Im Zusammenhang mit Ermittlungen gegen Personen, die die US-Regierung „Antifa“-Gruppen zuordnet, hat die Bundespolizeibehörde FBI Daten von einem iPhone wiederherstellen können, die eigentlich als gelöscht galten. Das berichtet das Magazin 404 Media. Dabei gelang es den Forensikern, einlaufende Signal-Nachrichten aus der iOS-Benachrichtigungsdatenbank zu extrahieren, obwohl Signal selbst auf dem Gerät nicht mehr vorhanden war. Bei dem Fall ging es um Angriffe auf ein Gefängnis der US-Grenzschutzbehöre ICE in Texas im vergangenen Sommer, das laut FBI mit Feuerwerk beschossen und „mutwillig beschädigt“ worden war. Zudem wurde mindestens ein Polizist verletzt.

In Signal weg, in der iPhone-Datenbank nicht

Der Trick, den die FBI-Analysten verwendeten, wurde im Rahmen eines Prozesses gegen die Beteiligten bekannt. Eine Person, die aufseiten der Angeklagten den Prozess beobachtete, teilte 404 Media mit, man habe erfahren, dass bei aktiven Signal-Benachrichtigungen samt Vorschau diese Daten auch im internen Speicher des iPhones landeten. Dort wurden sie dann vom FBI forensisch extrahiert. Im Rahmen der Beweisaufnahme hieß es: „Die Nachrichten wurden über den internen Benachrichtigungsspeicher von Apple vom Handy wiederhergestellt – Signal war zwar deinstalliert worden, doch die eingehenden Benachrichtigungen waren im internen Speicher erhalten geblieben. Es wurden nur eingehende Nachrichten erfasst (keine ausgehenden).“

Interessanterweise soll die betroffene Person Signal so eingestellt haben, dass die eingehenden Nachrichten automatisch verschwinden. In der Benachrichtigungsdatenbank geschieht dies allerdings offenbar nicht. 404 Media geht davon aus, dass nicht nur Signal von dieser Tatsache betroffen ist, sondern auch andere Anwendungen, die Benachrichtigungen nutzen.

Auch auf den Servern gibt es Push-Daten

In diesem Fall waren nur lokale Daten einsehbar, Apple und andere Betreiber von Smartphone-Diensten sollen in der Vergangenheit aber auch Informationen von ihren Push-Servern mit Behörden geteilt haben. Auf eine Anfrage von 404 Media reagierte Apple nicht. Das Verfahren endete mit einer Verurteilung, eine der Personen wurde wegen versuchten Mordes schuldig gesprochen.

Signal reagierte auf eine Nachfrage, antwortete später aber nicht mehr, so das Magazin. In der App ist es möglich, die Vorschau von Nachrichten zu unterbinden. Damit dürften diese auch nicht in der Benachrichtigungsdatenbank landen. Es ist aber auch möglich, alle Benachrichtigungen abzuschalten.

(bsc)

Cyberkriminelle und ihre Infostealer haben es oftmals auf sogenannte Session-Cookies abgesehen. Damit erlangen sie Zugriff auf laufende Sitzungen, in denen Nutzer und Nutzerinnen an Diensten angemeldet sind. Google hat in Chrome für Windows ab Version 146 einen Schutz standardmäßig aktiviert und kündigt das in Kürze auch für macOS an.

Es geht dabei um die Funktion „Device Bound Session Credentials“ (DBSC), wie Google in einem Blogbeitrag erklärt. Dieser Cookie-Schutz ist seit 2024 in der Entwicklung und schafft nun den Sprung in die Praxis. Die kurze Erläuterung der Funktion lautet: Authentifizierte Sitzungen (authentication sessions) werden an das Gerät gebunden, mit dem die Anmeldung erfolgte. Gestohlene Cookies werden dadurch wertlos.

Google Chrome aktiviert Device Bound Session Credentials

Etwas ausführlicher steckt dahinter ein Mechanismus, der ein wenig an Passkeys erinnert. Beim Start einer Session erzeugt der Webbrowser ein Schlüsselpaar, bei dem der private Schlüssel auf dem Rechner verbleibt, derzeit geschützt im TPM (Trusted Platform Module) des Rechners. Zur Ablage im TPM nutzt Chrome Funktionen des Betriebssystems. Unter macOS kommt dafür die Secure Enclave zum Einsatz. Server nutzen den öffentlichen Schlüssel und können bei laufenden Sitzungen durch die API den Besitzbeweis des privaten Schlüssels beim Client anfordern.

Bei Session-Diebstahl laden User in der Regel unabsichtlich Malware herunter, die nach Aktivierung heimlich die Session-Cookies aus dem Browser ausschleusen oder auf neue Logins warten, bevor sie die Token an die Server der Angreifer übertragen. Infostealer-Malware wie Lumma wird Google zufolge immer geschickter beim Abgreifen der Zugangsdaten. Da Cookies in der Regel eine längere Laufzeit haben, können Angreifer sich damit unbefugten Zugang zu Nutzerkonten verschaffen. Derartige Session-Cookies werden dann gebündelt und unter Bedrohungsakteuren gehandelt oder verkauft. Das Ausschleusen solcher Cookies lasse sich mit Software allein jedoch nicht verlässlich verhindern.

DBSC soll das Problem nun lösen. Das Schlüsselpaar lässt sich nicht aus der Maschine exportieren. In Kombination mit Cookies mit kurzer Laufzeit führt das dazu, dass gestohlene Cookies zügig ablaufen und für Angreifer nutzlos werden. Google hat im vergangenen Jahr frühe Versionen des Mechanismus getestet und seitdem einen signifikanten Rückgang beim Session-Diebstahl beobachtet.

Web-Entwickler können ihre Systeme damit jetzt ebenfalls gegen Session-Klau wappnen. Google stellt dafür eine Anleitung für Entwickler bereit. Außerdem stellt das W3C eine aktuelle Spezifikation des Protokolls bereit, es gibt auch ein zugehöriges Projekt auf GitHub. Google kündigt bereits weitere Entwicklungen an. So soll eine Unterstützung für Single-Sign-on-Systeme (SSO) kommen oder noch strengerer Schutz zum Binden von DBSC an existierende, vertraute Schlüssel, anstatt beim Anmelden neue zu erstellen. Außerdem wollen die Entwickler die Möglichkeiten mit softwarebasierten Schlüsseln ausloten, um auch auf Geräten ohne spezialisierte Sicherheitshardware den Sicherheitsmechanismus anbieten zu können.

(dmk)

Die KI-Plattform „MyLovely.ai“ bietet das Erstellen von „KI-Freundinnen“ an, mitsamt KI-Bild- und -Video-Erstellung sowie Chats. Auf der Plattform sind mehr als 106.000 User registriert. Deren Daten sind bei einem IT-Vorfall in falsche Hände gelangt und stehen nun in einem Darknet-Forum. Das Have-I-Been-Pwned-Projekt (HIBP) hat die Daten in den eigenen Fundus integriert.

Das berichtet der Betreiber Troy Hunt in einem neuen „Breach“-Eintrag. Demnach umfasst das Datenleck rund 106.300 Konten, von denen die E-Mail-Adressen offengelegt wurden. Der Datensatz umfasst zudem die von den Nutzern erstellten KI-Prompts sowie Links auf daraus erstellten KI-Bildern und -Videos. Außerdem sind bei einem Teil auch Nutzernamen aus den sozialen Netzwerken Discord oder X dabei. Die Einträge der 2,1 GByte großen Datenbank aus dem April 2026 wurden als aus einem „JSON Leak“ stammend bezeichnet.

HIBP: „Sensibles“ Datenleck

Hunt hat das Datenleck als „sensibel“ einsortiert. Dadurch taucht es in der offenen E-Mail-Suche von HIBP nicht in den Ergebnissen auf. Nutzer des Angebots können nach Bestätigung ihrer E-Mail-Adresse jedoch im privaten Dashboard einsehen, ob diese Informationen durch das Datenleck nun öffentlich geworden sind.

Anfang des Jahres landeten Daten von 6,2 Millionen Instagram-Konten beim Have-I-Been-Pwned-Projekt. Kriminelle haben die Daten mittels Scraping erlangt, also dem Abklappern der Datenbank und Auslesen über öffentlich zugreifbare Schnittstellen. Im vergangenen Mai hatte Hunt zudem der Webseite ein massives Facelifting verpasst. Die Basis stellt seitdem weiterhin das prominente Eingabefeld für die E-Mail-Adresse. Wurde die eingegebene Adresse in keinem Datenleck aufgefunden, fliegt seitdem virtuelles Konfetti über die Seite. Das Dashboard steht seitdem für private Nutzer kostenlos zur Verfügung und erlaubt auch Einsicht in sensible Datenlecks. Dort finden Unternehmenskunden auch API-Zugriffe und weitere Dienste wie die Domain-Suche, die allerdings ein Bezahl-Abo voraussetzen.

(dmk)