Ändräut-security-großalarm des jahres

Benutzt hier jemand ein wischofon mit ändräut?

Zwei App-Rechte des Android-Betriebssystems lassen sich missbrauchen, um einen universellen Keylogger zu bauen, der alles mitliest, was der Benutzer des Gerätes in die Tastatur tippt. Außerdem kann ein Angreifer sie dazu nutzen, einer bösartigen App unbeschränkte App-Rechte zu verschaffen

„Ist aber nicht weiter schlimm, weil man doch die rechte einer äpp bei der installazjon abnicken muss, da kann man ja erstmal drauf achten“, denkt da vielleicht der eine oder andere… doch, es ist so schlimm:

Da alle aus dem Play Store installierten Apps routinemäßig diese Berechtigung haben, muss der Nutzer sie nicht explizit abnicken

Denn jede äpp braucht ja die rechte, einen unsichtbaren layer über die oberfläche legen zu können. Wozu? Ach, geht einfach weiter, hier gibts nichts zu sehen! Aber immerhin, guhgell tut ja was dagegen:

Google verhindert nun allerdings, dass Apps, die sie ausnutzen, in den Play Store geladen werden

Ob es wohl einen halbwegs effizjenten test gibt, um das ausnutzen eines exploits aus dem bytekohd rauszukriegen und von einer legitimen nutzungsform zu unterscheiden? Sind ja nur ein paar hunderttausend äpps in der großen müllhalde des pläjhstohr. Und die „kreativität“ von kriminellen kann erheblich sein, wenn es darum geht, an so einer kontrolle vorbeizukommen. Denn die kriminellen leben davon.

Na ja, guhgell tut ja sonst so irre viel für die kompjutersicherheit. Zum beispiel, wenn guhgell einen exploit in anderen betrübssystemen oder anwendungen findet. Dann muss der binnen neunzig tagen gefixt werden, denn dann kommt es zur veröffentlichung. Gnadenlos. Da wird „don’t be evil“ doch sicherlich selbst auch genau so schnell ausbeutbare schwächen in seinem eigenen scheißsystem fixen, oder?

Da diese Probleme inhärent Teil des Berechtigungssystems von Android sind, kann Google sie nicht ohne weiteres beheben – obwohl die Firma bereits im August 2016 von den Forschern über die Lücken informiert wurde […] Mit der nächsten Hauptversion von Android (Android O) will man solche Angriffe dann gänzlich verhindern

Aber nein doch, für die ändräut-gutsherren von guhgell gelten da ganz andere maßstäbe. Da wird eine offene, ausbeutbare sicherheitslücke einfach eine kleine ewigkeit lang vom august des letzten jahres bis zur veröffentlichung der näxten ändräut-hauptversjon vorsätzlich und jeden anwender in gefahr bringend offen gehalten. Und unterdessen erzählen euch die leute, dass ihr mit euren scheißwischofonen eure fernkontoführung¹ machen und überall bezahlen sollt, ist ja alles voll sicher, da kann ja gar nix passieren. Und ihr glaubt denen auch noch. Hej, und denkt immer dran, dass ihr immer überall schön sichere passwörter verwendet, euch dann aber mit eurem möglicherweise für euch völlig unentdeckbar von einer trojanischen äpp gepwnten scheißwischofon anmeldet! Eine trojanische äpp, wohlgemerkt, die keine besonderen privilegjen braucht, um einen keylogger zu implementieren. Weia, was für eine riesengroße scheiße! Wie fühlt sich das an, wenn man ein betrübssystem von guhgell hat und von guhgell mit so einem planetensystemweit offenen scheuentor einfach im stich gelassen wird? Mit meikrosoft wäre das jedenfalls nicht passiert, die fixen bei ganz großen scheunentoren sogar noch ihr obsoletes windohs XP… :mrgreen:

Auch weiterhin viel spaß mit euren wischofonen, die die security-blauäugigkeit der neunziger jahre mit der technisch kompententen kriminalität der zehner jahre kombinieren! Ob euer jetzt benutztes wischofon jemals eine aktualisierung des betrübssystemes sehen wird? Fragt doch mal euren wischofon-hersteller, der euch viel lieber neue wischofone verkaufen möchte! Und dann kauft einfach ein neues! Ihr habt das geld ja, und gut für die wirtschaft ist es auch. Vielleicht kann man das neue wischofon sogar mal ein halbes jahr lang benutzen, ohne dass man dadurch zum verantwortungslosen vollidjoten wird. Und dann kommt die nächste katastrofenmeldung… 😦

Nachtrag: wie man guhgells skänn im pläjhstohr umgeht? Das ist nicht schwierig, sondern könnte ähnlich wie bei den werbebanner-klickbetrugs-trojanern gemacht werden.

Google verwendet zwar für seinen Play Store eine Technik namens Bouncer, um solche Adware aus dem Shop fern zu halten. Doch die Kiniwini-Software lädt die Malware-Funktionen offenbar erst nach, wenn die jeweilige App bereits installiert ist und sich abseits des Goolge-Shops bei ihrem Hersteller registriert hat

Wenn man aber als schadsoftwäjhr-progger überhaupt keinen internetz-zugriff machen will, dann gibts halt ein paar mitgelieferte daten (serialisierte java-objekte), die so verschlüsselt abgelegt werden, dass sie beim skänn unauffällig bleiben und die dann einfach geladen und ausgeführt werden. Und den kohd zum entschlüsseln kann man beliebig schwer analysierbar machen — was übrigens kein bisschen anders aussehen muss, als ein legitimer versuch, irgendwelche „häcks“ einer softwäjhr zu erschweren.

Je länger ich darüber nachdenke, desto unmöglicher kommt es mir vor, auszuschließen, dass diese sicherheitslücke von einer äpp im pläjhstore ausgebeutet wird. Was guhgell mit seinen skänn vorschlägt, ist eine beseitigung des problemes durch auftragen von schlangenöl statt durch ausräumen der ausbeutbaren ändräut-schwachstelle.

¹Scheißwerber sprechen von „online-banking“, weil das hipper klingt…

Stellt euch mal vor…

Stellt euch mal vor, die polizei macht bei euch eine hausdurchsuchung und beschlagnahmt auch den ganzen technikkram, vom kompjuter übers wischofon bis hin zum USB-datenzäpfchen, und dann finden die bullen mit einer forensischen analysesoftwäjhr auf einem eurer vorgestern vom ramscher gekauften, billigen USB-sticks so genannte „kinderpornografie“ oder dokumente mit terrorplänen oder einsatzbereite cyber-cyber-waffen. Ob ein richter euch wohl glauben würde, dass ihr wirklich nichts mit dieser scheiße zu tun habt? Im falle der so genannten „kinderpornografie“ — das ist übrigens im gegensatz zum hirnfickenden geschmiere von scheißjornalisten keine pronografie, sondern eine dokumentazjon des sexuellen missbrauches wehrloser, ausgelieferter menschen; pornografie wird von erwaxenen menschen genau so freiwillig gemacht wie ein putzdschobb — ist übrigens schon der besitz eine straftat.

Ach ja, und wenn ihr eure wischofone zur müllwiederverwertung gebt, solltet ihr vielleicht doch besser gründlich durchlöschen. Zum beispiel mit einem schweren hammer, der so lange angewendet wird, bis auf der platine nichts mehr heile aussieht. Nicht, dass irgendwelche anderen aus interesse die zurückgebliebenen spuren von ein paar jahren wischofon-benutzung auswerten können, wenn sie sich ein vom ramscher gekauftes, billiges datenzäpfchen mal etwas genauer anschauen.

(Aber hej, will mir wirklich jemand erzählen, dass sich dieses „recycling“ wirtschaftlich lohnt?)

Idiocracy des tages

Menschen wollen alles in ihrem Leben digital vernetzen: Sie wollen ihr Zuhause automatisieren, Virtual Reality erleben und Smart Digital Assistants verwenden – und all das passiert genau jetzt

Wenns internetz im händi ist, ists gehirn im arsch. Es gibt nur noch eine sehr kleine hoffnung, dass sich das problem der mechanischen infantilisierung und verdummung auf darwinsche weise durch massenhaft totgefahrene senkkopfzombies im straßenverkehr lösen könnte…

Kennt ihr den schon?

Der opera-brauser für ändräut ist voll datensparsam, antiträcking, privatsfäre und so mit seinem eingebauten adblocker… und transportiert selbst träckende ads in der äpp. 😳

Überall, wohin man nur schaut: angebote für die generazjon jamba auf dem weg in die idiocracy.

Bildschirmfoto via unixstickers@twitter.com, hinweis via @benediktg5@twitter.com.

Wischofon des tages

Stellt euch mal vor, ihr habt ein wischofon, bekommt eine neue versjon des betrübssystemes und auf einmal ist die wischofon-äpp, mit der ihr telefoniert, durch eine obskure äpp von einem dritthersteller ersetzt worden, der auf eure privatsfäre scheißt:

Ich habe mich gestern darüber gefreut, dass wileyfox eine aktualisierung auf eine neue versjon von ändräut zur verfügung stellt, und ich habe nicht lange gezögert, diese aktualisierung zu installieren. Sorgen, dass die hardwäjhr nicht für das neue system geeignet ist, erwiesen sich als unbegründet, und alles schien gut zu funkzjonieren. Aber als mir auffiel, dass der ‚dialer‘ sich nun selbst als ‚truecaller‘ bezeichnete — etwas, von dem ich noch nie gehört hatte, tatsächlich wusste ich noch nicht einmal, dass der ‚dialer‘ eine äpp ist — kam ein schlimmer verdacht in mir auf: ist ein teil der kernfunkzjonen meines telefones jetzt über die äpp eines drittherstellers realisiert? In der tat. Respektiert diese meine privatsfäre? Nein. Kann ich sie wieder deinstallieren? Nein. Wurde ich jemals gefragt, ob ich mit ihren nutzungsbedingungen einverstanden bin? Natürlich nicht.

Die schnelle übeltragung ins deutsche ist von mir — und nur für den fall, dass die nutte justizja mal wieder die vorteile der reichen und besitzenden zu geldtendem recht macht: hier ist eine dauerhafte archivversjon.

Ich habe allerdings keine lust, das ganze schnippsel aus den nutzungs- und nutzerentrechtungsbedingungen flugs ins deutsche zu übertragen, das anschließend im verlinkten text gegeben wurde. Es kommt einer einwilligung in eine vollständige überwachung und intransparenten handel mit den so gewonnenen überwachungsdaten gleich. Nein, es wird wirklich keine überwachungsmöglichkeit ausgelassen. Da „freut“ man sich doch über sein neues betrübssystem! 😦

Seht ihr, leute, deshalb kauft man so eine gängelungs-, entrechtungs- und überwachungsscheiße wie die wischofone nicht. Wesentlich für einen kompjuter ist es, dass man das recht hat, darauf die softwäjhr laufen zu lassen, die man selbst (aus welchem grund auch immer) für richtig und angemessen hält. Wer sich zum digitalen gutsherren machen will und einem dieses recht nicht gewähren will, dessen geräte gehören nicht unter verlust der gewährleistung „gerootet“, der gehört an den insolvenzverwalter (meiner immer unfriedlicher werdenden meinung nach sogar an den lynchmob) übergeben. Punkt. Mit arschlöchern gibt es keinen frieden. Und das liegt an den arschlöchern.

Auch weiterhin viel spaß auf dem weg in die idiocracy und in den totalitäten totalüberwachungsstaat — eine „geile“ kombinazjon, ihr im kopfe hohlraumversiegelten, die ihr für ein bisschen wischiwischi auf dem wischofon sofort eine herrschaft von arschlöchern über euer leben zulasst!

Heck, switching operating systems on mobiles should be as easy as on PCs

Das ist der einzig akzeptable zustand!

Träcking des tages

Tracking:
Forscher finden Ultraschall-Spyware in 243 Android-Apps

Ich wünsche euch auch weiterhin viel spaß mit euren ändräut-taschenwanzen und der gesamten damit verbundenen scheißkultur! Ihr habt ja alle nix zu verbergen. Erich Mielke wäre so stolz auf euch gewesen!

Ist euch übrigens aufgefallen, was heise onlein in seinem artikel weggelassen hat? Richtig, es ist die liste mit den namen der äpps, die mit diesem ultraschall-träcker trojanifiziert wurden. Damit ist lesern des artikels die möglichkeit genommen wurden, sich vor dieser privatsfäreverachtenden scheiße zu schützen und der informazjon damit lebenspraktische relevanz zu geben. Die „verschwörungsteoretische“ frage, ob einige herausgeber derartig hinterfotzig trojanifizierter äpps wohl größere werbekunden von heise sein werden, kann ich leider auch nicht beantworten. Jornalismus halt! Scheißjornalismus! 😦

Security des tages

Benutzt hier jemand für irgendeinen zugang einen fingerabdruckskänner, weil biometrische dinger so einfach, toll und sicher sind? Prof. dr. Offensichtlich hat sich das jetzt mal näher angeguckt und dabei etwas völlig unerwartetes rausgekriegt: Für fingerabdruckskänner kann man einen einzelnen fingerabdruck künstlich herstellen, der viele damit gesperrten dinger einfach aufmacht. Na gut, es sind noch nicht alle, aber immerhin 65 prozent… 😀

Auch weiterhin viel spaß mit den lustigen sicherheitsversprechen der tinnefindustrie! Ich verstehe das eh nicht, wozu man auf so security-mäßig komplett kaputten dingern wie wischofonen so viel gefühlte security wie biometrische verfahren braucht…

Security des tages

Macht eure fernkontoführung mit dem wischofon, haben sie euch gesagt. Das ist modern, einfach, mobil und sicher, haben sie euch gesagt, und mit einer zwei-faktor-autentifizierung (die natürlich auch auf das scheißhändi geht) kann gar nix mehr passieren, haben sie euch auch gesagt.

Na, so ein jammer aber auch!

Kriminellen Hackern ist es einem Zeitungsbericht zufolge in den letzten Monaten offenbar gelungen, mithilfe einer Schwachstelle in Mobilfunknetzen Geld von privaten Bankkonten zu stehlen

Hej, das war doch bestimmt eine total neue ausbeutbare schwachstelle, oder? Sonst wären die idjoten doch deutlich und unüberhörbar von jornalisten, banken und polizeien davor gewarnt wurden, eine gefährliche und kriminalität einladende technik zu nutzen, oder?

Die Schwachstelle, die die Hacker bei ihrem Angriff nutzten, ist seit Ende 2014 bekannt. Bereits damals hatten Experten Bankkunden geraten, ihren Zahlungsverkehr nicht über das vermeintlich sichere Mobilfunknetz abzuwickeln

Ach, experten! Wer interessiert sich schon für experten?! Der scheißwerber hat doch mit so blauen, lichten bildern so viel schönere dinge von sicherheit und bekwemlichkeit erzählt, und sein hässlicher bruder, der scheißjornalist, auch. Hauptsache, ihr habt alle ein antivirus-schlangenöl auf euren wischofonen und bleibt schön doof!

Natürlich gabs auch eine gute alte phishing-mäjhl — und die scheißbanken weigern sich immer noch, ihre scheißmäjhls kryptografisch zu signieren und ihre kunden dazu anleiten, wie man die signatur überprüft, um den phishing-sumpf auszutrocknen. Ach, da geht gar nicht mit der vorsätzlich von guhgell und äppel verkrüppelten mäjhlsoftwäjhr für die wischofone? Na, sowas aber auch! 😦

Unbuntu des tages

Hat hier jemand ein wischofon mit unbuntu fon als betrübssystem?

Demnach gibt es ab Juni 2017 keinerlei Aktualisierungen mehr für die Plattform, auch keine Sicherheits-Updates

Könnt ja ein neues wischofon kaufen. Oder die fixes selbst reinpflegen, ist ja Freie softwäjhr. Auf dass die müllberge vor den städten waxen und waxen und waxen!

Ändräut des tages

Dass ihr eure softwäjhr — ach, das nennt man jetzt ja alles „äpp“ — nur über unsere äppstohrs installiert, ist gut für euch, haben sie uns gesagt. Denn wenn die softwäjhr über unseren appstohr läuft, können wir sie immer nach schadsoftwäjhr und trojanerfunkzjonen skännen und alles wird sicherer, haben sie uns gesagt.

Die Spyware war unter dem Namen „System Update“ im US-amerikanischen Google Play Store verfügbar und wurde drei Jahre lang nicht entdeckt

Weia, der name!!1!

Ich wünsche euch wischofon-benutzern auch weiterhin viel spaß bei eurer verdummung, entmündigung und enteignung durch die wischofon-gutsherren sowie beim abgezockt-, missbraucht- und überwachtwerden durch irgendwelche gängster. Und nein, bei äppel ists nicht besser, ganz im gegenteil… 😦

Scheißreklame und scheißjornalismus des tages

Na, benutzt hier jefrud die äpp der frauenzeitschrift „brigitte“?

Ist es nicht schön, wie sich der scheißwerber und sein hässlicher, stinkender bruder, der scheißjornalist, immer wieder zum psychisch-manipulativen angriff auf die menschen bereitfinden? Mögen sie bald schon als vogelfutter vereint sein!

Ich konnte leider nicht die kwelle verlinken, sondern nur eine archivversjon, weil „übermedien“ von dummen jornalisten gemacht wird, die ihre inhalte nach einigen tagen aus dem freien internetz entfernen und hinter einer gib-geld-aufforderung verstecken. Wer sich selbst als kwelle unbenutzbar macht, zeigt damit auch nicht gerade über elementare reflexe wie gier hinausgehende geistige tätigkeit.

Webbrauser des tages

Gehört hier jemand zu den 500 milljonen menschen, die als webbrauser den UC browser für wischofone benutzen? Der hat einen interessanten fehler. Man kann einfach in der adresszeile die URI einer beliebigen anderen seite anzeigen lassen. Und das HTML, das man dafür tippen muss, ist auch nicht so schwer zu tippen — nein, für den exploit braucht man ausnahmsweise einmal kein javascript.

Ein paradies für phisher!

Also, wenn jemand das ding benutzt: holt euch eine gefixte versjon… und wenn es die noch nicht gibt, benutzt so lange einen anderen webbrauser!

Ändräut des tages

Beim aktuellen Fall handelt es sich allerdings um besonders perfide Malware, die auf einigen Smartphones von namhaften Herstellern gefunden wurde. Diese sei bereits vorinstalliert auf den Geräten gewesen

Auch weiterhin viel spaß mit euren wischofonen! Wenn euch doch nur einer vor einer kultur gewarnt hätte, in der sich große, börsennotierte unternehmen rausnehmen, uninstallierbare trojaner auf euren persönlichen kompjutern installieren zu lassen und in der die hersteller eurer persönlichen kompjuter so eine kundenverachtende drexscheiße gern für eine handvoll dollar mitnehmen, weil es ja überhaupt keine konsekwenzen hat! Und jetzt glaubt bitte auch noch dem asozjalen bänker, der euch sagt, dass ihr mit diesen dingern fernkontoführung¹ machen und bezahlen sollt! Was kann dabei schon schiefgehen?

¹Mein wort für das, was werbelügner „onleinbänking“ nennen.

Zur nachahmung empfohlen

Als radfahrer, der immer wieder einmal so einem am steuer mit seinem wischofon herumspielenden henker mit führerscheinhintergrund begegnet, empfinde ich die britische regelung als unbedingt nachahmenswert. Etwas milderes als „der lappen ist weg“ verstehen diese asozjalen idjoten bei ihrem heiteren spiel mit dem leben anderer leute nämlich nicht.

Übrigens, ihr kopfentkernten händimörder im straßenverkehr: es gibt schon seit fast zwei jahrzehnten freisprechfunkzjonen!

Security des tages

Benutzt hier jemand einen passwort-mänätscher für sein ändräut-wischofon, weil er mal gelesen hat, dass das sicherer ist? [Link geht auf einen englischen text]

[…] we performed a security analysis on the most popular Android password manager applications from the Google Play Store based on download count. The overall results were extremely worrying and revealed that password manager applications, despite their claims, do not provide enough protection mechanisms for the stored passwords and credentials. Instead, they abuse the users‘ confidence and expose them to high risks.

[…] Some applications stored the entered master password in plaintext […]

Weia, diese brandneue sicherheitstechnik aus den frühen siebziger jahren, ein passwort in form eines gesalteten häsches zu speichern, scheint immer noch viele programmierer von „sicherheitssoftwäjhr“ zu überfordern.

Auch weiterhin viel spaß mit der gefühlten sicherheit auf eurem windohs 95 für die zehner jahre (ändräut) durch sicherheitssoftwäjhr aller art!