzieller Anbieter voraus und bedeutet mehrere hundert Euro Kosten für Unternehmen, aber auch private Teilnehmer.

    Dank fehlender Standards kann das elektronische Bürger- und Organisationspostfach mit keinerlei Netzwerkeffekten rechnen. Reichweite beim Start wird daher gleich null sein, eine schnelle Adoption ist nicht zu erwarten.

    Quelle: Wikipedia.

  • #log4J Log4Shell RCE 0-day exploit

    If you develop software in Java, you are probably affected. Log4J is a really popular package to deal with logging.

    In a nutshell, if an attacker manages to log a specific, crafted string, the library will load code from a random, remote host. Affected are all versions between 2.0 and 2.14.1.

    #log4shell

    Given how ubiquitous this library is, the impact of this vulnerability is quite severe. Learn how to patch it, why it’s bad, and more in this post.

    Source: Log4Shell: RCE 0-day exploit found in log4j2, a popular Java logging package | LunaSec

  • Datenschutz im Pixi-Format

    Datenschutz im Pixi-Format

    Was ist Datenschutz und warum ist Privatsphäre wichtig? Manchmal ist das ja Erwachsenen schon schwer zu erklären. Daher hat der Bundesbeauftragte für Datenschutz und Informationsfreiheit, Prof. Ulrich Kelber das einmal in einem leicht zu konsumierenden Format aufbereiten lassen. Die beiden Pixi-Hefte Die Daten-Füchse – Das ist privat! und Die Daten-Füchse – Was ist Datenschutz? sind für Kinder im Kindergartenalter und deren Eltern entworfen worden, aber Erwachsene und besonders Pixi-Liebhaber werden Ihre Freude mit den Heften haben. Ich jedenfalls finde das für eine großartige Idee.

    Beide Bücher können ab sofort kostenlos bestellt werden. Mit ein bisschen Glück kann man unterm Christbaum von den Daten-Füchsen lesen.

    Am 3. Dezember hat der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) zwei Kinderbücher zum Thema Datenschutz veröffentlicht .

    Aus der Mitteilung
    BfDI Pixi Buch (Quelle: BfDI)

    Source: BfDI – Kurzmeldungen – Datenschutz im Pixi-Format