Herrlich, dieses Clouddingens:

Der Entwickler der Keyboard-App ai.type hat eine 577 GByte umfassende MongoDB-Datenbank nicht abgesichert, sodass jeder darauf zugreifen konnte. Darin stehen unter anderem persönliche Daten von 31.293.959 Nutzern, welche sich die für Android- und iOS-Geräte verfügbare App ai.type Keyboard installiert haben. Darauf sind Sicherheitsforscher von MacKeeper gestoßen. Die App ist weit verbreitet – Google Play weist rund 40 Millionen Downloads auf.

Was zur Hölle fällt diesem Mongo auch ein, sich sämtliche Eingaben in einer DB zu merken? Hä? Das ist doch... ruhig bleiben, Max, denk' an den Menschen, den du neulich nach einem Herzinfarkt im Krankenhaus besucht hast.

Und jetzt nochmal für alle zum Mitschreiben:

Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.
Ich werde mir keine obskuren Tastaturapps auf meinem Handy installieren.

(Das Bild gibt's bei fsfe als Sticker und stammt von Markus Meier [CC-BY-SA])

Tolle Wurst.

Since the beginning of 2017, Android phones have been collecting the addresses of nearby cellular towers—even when location services are disabled—and sending that data back to Google. The result is that Google, the unit of Alphabet behind Android, has access to data about individuals’ locations and their movements that go far beyond a reasonable consumer expectation of privacy.

Großartig.

Geiles neues Internet:

Offensichtlich haben die Sicherheitsmechanismen des App-Stores Google Play versagt und eine als WhatsApp-Messenger getarnte Fake-App durchgelassen. Den Zahlenangaben des App Stores zufolge haben sich mehr als eine Million Android-Nutzer die Fake-App heruntergeladen. Mittlerweile hat Google sie offline genommen, berichten mehrere Opfer auf Reddit.
Besser aufpassen, Google!
[...]
Beim Update WhatsApp Messenger handelt es sich ersten Analysen zufolge um eine Werbe-Spam-App, die Opfer zur Installation von weiteren Apps führen soll. Die Betrüger bekommen dann von anderen App-Anbietern Provisionen, wenn ein Opfer darauf reinfällt.

Ich habe gerade das in Android versteckte Easteregg gefunden. Ganz alleine und völlig überraschend. Und zwar so:

1. Settings -> General -> About Device
2. Auf die Anroid Versionsnummer ein paar mal schnell tippen
3. Der Homescreen geht auf. Je nach Android-Version mit einem Punkt (Android 5 aka. Lollipop) oder einem übergroßen Icon (Android 6 aka. Marshmallow)
4. Je nach Android-Version muss man nun
   1. Bei Android 5 einfach drauftippen, dann wird aus dem Punkt ein Lolli
   2. Bei Android 6 über das Icon wischen, dann erscheint ein Marshmallow
5. Jetzt weiß ich auch nicht so genau, entweder lange gedrückt halten oder mehrmals antippen, ich bin noch nicht ganz sicher, aber wenn ihr es richtig gemacht habt, dann
6. TA-DAAAAA! seid ihr mitten drin im Easteregg

Sehr cool. Leider mache ich dabei genau 0 Punkte, das ist mir viel zu schwer

Dafuq?! o.O

Ein Software Development Kit für Werbeeinblendungen soll Schnüffelfunktionen mitbringen. Damit ausgestattete Android-Apps weisen über 100 Millionen Downloads auf, warnen Sicherheitsforscher.

Leider steht in solchen Meldungen nie, welche Apps denn infiziert waren

Ich war die letzten 2 Jahre auf Jobsuche. Leider erfolglos, denn immer, wenn es ums Geld ging, wurden mir am Schluss derart lächerliche Beträge geboten, dass ich dankend verzichtet habe (wenn mir nicht gerade von den Gesprächspartnern an den Kopp geknallt wurde, ich hätte von Softwareentwicklung keine Ahnung). Offenbar hat sich das Gehaltsgefüge in der IT in den letzten 12 Jahren ganz schlimm nach unten verschoben (oder ich habe keine Ahnung von Softwareentwicklung und bin hoffnungslos überbezahlt). Da man ja so gut wie nie übers Geld redet, habe ich natürlich keine Ahnung, was andere so verdienen. Was ich allerdings im Laufe der letzten 12 Jahre live beobachten konnte, waren immer mehr Typen, die meinten, sie hätten Ahnung vom Programmieren und wenn man dann in ihren Code reinguckt, fällt man vor Lachen (oder Weinen) untern Tisch. Beispiel? Beispiel.

Der Volksmund sagt "wer billig kauft, kauft zweimal", und ich glaube das gilt genauso in der Arbeitwelt. Wer billige Arbeitkräfte einstellt, bekommt billige Arbeit geliefert, und in der IT heißt das eben: Schrottcode.

Diese Erkenntnis setzt sich leider nicht durch. Statt dessen werden immer mehr Billigjobs erzeugt, und das Ergebnis kann man jetzt live bei Samsung beobachten, die mit Tizen ein "Smartgeräte"-Betriebssystem geschaffen haben, das offenbar nur aus Scheiße besteht.

In vielen Fällen sind Übergriffe aus der Ferne möglich, bei denen Angreifer Schadcode ausführen können, warnt Neiderman. Im schlimmsten Fall könnten Angreifer so Geräte komplett kapern. Sicherheitspatches sind noch nicht in Sicht.

"Der schlimmste Code, den ich je gesehen habe"

Neiderman zufolge hat Samsung bei Tizen "alles falsch gemacht, was man nur falsch machen kann" und offensichtlich hat "niemand, der Ahnung von Sicherheit hat, in den Code geschaut".

Macht ja nix, es geht ja nur um Smartphones. Fernseher, Webcams, u name it. Wirklich super, Samsung. Ihr macht die Welt zu einem besseren Ort. Zumindest für Scriptkiddies und Erpresser.

Du, ja DU! Mach et. Jetzt.

Die neue Version des Betriebssystems räumt insgesamt 70 Sicherheitslücken aus, die Apple in einem bislang nur in Englisch vorliegenden Support-Dokument aufführt. Darunter finden sich etliche kritische Schwachstellen, die einem Angreifer das Ausführen von Schadcode ermöglichen – etwa wenn ein Nutzer eine manipulierte Audio-Datei abspielt, eine Foto öffnet oder eine Webseite aufruft.

das, und:

Zehn Bugs im iOS-Kernel versetzen Apps dazu in die Lage, beliebigen Code mit Root- oder Kernel-Rechten auszuführen, wie der Hersteller weiter ausführt.

Jo, dude. Aber natürlich, wie immer bei Apple ist die Sache mal wieder nicht ganz so easy, denn:

OS 10.3 setzt mindestens ein iPhone 5 voraus, auf dem iPhone 4s läuft iOS 10 nicht mehr. Nutzer von iPhone 5c, iPhone 5 und iPad 4 müssen iOS 10.3 derzeit unter Umständen über iTunes einspielen – es erscheint nicht immer in der integrierten Software-Aktualisierung.

Der verschlüsselte und super-sichere Chat- und sonstige Kommunikationsclient Signal lässt sich jetzt auch installieren, ohne dazu den Play-Store von Google betreten zu müssen.

Zudem entfernte Marlinspike vor drei Wochen die Verzahnung mit Google Cloud Messaging (GCM), das zum Verteilen von Push-Nachrichten genutzt wird. Das stellt einen weiteren Schritt zur Unabhängigkeit von Googles Infrastruktur dar, der generell zu begrüßen ist.

Wenn ich jetzt noch meine Paranoia hinsichtlich Signals Berechtigungshunger überwinden könnte, dann könnte ich mir endlich mal Signal installieren Ach naja, das hier noch:

Kritikpunkt bleibt weiterhin die zwingende Angabe der Handynummer. Nutzern sollte die Verwendung eines Pseudonyms zur Registrierung erlaubt werden.

Wie anonym kann ein Messenger sein, wenn deine Handynummer hinterlegt ist?

Zufällig JoeApollo installiert? Tough luck.

Nicht gut:

Smartphones vom Typ Samsung Galaxy S4 und S5 können mit einer einzigen SMS in eine Endlos-Bootschleife versetzt werden. Mit etwas mehr Arbeit könnte es einem Angreifer auch gelingen, beliebigen Schadcode auszuführen.
[...]
Sicherheitsupdates, welche die Lücken auf dem S4 und S5 stopfen, wurden am 7. November 2016 von Samsung verteilt.

Und wie erfahre ich jetzt, ob ich den Fix habe? Zumindest sagt mein Telefon, ich hätte die "aktuellste" Software drauf... naaaja.

Yo, dude.

Eine vorinstallierte App auf den Smartphones G3, G4 und G5 von LG ermöglicht es Angreifern, an Dateien in darüber konfigurierten Cloudspeichern zu gelangen.

immerhin

LG hat die Lücke bereits im Oktober gestopft.

Müsste man eben hin und wieder mal updaten, seine Apps...

Gar nicht gut...:

Wer die Fernwartungs-App AirDroid mit einem Android-Endgerät etwa in einem öffentlichen WLAN nutzt, kann Angreifern Tür und Tor öffnen.

Im Update-Vorgang der Android-App Air Droid klafft eine gefährliche Schwachstelle, warnen Sicherheitsforscher von Zimperium. Google Play zufolge ist die App auf mindestens 10 Millionen Geräten installiert.

Update: fixed.

Seit einigen Jahren spiele ich auf dem Handy "Two Dots", wenn ich mal ein paar Minuten tot zu schlagen habe. Nun hatte ich mir das natürlich auch sofort auf mein neues Android-Fon gepackt (und einen eigenen Facebook-Account eingerichtet um den Spielstand zu syncen, aber das ist eine andere Story). Gestern Abend fiel mir auf, dass Two Dots immer einen Hintergrundprozess laufen hat. Immer. Auch wenn man es abschießt, nach 2 Sekunden startet sich dieser Hintergrundprozess neu.

Was auch immer dieses "Spiel" da so im Hintergrund treibt: ich will's gar nicht wissen. Und tschüss. *deinstallier*