All posts by robin

Latest Posts

Show me your smartphone and I tell you where you are from

This article outlines privacy issues with WiFi enabled smartphones and my tracking approach using a few lines of code. Using a $2 chinese wireless USB adapter, an old Raspberry Pi B and Scapy I was able to track peoples habits and visualize their homes location in realtime. Disclaimer: In most (European) countries this proceeding will […]

Sicherheit unverschlüsselter Netzwerke und Captive Portals

In Hotels, Gaststätten und in vielen Firmen ist es Standard, eine Anmeldung für Gäste am WLAN mit einem Captive Portal zu versehen. Dabei müssen entweder nur Nutzungsbestimmungen oder aber vorher bekanntgegebene Zugangsdaten eingegeben werden. In den meisten Fällen ist diese Art der Umsetzung kein Problem, denn viele Dienste im Internet werden inzwischen verschlüsselt erreicht. Die […]

Einstellung der Ferien / Feiertage API

Es ist ein Schritt, der sich bereits seit längerem abzeichnete. Daher möchte ich die API nicht kommentarlos abschalten, sondern auch meine Gründe dazu erklären. Angefangen habe ich mit der API als Schüler im April 2014. Damals vorallem, um die Daten selbst für eigene Anwendungen zu verwenden. Da ich die Daten anfangs noch von Schulferien.org bezog, […]

Schild NRW – Von Updates und Signaturen

– oder: Wie du dir Noten für dein Zeugnis hackst. Spätentens mit dem PC-Wahl-Hack wurde deutlich, welche Auswirkungen ungeprüfte Update Binaries haben können. Ein weiterer Kandidat für diesen Angriff ist Schild-NRW. Eine <ironie>sehr beliebte</ironie> Software, die an Schulen in NRW zur vollständigen Verwaltung der Schülerdaten eingesetzt wird. Dazu gehören auch der Zeugnisdruck und somit die […]

Selbstkritik: Wie man Sicherheitslücken nicht meldet

Ich suche immer mal wieder nach Sicherheitslücken in Netzwerken, Anwendungen und Internetseiten. Dabei muss man natürlich aufpassen sich stets im rechtlichen Rahmen zu bewegen und bei den Tests nichts zu (zer)stören. Wer meine Posts hier verfolgt, der wird den ein oder anderen Eintrag über LoRaWAN und TheThinsNetwork bemerkt haben. Um die Abdeckung des Netzwerks zu […]

Von Newslettern, Bestätigungstoken und Input Validation

Den normalen Prozess bei der Anmeldung zu einem Newsletter kennt jeder. Nach der Eingabe der Email Adresse wird eine Bestätigungsemail verschickt, um sicherzustellen, dass der Besitzer der Adresse den Newletter wirklich abbonieren möchte. Dies hat auf der einen Seite den Vorteil, dass man seine ungeliebten Kollegen nicht mit Spam beglücken kann, ist aber tatsächlich nach […]