Category Archives: Security

Tracking über Browser API des Batteriestatuses

Posted on by

Wie die Webseite TheHackernews.com heute berichtet, ist es Forschern der Standford University bereits in 2015 gelungen, einen Super-Super-Cookie zu nutzen, in dem sie über die Browser API der mobilen Versionen von Chrome, Opera und Firefox den Batteriestatus abgefragt haben. Durch die Kombination von angezeigter „verbleibender Zeit in Sekunden“ und dem Prozentwert der Ladung, ergeben sich bis zu 14 Millionen Kombinationen, die man Geräten zu ordnen kann.

Steve Engelhard and Arvind Narayanan von der Princeton University, konnten nun in einem Forschungsbericht  zeigen, daß diese Technik bereits von Webseiten zum aktiven Tracken von Benutzern eingesetzt wird.

Zusammen mit anderen Techniken wird es damit immer schwerer dem Online-Tracking zu entgehen. Aber natürlich kann man etwas dagegen tun, denn auch für FireFox Mobile gibt es Noscript!  Ohne Javascript kann man Browser-Api’s nicht abfragen, was dazu führt, daß man nur ohne Javascript surfen muß.

Sollte man jetzt glauben, den Webseitenbetreibern ginge nur ums das reine Tracking dabei, weit gefehlt, daß ist nur zur Verbesserung der Identifikationsrate da, denn Tracking geht über sehr viele Browsermerkmale bereits gut ( mit Javascript).

Den Batteriestatus zu kennen, verleitet Verkäufer jetzt aber dazu, abhängig vom Stand die Preise zu ändern. Der Gedanke: „Der User ist unter Stress, weil seine Batterie bald schlapp macht und daher kauft er jetzt sofort das Erstbeste zum erstbesten Preis. Suchen bei der Konkurrenz kommen wegen des Batteriestandes nicht mehr in Frage. “

Damit könnte der Verkäufer sogar recht haben. Also, was heißt das ? Bei FireFox Javascript abschalten und gleichzeitig eine neue Kampagne starten, diese API zu begraben! Das man Chrome dazu bewegen kann, ist eher unwahrscheinlich. Google lebt ja vom Tracking anderer Leute 😉

Referenzen:

INRIA Privatics Forschungsbericht
Lukas Olejnik Blog
Random Walker – OpenWPM

Quelle: thehackernews.com

Telegram: API Mißbrauch verrät Nutzung

Posted on by

15 Millionen Datensätze von Iranischen Telefonnutzern sind bei einem großangelegten Mißbrauch der App Telegram „verifiziert“ worden. Konkret hatten Hacker Telefonnummern Accounts zugeordnet und so geprüft, ob diese Nummer schon bei Telegram registriert ist. Dazu nutzten Sie die SMS Benachrichtigungsfunktion für neu hinzugefügte Nummern, was bedeutet, daß die SMS Verfikationen abgefangen wurden. Einige vermuten auch einen staatlichen „Checkup“ weil nur iranische Accounts betroffen sind.

Telegram wird u.a. im Iran  gern genutzt, weil Kommunikationsdaten nur verschlüsselt auf dem Telefon übertragen werden.

Quelle: slashdot.org

Von Mr. Les Matheson :D

Posted on by
Ohh wie habe ich das vermißt 🙂 Das Gestottere, die miese Grammatik und die vielen vielen Millionen die ich bekommen soll 😀  Nicht ein gerader Satz, so unterhaltend kann Verbrechen sein 😉
Von Mr. Les Matheson,
Telefon: +447087664357
E-mail: les.matheson@outlook.com 

Ich bitte Ihre Aufmerksamkeit und Verständnis in Bezug auf mein Ziel, e-Mail an Sie heute, mein Name ist Herr Les Matheson, 
 Chief Executive von Personal und Business Banking bei der RBS und NatWest. Ich bitte Ihre Aufmerksamkeit auf diese Transaktion 
 mit größter Vertraulichkeit. Als Top-Manager bei der Bank, entdeckte ich ein Nummernkonto mit einem Guthaben von GBP 13.610.000 0,00 
 (dreizehn Millionen sechshundertzehntausend Britische Pfund), die (MOHAMMAD MADINABIBI) einem indischen Millionär eines unserer 
 verstorbenen Kunden gehört, der leider während Hadsch Stampede September 2015. Aufgrund meiner Position bei der Bank gestorben ist, 
 kann ich Ihnen mitteilen, dass ich zuversichtlich notwendigen Details haben diese Mittel ohne Haken zu verlangen. Ich brauche nur Ihre 
 Unterstützung als Ausländer den Empfänger zu übernehmen, da meine Position als Beamter und ein Bankbeamter mich oder meine 
 Verwandten nicht erlauben, diesen Anspruch. Deshalb muss ich Ihnen als "Foreign Empfänger" zu stehen, und ich versichere Ihnen, 
 von einem perfekten Transferstrategie in Ihrem Namen rechtlich jeden Verdacht zu vermeiden.

Sie sind in diesem sehr viel für Ihre Bemühungen zu 40% der gesamten Summe berechtigt, Bei Ihrer Betrachtung meines Vorschlags, bitte ich 
 (Ihr vollständiger Name, Kontaktadresse und Ihr Telefon / Fax-Nummer) zu ermöglichen es mir, den Fonds ein neues Profil Ihren Namen hat wie 
 der Empfänger für Bankzulassungen und Überweisungen an Ihr angegebenes Bankkonten. Auch das Niveau der Ermessen unter Berücksichtigung 
 dieses Projekts erforderlich für den Erfolg, fordere ich Ihre Antwort auf meine private E-Mail: les.matheson@outlook.com und fühlen sich frei, mich 
 auf meine Handy-Nummer anrufen oben für klare Details.

Wenn sich der Herr also bei Ihnen meldet, dann ab in die digitale Mülltonne damit.