„Passwort“ Folge 35: News von Kopfhörer-Lauschangriff bis verschlüsselten DMs

Zäsur im Security-Podcast! Eine Folge (fast) ohne PKI – was ist da los? Kein Grund zur Besorgnis: Andere Themen fanden die Hosts dieses Mal einfach spannender. Denn vom berüchtigten Sommerloch ist im Feld der IT-Sicherheit nichts zu spüren.

In der aktuellen Folge beschäftigen sich Sylvester und Christopher zunächst mit einem angeblichen Leak vieler Milliarden Zugangsdaten. Das entpuppte sich bei genauerem Hinsehen weitestgehend als Luftnummer, der dennoch viele Medien und besorgte Nutzer auf den Leim gingen. Das erklärt auch die Rekord-Zugriffszahlen bei der Leak-Plattform „Have I been pwned?“ rund um das „Mega-Datenleck“.

Verschlüsselte Twitter-DM in der Kritik

Apropos Luftnummer: Den neuen verschlüsselten Direktnachrichten (DMs) auf X kann Sylvester nur wenig abgewinnen. Seine ernüchterte Analyse: „Bei Elon Musks vollmundiger Ankündigung stimmen nur die ersten drei Worte.“ Auch prominente Verschlüsselungsexperten üben Kritik an der Implementierung.

Ein großes Thema in der aktuellen Folge sind Praktiken rund um das Melden, Katalogisieren und die Bearbeitung von Sicherheitslücken in Soft- und Hardware. Die Volten rund um einen Bug im Linux-Kernel und dessen Sicherheitsrelevanz gehören genauso dazu wie eine bemerkenswerte Veränderung bei libxml2, einer viel genutzten XML-Bibliothek.

Eine schwere Lücke in Millionen Bluetooth-Kopfhörern rundet die Folge ab. Auch hier war der Meldeweg länger und verschlungener, als er sein sollte, denn der Hersteller der verwundbaren Chips reagierte arg verzögert auf eine detaillierte Fehlermeldung der deutschen Sicherheitsforscher. Und auch die Update-Situation ist ausbaufähig, konstatiert Podcast-Cohost Christopher.

Die neueste Folge von „Passwort – der heise security Podcast“ steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.

(cku)