Author Archives: marius

Tracking über Browser API des Batteriestatuses

Posted on by

Wie die Webseite TheHackernews.com heute berichtet, ist es Forschern der Standford University bereits in 2015 gelungen, einen Super-Super-Cookie zu nutzen, in dem sie über die Browser API der mobilen Versionen von Chrome, Opera und Firefox den Batteriestatus abgefragt haben. Durch die Kombination von angezeigter „verbleibender Zeit in Sekunden“ und dem Prozentwert der Ladung, ergeben sich bis zu 14 Millionen Kombinationen, die man Geräten zu ordnen kann.

Steve Engelhard and Arvind Narayanan von der Princeton University, konnten nun in einem Forschungsbericht  zeigen, daß diese Technik bereits von Webseiten zum aktiven Tracken von Benutzern eingesetzt wird.

Zusammen mit anderen Techniken wird es damit immer schwerer dem Online-Tracking zu entgehen. Aber natürlich kann man etwas dagegen tun, denn auch für FireFox Mobile gibt es Noscript!  Ohne Javascript kann man Browser-Api’s nicht abfragen, was dazu führt, daß man nur ohne Javascript surfen muß.

Sollte man jetzt glauben, den Webseitenbetreibern ginge nur ums das reine Tracking dabei, weit gefehlt, daß ist nur zur Verbesserung der Identifikationsrate da, denn Tracking geht über sehr viele Browsermerkmale bereits gut ( mit Javascript).

Den Batteriestatus zu kennen, verleitet Verkäufer jetzt aber dazu, abhängig vom Stand die Preise zu ändern. Der Gedanke: „Der User ist unter Stress, weil seine Batterie bald schlapp macht und daher kauft er jetzt sofort das Erstbeste zum erstbesten Preis. Suchen bei der Konkurrenz kommen wegen des Batteriestandes nicht mehr in Frage. “

Damit könnte der Verkäufer sogar recht haben. Also, was heißt das ? Bei FireFox Javascript abschalten und gleichzeitig eine neue Kampagne starten, diese API zu begraben! Das man Chrome dazu bewegen kann, ist eher unwahrscheinlich. Google lebt ja vom Tracking anderer Leute 😉

Referenzen:

INRIA Privatics Forschungsbericht
Lukas Olejnik Blog
Random Walker – OpenWPM

Quelle: thehackernews.com

Telegram: API Mißbrauch verrät Nutzung

Posted on by

15 Millionen Datensätze von Iranischen Telefonnutzern sind bei einem großangelegten Mißbrauch der App Telegram „verifiziert“ worden. Konkret hatten Hacker Telefonnummern Accounts zugeordnet und so geprüft, ob diese Nummer schon bei Telegram registriert ist. Dazu nutzten Sie die SMS Benachrichtigungsfunktion für neu hinzugefügte Nummern, was bedeutet, daß die SMS Verfikationen abgefangen wurden. Einige vermuten auch einen staatlichen „Checkup“ weil nur iranische Accounts betroffen sind.

Telegram wird u.a. im Iran  gern genutzt, weil Kommunikationsdaten nur verschlüsselt auf dem Telefon übertragen werden.

Quelle: slashdot.org

mFUND oder wo unsere Steuern landen

Posted on by

Das Bundeswirtschaftsministerium fördert über prototypefund.de mit 1,2 Millionen Euro Open Source Software, was das Bundesministerium für Verkehr und digitale Infrastruktur veranlaßte mal wieder die digitalen Neulandgeräte, sprich Smartphones, zu fördern:

http://www.bmvi.de/DE/DigitalesUndRaumentwicklung/DigitaleAgenda/Modernitaetsfonds/modernitaetsfonds_node.html

Am Ende soll Open Source Software dabei rauskommen, die bei GitHUB u.ä. hinterlegt sein muß. Da hätte man auch gleich „Freie Software“ fordern können, hätte man den Unterschied dazu gewußt. „Förderungswürdig“  wird beim MFUND übrigens so angegeben:

„Mit dem mFUND unterstützt das BMVI die Entwicklung digitaler Geschäftsideen, die auf Mobilitäts-, Geo- und Wetterdaten basieren. Dazu zählen z.B. neue Navigationsdienste, innovative Sharing-Plattformen, intelligente Reiseplaner oder hochpräzise Wetter-Apps.“

Wir haben Livewetterkarten mit Livefeed vom Satelliten, wozu brauchen wir noch mehr unnütze Wetterapps, die sich zudem alle widersprechen ? Das Wetter ist, wie es ist, da wo man halt grade ist. Verlassen kann man sich auf keine Wetterkarte, auch nicht bei Kachelmann oder dem hauseigenen Wetterfrosch. Nicht einmal aufs Wetter kann man sich verlassen, wie ein Test neulich bei einer Geburtstagsfeier im Freien ausdrücklich gezeigt hat: Eine Gewitterfront, die zielstrebig auf uns zu kam, meinte dann doch, daß die 70 km bis zu uns, für welche die Front knapp eine Stunde gebraucht hätte, den ganzen Aufwand nicht wert war und schwenkte dann einfach richtig England um. Dort wird sich die Schlechtwetterfront dann am Ende auch viel wohler gefühlt haben, mit all den anderen Schlechtwetterwolken, die üblicherweise in London ihr EU Hauptquartier haben.

Aber zurück zum mFUND: Wieviel Navigationsdienste glaubt man im BMVI eigentlich, braucht ein Autofahrer ? Könnte es sein, daß die Strecke freier wird, wenn alle anderen mit einer anderen App im Stau stehen ?  Oder nehmen wir  Filesharing, wie oft soll ich die eine Datei noch teilen ? Vor lauter Teilenbuttons kann man einige Webseiten schon gar nicht mehr als mit Inhalt versehen erkennen! Sollen wir jetzt auch noch eine Sharingapp bauen, welche die geteile Datei auf dem Handy des Freundes dann sofort/wahlweise/nie/irgendwann/nächsten Dienstag löscht ? also Snapfile erfinden ?  Oder war hier vielmehr gemeint, daß man sich selbst shared, damit die ganzen Apps was zutun haben ?

Fest steht, daß hier Geld zum Fenster hinausgeworfen wird, um Projekte zu finanzieren, die ohnehin keine Chance haben, weil die amerikanischen Startups die Idee schneller aufnehmen und umsetzen können, als deutsche Beamte den Förderantrag bearbeiten werden. Vergeßt es einfach, Eure Idee ist schon weg, bevor das erste Geld kommt !

Hat sich mal jemand die Frage gestellt, was mit der Volkwirtschaft passiert, wenn statt einer app, hunderte apps den gleichen Job machen? Nein, dann beantworte ich das mal: Einem Rudel von Investoren wird Geld dafür abgenommen, eine Reinkarnation eines bereits erfolgreichen Unternehmens zu bauen. Sollte es dem neuen Nachbau gelingen signifikante Anteile am Markt zu erobern, könnte die Strategie aufgehen und die neue Firma wird von der Alten aufgekauft. Wenn jetzt aber hundert neue Unternehmen die wenigen Marktanteile unter sich aufteilen, führt das zu einer Menge verlorenem Kapital und einer Reihe arbeitsloser Programmierer, weil die paar Kunden dem Marktführer egal sind und er die Firmen nicht aufkauft.

Volkswirtschaftlich betrachtet, ist das deswegen Schwachsinn, weil es am Ende nur Verlierer gibt. Die Firmen, die den neuen Firmen die Webservices zur Verfügung gestellt haben, müssen ihrerseits den wegbrechenden Kundenstamm kompensieren und werfen die eigens eingestellten Leute auch wieder raus. Die Kapitalgeber verlieren sowieso alles und die Entwickler in den neuen, aber alsbald liquidierten Firmen, wurden davon abgehalten mit Ihrer kostbaren Zeit etwas neues zu erschaffen, das im Gegensatz zur Reinkarnation sinnvoll ist und auf Dauer bestehen bleibt. Vielleicht die Vermieter der Lofts der kurzeitig reichen Startupgründer finden das toll, weil sie so die Mietpreisbremsen umgehen können, denn gewerbliche Vermietungen fallen ja ja nicht drunter.

Liebes BMVI, fördert doch mal etwas, was wir wirklich dringend brauchen:

Verständnis für freie Software
Den Unterschied zwischen Freier Software und Open-Source erklären
Sichere Smartphonehardware
Sichere Smartphoneupdates
Sichere Smartphonebetriebssysteme ( z.b. GNU Linux aufm Handy für Alle zur Pflicht machen)
Sichere Steuersoftware für AUTOS
Echten Datenschutz für Autofahrer
Schutz vor unsinnigen digitalen Zwangsanwendungen für Autos
Schutz vor unsinnigen EHealth Zwangsanwendungen und Datensammlungen
Schutz vor unsinnigen EPersoAusweisen und deren ebenfalls unsicher umgesetzten Zwangsanwendungen.
Schutz vor VPN/WLAN Anbietern, die Erpressern und anderen Kriminellen zur Hand gehen.
Eine Finanz-Elster die auch sauber updated !

oder am besten überhaupt mal die Pflicht der Anbieter für Ihr Produkt 2 Jahre nach Verkaufsdatum noch Updates anzubieten. Dafür könnte man ja mal Kohle rauswerfen. In dem Sinne, einen schönen Wochenstart.