Datenschutz & Sicherheit
Texas klagt gegen Meta: WhatsApp kann Verschlüsselung angeblich umgehen
Der US-Bundesstaat Texas hat wegen der unbelegten Behauptung, dass Angestellte von Meta verschlüsselte Inhalte bei WhatsApp einsehen können, Klage gegen den US-Konzern eingereicht. Das hat Attorney General Ken Paxton öffentlich gemacht und erklärt, dass Zusicherungen, die Kommunikation auf WhatsApp sei vollkommen privat und unzugänglich, „offensichtlich falsch“ seien. In der Klageschrift wird behauptet, WhatsApp habe ganz im Gegenteil Zugriff auf „praktisch alle“ angeblich privaten Inhalte. Gestützt wird die Behauptung auf Schlussfolgerungen eines Ermittlers des US-Handelsministeriums, der genau das herausgefunden haben will. Belege dafür gibt es aber nicht und Experten haben die Vorwürfe längst in Zweifel gezogen. Meta hat ihnen ebenfalls widersprochen.
Weiterlesen nach der Anzeige
Grundlage der Klage ist primär die Aussage eines Sonderermittlers, der für das US-Handelsministerium im vergangenen Jahr Hinweisen nachgegangen war, dass Meta verschlüsselte WhatsApp-Inhalte einsehen kann. Dem lagen Aussagen von Ex-Angestellten und Angaben eines Whistleblowers zugrunde, hat Bloomberg berichtet. Ende April waren die Ermittlungen aber abrupt eingestellt worden, angeblich auf Anweisung aus der Führungsebene. Deshalb sei unklar, welche Beweise im Rahmen der Ermittlungen gesammelt wurden. Laut dem Finanznachrichtendienst haben aber zwei befragte Personen behauptet, bei ihrer Arbeit zur Inhaltsmoderation für einen Auftragnehmer breiten Zugang zu WhatsApp-Nachrichten gehabt zu haben.
Hintertür nicht geheimzuhalten
Die Glaubwürdigkeit dieser Aussagen wurde damals aber schon stark angezweifelt. So hat der ehemalige Sicherheitschef von Meta, Alex Stamos, sie als „fast sicher falsch“ bezeichnet, zitierte Bloomberg. Zwar könne er nicht mehr persönlich die Hand für Inhalte des Codes von WhatsApp ins Feuer legen, aber eine dafür nötige Hintertür hätte seit Jahren bestehen müssen und würde auf Android oder iOS heruntergeladen werden. Dort wäre sie von Sicherheitsforscherinnen und Sicherheitsforschern leicht zu finden. Zudem wäre solch eine Hintertür ein enorm lohnendes Einfallstor, das Meta niemals für Auftragnehmer offenlassen würde.
In einem ausführlichen Blogeintrag im Februar hat der renommierte Sicherheitsforscher Matthew Green die Vorwürfe auseinandergenommen und erklärt, dass die Ende-zu-Ende-Verschlüsselung von WhatsApp und anderen Messengern prinzipiell auf dem Endgerät stattfinden muss. Jede Hintertür müsste deshalb genau dort eingebaut sein und WhatsApp würde deshalb erwischt werden. Mit an Sicherheit grenzender Wahrscheinlichkeit wäre sie im Code zu finden und das würde WhatsApp und Meta „neuen, spannenden Formen des Ruins aussetzen“. Er meint, dass die Behauptungen womöglich auf einem Missverständnis beruhen: Wer Meta Inhalte meldet, etwa wegen Belästigung, übermittelt diese im Klartext. Deshalb können Moderatorinnen und Moderatoren die zu sehen bekommen.
Ken Paxton sieht das nun anders und erklärt, mit der Klage solle sichergestellt werden, dass WhatsApp seine Nutzer nicht in die Irre führt. Der Politiker aus der Partei der Republikaner befindet sich mitten im Vorwahlkampf für einen Sitz im US-Senat, in wenigen Tagen gibt es dabei eine Stichwahl. Schon im Februar hat er mit einer Klage gegen TP-Link für Aufsehen gesorgt. Darin hat er dem Routerhersteller neben irreführender Werbung vorgeworfen, der Kommunistischen Partei Chinas Zugriff auf Geräte in US-amerikanischen Wohnungen zu ermöglichen. Ein Sprecher von Meta hat die jetzt erhobenen Vorwürfe kategorisch zurückgewiesen und versichert, dass man sich vor Gericht verteidigen werde. Die Klage mit dem Aktenzeichen 26-0393 wurde in Harrison County in Texas eingereicht.
Weiterlesen nach der Anzeige
(mho)
Datenschutz & Sicherheit
Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen
Der Ausbau der dezentralen Energieerzeugung offenbart immer wieder Defizite bei der IT-Sicherheit marktführender Hardware. Im Fokus steht erneut die chinesische Firma Hoymiles, die nach eigenen Angaben rund 20 Prozent des europäischen Marktes für Mikrowechselrichter bedient. Diese sind in Balkonkraftwerken und kleineren Dachsolaranlagen verbaut. Der Sicherheitsforscher Benedikt Heinz alias Hunz hat zusammen mit dem Chaos Computer Club (CCC) weitreichende Sicherheitslücken aufgedeckt: Mit einfachen Mitteln aus der elektronischen Grabbelkiste und wenig Know-how ist es demnach möglich, Solaranlagen in der Nachbarschaft im Vorbeifahren zu manipulieren, abzuschalten oder dauerhaft unbrauchbar zu machen.
Weiterlesen nach der Anzeige
Das Problem liegt laut den Schwachstellenbeschreibungen in den Funkprotokollen, über die die Wechselrichter der HM- sowie der HMS- und HMT-Serien mit den zugehörigen Steuereinheiten kommunizieren. Der Austausch erfolgt unverschlüsselt über die Frequenzbänder 868 MHz und 2,4 GHz. Hobby-Bastler und Open-Source-Projekte wie OpenDTU oder AhoyDTU gingen bisher davon aus, dass Angriffe zumindest die Kenntnis der individuellen Seriennummer des Geräts voraussetzen. Doch Hunz entdeckte eine undokumentierte Funktion in der Firmware. Wird dieser Rundrufbefehl ausgesendet, antworten alle erreichbaren Hoymiles-Wechselrichter in der Umgebung und übermitteln ihre Seriennummer im Klartext per Funk.
Massenhafte Lokalisierung und Fernsteuerung
Bei experimentellen Tests reichte ein modifizierter, handlicher Scanner aus, um innerhalb von 20 Minuten zwei Dutzend fremde Wechselrichter samt ihrer eindeutigen Identifikationsnummern und Modell-IDs zu lokalisieren. Da die Reichweite der Funksignale mehrere hundert Meter betragen kann, ließe sich eine solche Angriffshardware sogar problemlos auf eine Drohne montieren, um ganze Wohngebiete systematisch zu erfassen.
Sobald ein Angreifer im Besitz der Seriennummern ist, steht ihm das ganze Spektrum der Gerätefernsteuerung offen. Da die Integrität der Datenpakete nur durch simple Prüfsummen geschützt wird, die sich bei Modifikationen mathematisch leicht neu berechnen lassen, existiert keine echte Authentifizierung.
Ein Angreifer kann die Wechselrichter nach Belieben ein- oder ausschalten und Leistungslimits manipulieren. Über den ungeschützten Funkbefehl zur Aktualisierung der Firmware lässt sich sogar Schadsoftware einschleusen. Der Forscher demonstrierte das anhand eines eigenen Test-Programms, das die Relais und LEDs des Wechselrichters in Dauerschleife schaltete. Werden gezielt sensible Netzparameter verändert oder die internen Speicherbereiche des Bootloaders gelöscht, drohen Brände, elektrische Unfälle oder die Zerstörung des Geräts. Das lässt sich danach nur noch durch Öffnen des Gehäuses reparieren.
Ignoranz der Behörden und CCC-Appell
Weiterlesen nach der Anzeige
Hersteller Hoymiles reagierte im Rahmen des Disclosure-Prozesses irritiert bis gar nicht und stellte bisher keinen Patch zur Verfügung. Auch staatliche Aufsichtsbehörden winkten ab: Mögliche plötzliche Leistungseinbrüche im Gigawatt-Bereich durch ein koordiniertes Abschalten von Solaranlagen könnten von den Netzbetreibern abgefangen werden. Der CCC warnt indes vor einem systemischen Risiko und einer Wild-West-Manier beim Ausbau des Internet of Things (IoT). IT-Sicherheit im Energiesektor dürfe nicht erst bei Großkraftwerken anfangen, sondern müsse auch im Vorgarten und auf dem Balkon gelten.
Die Hacker fordern verbindliche Mindeststandards und ein Verbot von Einspeisegeräten in der EU, die Firmware-Updates ohne kryptografische Authentifizierung via Funk akzeptieren. Bis echte Patches vorliegen, bleibt Betreibern als Notlösung nur, über die Original-Software ein Diebstahlschutzpasswort zu vergeben, die Abfrageintervalle in Open-Source-Tools drastisch zu erhöhen oder die Solarmodule physisch vom Wechselrichter zu trennen.
(cku)
Datenschutz & Sicherheit
Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar
Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als „kritisch“ bezeichnet.
Weiterlesen nach der Anzeige
Die betreffende, bislang nicht mit einer CVE-ID bezeichnete Lücke könnte demnach von Angreifern missbraucht werden, um speziell präparierte E-Mails zu verschicken. In ZCS-Versionen vor 10.1.19 könnte darin enthaltener, schädlicher Programmcode möglicherweise bereits beim Öffnen der betreffenden Mail zur Ausführung kommen.
Wie das Zimbra-Team etwas vage ausführt, könnten sich Angreifer auf diesem Wege unbefugten Zugriff auf Mailbox-, Session- oder Account-Informationen verschaffen. Wie aus den separat veröffentlichten Release-Notes zu 10.1.19 hervorgeht, handelt es sich technisch wohl um einen Stored-Cross-Site-Scripting-Angriff.
Weitere Update-Informationen
Admins tun auch dann gut daran, die ZCS auf den neuesten Stand zu bringen, wenn der Classic Web Client im Unternehmen nicht zum Einsatz kommt. Erst vor wenigen Monaten hat die US-Sicherheitsbehörde vor aktiven Angriffen auf die Collaboration Suite gewarnt. Auch damals hatten die Übeltäter eine Cross-Site-Scripting-Lücke im Visier. Im Hinblick auf den aktuellen Lückenfund bislang zwar keine Exploitversuche bekannt; dennoch ist es ratsam, zeitnah zu handeln.
Endanwender verwundbarer ZCS-Versionen sollten derweil auf die Nutzung des Classic Client verzichten und alternativ etwa auf den Modern Client umschwenken, bis das Update eingespielt wurde.
Upgrade-Anleitungen, je nach Ausgangsversion, sind den Release Notes zu entnehmen.
//Update 07.07.26, 14:52: Anriss und Text nach Leserfeedback angepasst (Update-Verantwortung liegt bei den Admins).
Weiterlesen nach der Anzeige
(ovw)
Datenschutz & Sicherheit
Widerstand gegen Beseitigung der Informationsfreiheit: „Keine lästige Pflicht, sondern historische Errungenschaft“
Die Idee der Koalition aus CDU, CSU und SPD, den gesetzlichen Anspruch auf Informationsfreiheit in großem Maße zurückzufahren, stößt weiter auf starken Widerstand: Heute taten sich mehr als hundert Organisationen zusammen, um in einem offenen Brief dagegen zu protestieren. Die Informationsfreiheit dürfe nicht in so drastischem Maße beschränkt werden. Sie weisen auf den Umstand hin, dass gerade auch Skandale von Koalitionspolitikern mit Hilfe des Informationsfreiheitsgesetzes (IFG) rausgekommen seien.
Eine Petition mit derzeit 370.000 Unterzeichnern, die sich explizit an die Sozialdemokraten richtet, fordert von der SPD-Fraktion im Bundestag: SPD, stoppt den Frontalangriff auf die Informationsfreiheit! Die Informationsfreiheit müsse bewahrt werden.
Lars Klingbeil, SPD-Chef und Vizekanzler, erklärte auf Nachfrage gestern in der Bundespressekonferenz nur, es gäbe „Schwachpunkte“ beim IFG. Das hätte die Regierung festgestellt. Er halte das Vorhaben aber für „vertretbar“, man wolle das IFG „reformieren und weiterentwickeln“.
Diese Haltung verwundert, denn in der vergangenen Legislaturperiode wollte die SPD in der Ampel-Koalition noch ein Bundestransparenzgesetz einführen. Es sollte die Informationsfreiheit erheblich ausbauen und Behörden dazu verpflichten, von sich aus Informationen freizugeben anstatt bei IFG-Anfragen nur zu reagieren.
„Keine lästige Pflicht der Verwaltung“
Der Begriff Informationsfreiheit beschreibt das Recht auf Zugang zu amtlichen Informationen. Schwarz-Schwarz-Rot preist diese staatliche Transparenz nicht mal mehr in Sonntagsreden, sondern plant unter dem Motto des „Bürokratierückbaus“ die faktische Abschaffung des Informationsfreiheitsgesetzes. An staatliche Informationen zu gelangen, würde dann erheblich erschwert oder gar nicht mehr möglich sein. Auch die Gebühren für die wenigen Anfragen, die noch zugelassen wären, sollen explodieren.
Schwarz-Rot plant Frontalangriff auf Journalismus und Transparenz
Gestern kritisierten auch die Informationsfreiheitsbeauftragten von Bund und Ländern die Pläne: Informationsfreiheit sei „keine lästige Pflicht der Verwaltung, sondern eine historische Errungenschaft in Europa für mehr Transparenz staatlichen Handelns“.
Sie wehrten sich auch gegen die Begründung des Vorhabens: Neben dem „Bürokratierückbau“ war für die Unterminierung der Informationsfreiheitsrechte auch mit der staatlichen Resilienz argumentiert worden. Dem besonderen Schutzbedarf bestimmter Bereiche wie kritischer Infrastrukturen, aber auch „der Spionageabwehr, der Terrorismusbekämpfung oder auch der wissenschaftlichen Forschung“ wolle man stärker Rechnung tragen, schrieben die Koalitionäre.
Dieses Argument sei jedoch nur vorgeschoben, erklärten die Informationsfreiheitsbeauftragten. Das Auskunftsrecht biete nämlich bereits einen umfassenden Schutz für Sicherheitsinteressen.
Pressefreiheit bedroht
Der heute veröffentlichte offene Protestbrief richtet sich an die Bundesregierung, das Bundesinnenministerium und die Bundestagsabgeordneten im Innenausschuss. Die Unterzeichner, darunter Amnesty International, Greenpeace, LobbyControl, Wikimedia Deutschland, der Chaos Computer Club, der Naturschutzbund Deutschland (NABU), abgeordnetenwatch, FragDenStaat, die Deutsche Journalistinnen- und Journalisten-Union (dju), Reporter ohne Grenzen, der Deutsche Journalisten-Verband und Zeitungen wie der Freitag und die taz, kritisieren das rückwärtsgewandte Staatsverständnis der Koalition. Sie bezeichnen die geplanten Änderungen am Informationsfreiheitsgesetz als einen „massiven Rückschritt für die gesellschaftlichen Freiheitsrechte“. Das Vorhaben sei alarmierend.
Besonders hart käme es für Journalisten und die Pressefreiheit, so die Unterzeichner:
Das IFG ermöglicht seit 20 Jahren, dass Korruption und Machtmissbrauch konsequent aufgedeckt werden. Sollten die geplanten Anpassungen von Ihnen umgesetzt werden, so wäre das nicht nur das Aus für einen Großteil der IFG-Anträge, sondern auch ein fataler Einschnitt in die Pressefreiheit in Deutschland.
Die Ideen entsprächen auch nicht dem Willen der Mehrheit der Menschen: „Ein Großteil der Bevölkerung (83 %) wünscht sich […] mehr proaktive Transparenz und Informationsfreiheit der Behörden.“
Offenlegung: Die Autorin ist ehrenamtlich Sprecherin des Chaos Computer Clubs, der zu den Unterzeichnern des offenen Briefes gehört. Als solche, aber auch als langjährige IFG-Nutzerin, als Autorin und Publizistin stehe ich vollumfänglich hinter dem Anliegen des Briefes.
-
Künstliche Intelligenzvor 3 Monaten„Don’t Starve Elsewhere“: Survival‑Hit kehrt nach zehn Jahren zurück
-
Künstliche Intelligenzvor 3 MonatenKine‑Exakta: Die erste Spiegelreflexkamera fürs Kleinbild
-
Künstliche Intelligenzvor 3 Monaten
xTool P3 im Test: CO₂-Laser mit 80 Watt schneidet und graviert auch Acryl
-
Künstliche Intelligenzvor 3 MonatenWeitere Entlassungswelle bei Disney: Bis zu 1000 Mitarbeiter betroffen
-
Apps & Mobile Entwicklungvor 3 MonatenMega-GPUs für Nvidia, AMD & Co: TSMC zeigt CoWoS-Package mit >11.600 mm² & 24 × HBM5E
-
Social Mediavor 2 MonatenMetas neuer Creative Setup Workflow: Was sich wirklich ändert – und warum das nicht nur eine UI-Frage ist!
-
Künstliche Intelligenzvor 2 MonatenApple‑Geräte mit Microsoft Intune verwalten – zweiteiliges Live-Webinar
-
Entwicklung & Codevor 2 MonatenKommentar: Das Ende der SaaS-Gelddruckmaschine
