Tumblelog by Soup.io
Newer posts are loading.
You are at the newest post.
Click here to check if anything new just came in.

July 10 2013

Heml.is: Peter Sunde will abhörsicheren Messenger für Smartphones entwickeln

Der Schwede Peter Sunde, einer der Mitgründer von The Pirate Bay, hat angekündigt einen abhörsicheren Messenger für Smartphones entwickeln zu wollen. Der Messenger soll auf den Namen heml.is hören – hemlig bedeutet auf schwedisch so viel wie “geheim” – und soll eine Anwendung für “Jedermann” werden und der “nutzerfreundlichste Messenger aller Zeiten”. Zusammen mit Leif Högberg und Linus Olsson hat Sunde bereits eine Webseite erstellt und bittet dort um Spenden um das Projekt verwirklichen zu können.

Heml.is baut nach eigenen Angaben auf bereits vorhanden Technologien auf, darunter XMPP und PGP. Die Bedienung von heml.is soll dabei so einfach und intuitiv wie möglich gestaltet werden, um auch Nutzer ohne technisches Hintergrundwissen anzusprechen und ihnen verschlüsselte Kommunikation über das Smartphone zu ermöglichen. Um heml.is zu finanzieren hat Peter Sunde zu einer Crowdsourcingkampagne aufgerufen, mit dem Ziel 100.000 Dollar einzunehmen. Zum jetzigen Zeitpunkt ist mit rund 30.000 Dollar bereits ein Drittel der Summe eingenommen worden. Sollte die Endsumme nicht erreicht werden, erhalten alle Spender ihr Geld zurück.

In einer ersten Version soll heml.is für Android und iOS erscheinen. Die Entwickler halten es sich offen, später weitere Betriebssysteme zu unterstützen. Angedacht ist eine kostenlose Version, welche einzig das Versenden von Textnachrichten erlaubt, sowie eine Pro-Version, welche Zusatzfunktionen wie das Versenden von Bildern erlauben soll.

Heml.is ist aber keineswegs der einzige Messenger für Smartphones, der verschlüsselte Kommunikation ermöglicht. Ein Messenger mit einem ähnlichen Fokus auf Benutzerfreundlichkeit ist Threema. Der aus der Schweiz stammende Messenger ist ebenfalls für Android und iOS erhältlich, ist allerdings keine Open-Source Software. Daher lässt sich nichts über die Qualität der Verschlüsselung im Code sagen. Eine weitere Alternative für Android ist TextSecure, welches Open-Source-Software ist und ebenfalls eine verschlüsselte Kommunikation über das Smartphone ermöglicht.

Wir wollen netzpolitik.org weiter ausbauen. Dafür brauchen wir finanzielle Unterstützung. Investiere in digitale Bürgerrechte.

flattr this!

August 29 2012

FinSpy Mobile: Deutscher Staatstrojaner FinFisher für iPhone, Android und Blackberry enttarnt

Nach der Enttarnung des Staatstrojaners FinSpy aus der Produktpalette von FinFisher sind jetzt auch Versionen für mobile Endgeräte entdeckt und analysiert wurden. Forscher des Citizen Lab haben Trojaner für iOS, Android, BlackBerry, Windows Mobile und Symbian enttarnt, die sie für Varianten von FinSpy Mobile halten. Die Software kann die Telefone komplett überwachen, inklusive Anschalten des Mikrofons und Ortung des Geräts.

Wie bereits bei der enttarnten Windows-Version nutzen auch die neuen Versionen für Smartphones und Tablets Strings wie “FinSpy” oder den Namen des Firmenchefs “Martin Muench”, Domains wie “demo-de.gamma-international.de” und Command & Control Server, die “Hallo Steffi” antworten:



Die Trojaner können die volle Kontrolle über die Smartphones übernehmen, inklusive dem Aufzeichnen aller Kommunikation wie Telefonaten, SMS und Blackberry Messenger, dem Download aller Dateien, dem heimlichen Anschalten des Mikrofons und die Überwachung des Aufenthaltsortes des Mobilgeräts in Echtzeit.

Überwachungs-Geräte in der Tasche

Über den Infektionsweg sagt das Team um Morgan Marquis-Boire wenig. Nur: Falls die Trojaner die mobilen Betriebssysteme nicht direkt angreifen, benötigen alle untersuchten Exemplare eine Interaktion des Nutzers, wie dem Klicken auf einen Mail-Anhang oder eine Webseite.

Neben den neuen Versionen haben die Forscher des Citizen Lab auch weitere Kommando-Server in Äthiopien, Bahrain, Brunei, Indonesien, Mongolei, Niederlande, Singapur, Tschechische Republik, Turkmenistan und den Vereinigten Arabischen Emiraten gefunden. Damit bestätigen sie weitgehend die Analyse von Rapid 7. Nicht alle diese Staaten setzen jedoch automatisch den Trojaner ein, mindestens der Amazon-Cloud Server in den USA war wohl nur ein Proxy.

Vernon Silver berichtet auch über die neueste Analyse auf Bloomberg News. Ihm gegenüber bestätigte Firmenchef Martin J. Muench, dass Gamma mit FinSpy Mobile auch einen Trojaner für mobile Endgeräte verkauft. Wie, und auf welchen Plattformen, dazu will er keine Auskunft geben.

Gegenüber netzpolitik.org bestätigte Muench, dass die bisher analysierten Samples “von den Funktionalitäten her definitiv Ähnlichkeiten” zu FinFisher haben, aber für eine endgültige Bestätigung mehr Zeit für die Analyse notwendig ist. “Sofern es sich tatsächlich um FinSpy handelt, so muss es hier eine Version sein die temporär z.B. für Produktdemonstrationen verwendet wurde”, so Muench. Auch Bloomberg zitiert eine Pressemitteilung von Gamma, dass eine Demo-Version der Software gestohlen worden sei:

“The information that was stolen has been used to identify the software Gamma used for demonstration purposes,” the release said. “No operations or clients were compromised by the theft.” The Gamma statement said that while its demo products contain the word “FinSpy” — a marker the researchers used to help identify samples — its more sophisticated operational products don’t.

Gamma hält sich laut eigenen Aussagen beim Export seiner Überwachungs-Software an die “Exportbestimmungen in Großbritannien, den Vereinigten Staaten und Deutschland”. Dumm nur, dass die in Deutschland gar nicht kontrolliert werden.

flattr this!

February 15 2012

Datenschutz auf dem iPhone: Auch foursquare verschickt ungefragt das gesamte Adressbuch

Das Ausspähen von E-Mail-Adressen und Telefonnummern ist auf dem iPhone scheinbar Mode. Nach Facebook und Path kommt nun raus, dass auch foursquare ungefragt das gesamte Adressbuch an seine Server schickt.

Nach einem Hinweis von Paul Haddad hat Henning Tillmann mal recherchiert und den Nachweis veröffentlicht:

Nach der Anmeldung werden weitere Daten an den Server geschickt, ohne, dass der Nutzer gefragt wird oder ein Hinweis erscheint. Die Daten enthalten die Telefonnummern und E-Mail-Adressen (URL-kodiert).

Dustin Curtis beschreibt, dass dieses skandalöse Vorgehen gängige Praxis bei iPhone App-Entwicklern ist:

I did a quick survey of 15 developers of popular iOS apps, and 13 of them told me they have a contacts database with millons of records. One company’s database has Mark Zuckerberg’s cell phone number, Larry Ellison’s home phone number and Bill Gates’ cell phone number. This data is not meant to be public, and people have an expectation of privacy with respect to their contacts.

Jennifer Van Grove führt weitere Beispiele an:

Facebook, Twitter, Instagram, Foursquare, Foodspotting, Yelp, and Gowalla are among a smattering of iOS applications that have been sending the actual names, email addresses and/or phone numbers from your device’s internal address book to their servers, VentureBeat has learned.

Einige der dafür kritisierten Betreiber winden sich nun rum und wollen wohl die Benutzerin vorher um Erlaubnis fragen. Das ist ja wohl das Mindeste.

Das Problem sitzt aber tiefer. Die hier übermittelten Daten betreffen ja nicht nur den Anwender der App, sondern alle Menschen in seinem Adressbuch. Diese Daten zu übermitteln, ohne die Einwilligung vom Eigentümer der jeweiligen Telefonnummer oder E-Mail-Adresse zu haben, verstößt nicht nur gegen deutsches Datenschutzrecht, sondern ist einfach völlig daneben. Und mal ehrlich: Hand hoch, wer wirklich alle Leute in seinem Adressbuch einzeln gefragt hat!

Jeder Mensch hat das Recht, sich im Internet nackig zu machen. Aber alle anderen haben auch das Recht, das nicht machen zu müssen. Wenn du dein Addressbuch mit Internet-Diensten synchronisierst, dann will ich da nicht drin stehen.

Older posts are this way If this message doesn't go away, click anywhere on the page to continue loading posts.
Could not load more posts
Maybe Soup is currently being updated? I'll try again automatically in a few seconds...
Just a second, loading more posts...
You've reached the end.

Don't be the product, buy the product!

Schweinderl