Software, Electronics, 3D Printing and more
Vorschussbetrug gibt es im Internet in vielen Formen. Sei es schwere Krankheit, eine Spende oder Bitcoins. Immer wird auf die Gier der Menschen gesetzt. Dieser Artikel gibt einen Einblick in die kriminellen Strukturen hinter einer Bitcoin Betrugsmasche.
You have probably already heard of Rubber Ducky or BadUSB. The idea behind this stuff is to drop a harmless looking USB Stick at a company or public location. These USB Sticks implement a keyboard which inputs malicious commands into the computer whenever it is attached. The keyboard sends hotkeys to start a shell and […]
Die luca App soll eine sichere Öffnung von Restaurants ermöglichen. Eine direkte Anbindung an Gesundheitsämter soll bei Wahrung des Datenschutzes die schnelle Unterbrechung von Infektionsketten gewährleisten. Bereits vor einigen Wochen wurde viel über den zentralisierten Ansatz der Closed Source Anwendung diskutiert. Der Quellcode der Android Version der luca App wurde inzwischen veröffentlicht. Laut den Entwicklern […]
Die regio iT bietet mit ihrem Serviceportal eine Lösung zur Digitalisierung kommunaler Dienstleistungen. Auf der Homepage der regio iT heißt es dazu: Trotz OZG ruhig schlafen Der Termin naht: Bis zum 31. Dezember 2022 müssen rund 250 Dienstleistungen von den Kommunen auch online angeboten werden. So steht es im Onlinezugangsgesetz (OZG). Viele Behörden greifen auf […]
Bis vor einer Woche betrieb der Kreis Heinsberg zwei Portale zur Verwaltung sensibler Daten. Neben personenbezogenen Daten wie Name, Anschrift und Telefonnummer, wurden auch Informationen zu psychischen Problemen nahezu ungeschützt gespeichert. In einem weiteren Portal wurden Informationen zum sprachlichen Förderbedarf von Grundschülern erfasst. Sozialpsychiatrischer Dienst Auf der Webseite des Kreises Heinsberg wird das Angebot des […]
Als kleine Randbemerkung ein Cross-Site-Scripting, gefunden bereits im Januar, in einer Applikation der regioiT. Alles in allem keine bedeutende Applikation und keine bedeutende Schwachstelle, aber im Kontext der aktuellen Problematik mit Bürgerportalen eine verspätete Veröffentlichung wert.
Noch am Tag der Veröffentlichung wurde die hier genannte Schwachstelle geschlossen. Über die Details liegen derzeit keine Informationen vor. Ende März diesen Jahres habe ich mehrere Schwachstellen in der Stundenplan- und Klassenbuchsoftware WebUntis in einem Responsible Disclosure Verfahren offengelegt. Neben einer CSRF Schwachstelle war es auch an mehreren Stellen möglich, JavaScript in die Webapplikation einzuschleusen. […]
Am 07.06.2020 gelang der Nachweis, dass die umgesetzten Maßnahmen nicht ausreichnd sind. Mehr dazu hier. Die vollständige Veröffentlichung aller Details und Proof-of-Concepts ist am 22.03.2020 erfolgt. Seit dem 31.03.2020 existiert eine offizielle Stellungnahme der Firma Untis. Details dazu hier. Bei WebUntis handelt es sich um ein elektronisches Klassenbuch, das die Aufgaben eines herkömmlichen Klassenbuchs auf […]
With CVE-2019-5456 I found a security vulnerability in Unifi Controller which enabled an attacker to catch emails sent by the controller even if the TLS should have been enforced. The attack was possible as the controller didn’t validate the server side certificate. Even worse the connection could be downgraded to plaintext if the server didn’t […]
This article is a follow up of my previous articles about common security issues on WPA2 Enterprise networks and the mysterious “Connect to these servers” option of Windows. It describes an attack which could endanger your networks security with a simple social engineering attack. As stated in my first article about WPA2 Enterprise, using MS-CHAP […]
