Forwarded from cRyPtHoN™ INFOSEC (DE)
📺 Videos PoC 📺
Abgehört: Sicherheitsforscher machen Smartspeaker zur Wanze
Berliner Sicherheitsforscher zeigen, wie Smartspeaker von Amazon und Google zum Abhören genutzt werden können. Außerdem könnten Nutzerinnen und Nutzer zur Herausgabe ihres Passworts gebracht werden.
📺 Smart Spies Hack 1:
https://tttttt.me/BlackBox_Archiv/675
📺 Smart Spies Hack 2:
https://tttttt.me/BlackBox_Archiv/676
👉🏼 Zum Artikel:
https://tttttt.me/cRyPtHoN_INFOSEC_DE/3758
Source:
https://srlabs.de/bites/smart-spies/
#Smartspeaker #Amazon #Google #Überwachung #Wanze #abhören #PoC #Video
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Abgehört: Sicherheitsforscher machen Smartspeaker zur Wanze
Berliner Sicherheitsforscher zeigen, wie Smartspeaker von Amazon und Google zum Abhören genutzt werden können. Außerdem könnten Nutzerinnen und Nutzer zur Herausgabe ihres Passworts gebracht werden.
📺 Smart Spies Hack 1:
https://tttttt.me/BlackBox_Archiv/675
📺 Smart Spies Hack 2:
https://tttttt.me/BlackBox_Archiv/676
👉🏼 Zum Artikel:
https://tttttt.me/cRyPtHoN_INFOSEC_DE/3758
Source:
https://srlabs.de/bites/smart-spies/
#Smartspeaker #Amazon #Google #Überwachung #Wanze #abhören #PoC #Video
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Media is too big
VIEW IN TELEGRAM
Bug in vielen Android-Handys erlaubt Ausspionieren
Ganz ohne Zugriffsrechte können Android-Apps Fotos und Videos machen – ideal, um Nutzer auszuspionieren. Von Google und Samsung gibt es Updates.
https://www.heise.de/newsticker/meldung/Boeser-Bug-in-vielen-Android-Handys-erlaubt-Ausspionieren-4591803.html
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
📺 https://www.youtube.com/watch?v=XJAMJOVoVyw
#PoC #Video #Bug #Android #Smartphones #Zugriffsrechte #ausspionieren
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Ganz ohne Zugriffsrechte können Android-Apps Fotos und Videos machen – ideal, um Nutzer auszuspionieren. Von Google und Samsung gibt es Updates.
https://www.heise.de/newsticker/meldung/Boeser-Bug-in-vielen-Android-Handys-erlaubt-Ausspionieren-4591803.html
https://www.checkmarx.com/blog/how-attackers-could-hijack-your-android-camera
📺 https://www.youtube.com/watch?v=XJAMJOVoVyw
#PoC #Video #Bug #Android #Smartphones #Zugriffsrechte #ausspionieren
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@cRyPtHoN_INFOSEC_ES
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Media is too big
VIEW IN TELEGRAM
Neue ungepatchte Strandhogg Android Sicherheitslücke wird aktiv in der Wildnis genutzt
#Cybersicherheitsforscher haben eine neue, nicht gepatchte #Sicherheitslücke im #Android-#Betriebssystem entdeckt, die bereits von Dutzenden bösartiger mobiler #Anwendungen in freier Wildbahn ausgenutzt wird, um die Bank- und anderen Anmeldeinformationen der Benutzer zu stehlen und ihre Aktivitäten zu überwachen.
📺 https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html
#Video #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
#Cybersicherheitsforscher haben eine neue, nicht gepatchte #Sicherheitslücke im #Android-#Betriebssystem entdeckt, die bereits von Dutzenden bösartiger mobiler #Anwendungen in freier Wildbahn ausgenutzt wird, um die Bank- und anderen Anmeldeinformationen der Benutzer zu stehlen und ihre Aktivitäten zu überwachen.
📺 https://thehackernews.com/2019/12/strandhogg-android-vulnerability.html
#Video #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
Forwarded from cRyPtHoN™ INFOSEC (DE)
This media is not supported in your browser
VIEW IN TELEGRAM
Datenschutzanalyse von Tiktok's App und Website (#PoC)
Ich habe eine detaillierte #Datenschutzprüfung der #Tiktok #App und #Website durchgeführt. Tiktok begeht mehrere Verstöße gegen #Gesetze, #Vertrauen, #Transparenz und #Datenschutz.
Hier finden Sie alle technischen und rechtlichen Details. Einen weniger technischen Artikel darüber können Sie in der Süddeutschen Zeitung lesen.
Das ist meine Einrichtung: Ich habe #Mitmproxy verwendet, um den gesamten App-Traffic zur #Analyse zu leiten. Sehen Sie in diesem #Video, wie #Geräteinformationen, #Nutzungszeiten und Videos an #Appsflyer und #Facebook gesendet werden...
Weiter auf:
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
Ich habe eine detaillierte #Datenschutzprüfung der #Tiktok #App und #Website durchgeführt. Tiktok begeht mehrere Verstöße gegen #Gesetze, #Vertrauen, #Transparenz und #Datenschutz.
Hier finden Sie alle technischen und rechtlichen Details. Einen weniger technischen Artikel darüber können Sie in der Süddeutschen Zeitung lesen.
Das ist meine Einrichtung: Ich habe #Mitmproxy verwendet, um den gesamten App-Traffic zur #Analyse zu leiten. Sehen Sie in diesem #Video, wie #Geräteinformationen, #Nutzungszeiten und Videos an #Appsflyer und #Facebook gesendet werden...
Weiter auf:
https://rufposten.de/blog/2019/12/05/privacy-analysis-of-tiktoks-app-and-website/
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@FLOSSb0xIN
📡@NoGoolag
Forwarded from cRyPtHoN™ INFOSEC (DE)
FinSpy_Report_CCC_v1.0.pdf
2.8 MB
Evolution einer privatwirtschaftlichen Schadsoftware für staatliche Akteure
FinFisher FinSpy für Android 2012-2019
Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.
👉🏼 PDF:
https://www.ccc.de/system/uploads/291/original/FinSpy_Report_CCC_v1.0.pdf
#CCC #FinSpy #Schadsoftware #FinFisher #PDF #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
FinFisher FinSpy für Android 2012-2019
Die CCC-Mitglieder Linus Neumann und Thorsten Schröder haben dazu 28 Softwarepakete (Samples) aus den Jahren 2012 bis 2019 untersucht und ihre Ergebnisse in einem 60-seitigen Bericht (PDF) veröffentlicht. Demnach könnten alle Samples demselben Hersteller zugeordnet werden.
👉🏼 PDF:
https://www.ccc.de/system/uploads/291/original/FinSpy_Report_CCC_v1.0.pdf
#CCC #FinSpy #Schadsoftware #FinFisher #PDF #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@FLOSSb0xIN
Forwarded from cRyPtHoN™ INFOSEC (DE)
Kindle sammelt eine überraschend große Menge an Daten
Wie sich herausstellt, sammelt der Kindle eine Tonne Daten
Der Kindle sendet Geräteinformationen, Nutzungsmetadaten und Details über jede Interaktion mit dem Gerät (oder der Anwendung), während es benutzt wird. All dies ist direkt mit dem Leserkonto verknüpft.
Das Öffnen der Anwendung, das Lesen eines Buches, das Blättern durch ein paar Seiten und das Schließen des Buches sendet über 100 Anfragen an Amazon-Server.
👀 👉🏼 🇬🇧 https://nullsweep.com/kindle-collects-a-surprisingly-large-amount-of-data/
#Kindle #Überwachung #Daten #sammeln #Amazon #DeleteAmazon #nachdenken #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Wie sich herausstellt, sammelt der Kindle eine Tonne Daten
Der Kindle sendet Geräteinformationen, Nutzungsmetadaten und Details über jede Interaktion mit dem Gerät (oder der Anwendung), während es benutzt wird. All dies ist direkt mit dem Leserkonto verknüpft.
Das Öffnen der Anwendung, das Lesen eines Buches, das Blättern durch ein paar Seiten und das Schließen des Buches sendet über 100 Anfragen an Amazon-Server.
👀 👉🏼 🇬🇧 https://nullsweep.com/kindle-collects-a-surprisingly-large-amount-of-data/
#Kindle #Überwachung #Daten #sammeln #Amazon #DeleteAmazon #nachdenken #PoC
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Forwarded from cRyPtHoN™ INFOSEC (DE)
Sie sind bei Tor nicht anonym - Letzten Februar wurde mein Tor-Onion-Dienst von einem riesigen DDoS-Angriff (Distributed Denial-of-Service) auf Tor-Basis betroffen.
Ich verbrachte Tage mit der Analyse des Angriffs, der Entwicklung von Entschärfungsoptionen und der Verteidigung meines Servers. (Der Tor-Dienst, den ich für das Internet-Archiv betreibe, war für ein paar Stunden ausgefallen, aber ich habe es geschafft, ihn am Laufen zu halten und den größten Teil des Angriffs durchzustehen).
Während ich versuchte, kreative Wege zu finden, um den Dienst am Laufen zu halten, konsultierte ich eine Gruppe von Freunden, die im Bereich der Reaktion auf Netzwerkvorfälle sehr aktiv sind. Einige von ihnen sind die Leute, die die Welt vor neuen Netzwerkangriffen warnen. Andere sind sehr erfahren im Aufspüren von Denial-of-Service-Angriffen und den damit verbundenen Command-and-Control (C&C)-Servern. Ich habe sie gefragt, ob sie mir helfen könnten, die Quelle des Angriffs zu finden. "Sicher", antworteten sie. Sie brauchten nur meine IP-Adresse.
Ich las die Adresse ab: "152 Punkt" und sie wiederholten "152 Punkt". "19 Punkt" "19 Punkt" und dann sagten sie mir den Rest der Netzwerkadresse. (Ich war fassungslos.) Tor sollte anonym sein. Man soll die IP-Adresse eines versteckten Dienstes nicht kennen. Aber sie wussten es. Sie hatten die Tor-basierten DDoS beobachtet. Sie hatten eine Liste mit den Adressen der versteckten Dienste, die das Ziel des Angriffs waren. Sie wussten nur nicht, dass diese spezielle Adresse meine war.
Wie sich herausstellt, ist dies ein offenes Geheimnis in der Gemeinschaft der Internetdienste: Sie sind bei Tor nicht anonym !!
💡 Modell der Bedrohung
Es gibt eine Fülle von Dokumenten, die behandeln, wie Tor Pakete dreifach verschlüsselt, eine Route mit Hilfe eines Wächters, eines Relays und eines Ausgangs auswählt und Pfade zufällig bestimmt, um den Netzwerkverkehr durcheinander zu bringen. Allerdings decken nur wenige Dokumente das Bedrohungsmodell ab. Wer kann Ihren Verkehr sehen?
👀 👉🏼🇬🇧 https://www.hackerfactor.com/blog/index.php?/archives/896-Tor-0day-Finding-IP-Addresses.html
#tor #onion #service #zeroday #DDoS #attacks #anonymous #poc #thinkabout
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag
Ich verbrachte Tage mit der Analyse des Angriffs, der Entwicklung von Entschärfungsoptionen und der Verteidigung meines Servers. (Der Tor-Dienst, den ich für das Internet-Archiv betreibe, war für ein paar Stunden ausgefallen, aber ich habe es geschafft, ihn am Laufen zu halten und den größten Teil des Angriffs durchzustehen).
Während ich versuchte, kreative Wege zu finden, um den Dienst am Laufen zu halten, konsultierte ich eine Gruppe von Freunden, die im Bereich der Reaktion auf Netzwerkvorfälle sehr aktiv sind. Einige von ihnen sind die Leute, die die Welt vor neuen Netzwerkangriffen warnen. Andere sind sehr erfahren im Aufspüren von Denial-of-Service-Angriffen und den damit verbundenen Command-and-Control (C&C)-Servern. Ich habe sie gefragt, ob sie mir helfen könnten, die Quelle des Angriffs zu finden. "Sicher", antworteten sie. Sie brauchten nur meine IP-Adresse.
Ich las die Adresse ab: "152 Punkt" und sie wiederholten "152 Punkt". "19 Punkt" "19 Punkt" und dann sagten sie mir den Rest der Netzwerkadresse. (Ich war fassungslos.) Tor sollte anonym sein. Man soll die IP-Adresse eines versteckten Dienstes nicht kennen. Aber sie wussten es. Sie hatten die Tor-basierten DDoS beobachtet. Sie hatten eine Liste mit den Adressen der versteckten Dienste, die das Ziel des Angriffs waren. Sie wussten nur nicht, dass diese spezielle Adresse meine war.
Wie sich herausstellt, ist dies ein offenes Geheimnis in der Gemeinschaft der Internetdienste: Sie sind bei Tor nicht anonym !!
💡 Modell der Bedrohung
Es gibt eine Fülle von Dokumenten, die behandeln, wie Tor Pakete dreifach verschlüsselt, eine Route mit Hilfe eines Wächters, eines Relays und eines Ausgangs auswählt und Pfade zufällig bestimmt, um den Netzwerkverkehr durcheinander zu bringen. Allerdings decken nur wenige Dokumente das Bedrohungsmodell ab. Wer kann Ihren Verkehr sehen?
👀 👉🏼🇬🇧 https://www.hackerfactor.com/blog/index.php?/archives/896-Tor-0day-Finding-IP-Addresses.html
#tor #onion #service #zeroday #DDoS #attacks #anonymous #poc #thinkabout
📡@cRyPtHoN_INFOSEC_DE
📡@cRyPtHoN_INFOSEC_EN
📡@BlackBox_Archiv
📡@NoGoolag