Netzwelt – Seite 7

Howto: Android Smartphone auf CarrierIQ ohne Root-Zugriff überprüfen

Freitag 2nd Dezember 2011Ben Peter

Carrier IQ, eine Software die das Nutzungsverhalten von Smartphonebenutzern aufzeichenen kann, ist in aller Munde. Auf über 140 Millionen Endgeräten soll die Software installiert sein, das bezieht sich nicht nur auf Android Smartphones. Offensichtlich wird die Software primär in den USA genutzt, ich habe noch von keinem Benutzer aus Deutschland gehört, der die Software auf seinem Gerät entdeckt hat.

Wer allerdings auf Nummer sicher gehen möchte und sein Gerät auf die Carrier IQ Software überprüfen will, der kann es mittels einer kleinen App aus dem Android Market tun. Die App „Voodoo Carrier IQ detector“ (Android Market Direktlink), benötigt keinen Root Zugriff um die App zu erkennen. Sollte CarrierIQ auf dem Gerät gefunden werden, braucht es allerdings Root-Zugriff um sich dieser zu entledigen. Benutzer von Mods, wie dem Cyanogen Mod, sind nicht betroffen, hier ist die Software nicht enthalten.

Was Carrier IQ alles aufzeichnet hat Trevor Eckhart in einem Video festgehalten, äusserst informativ und sehenswert:

YouTube Direktlink

Carrier IQ ist jedoch recht leicht zu finden, auch ohne die oben vorgestellte App, die Bezeichnung als „Rootkit“ ist hier etwas inflationär verwendet worden, denn Rootkits bestechen vor allem dadurch, dass sie nicht sichtbar ihre düstere Arbeit verrichten.

Was sagt ihr zum Carrier IQ Thema? Lasst es uns in den Kommentaren wissen!

EmbedPlus: YouTube Videos mit Sonderfunktionen einbinden

Mittwoch 16th November 2011Ben Peter

Gerade als Blogger stösst man häufig auf Videos, die man den Lesern zeigen möchte. YouTube bietet eine schnelle und einfach Möglichkeit diese in die eigene Webseite einzubinden. Was aber, wenn man mehr möchte? EmbedPlus bietet einige Funktionen, die man sich sicherlich schon häufiger gewünscht hat.

EmbedPlus ist ein Onlinedienst, der dank einer einfachen Benutzerführung und zusätzlicher Funktionen, YouTube Videos in die eigene Webseite einbinden kann. Mit EmbedPlus „bearbeitete“ Videos kann man dank generiertem Code direkt in die Webseite einbinden, nutzt man WordPress braucht man noch das Plugin, oder per Shortlink weitergeben.

Zwar kann man einige der Funktionen auch mit YouTube eigenen Mitteln bewerkstelligen, EmbedPlus bietet hier jedoch den Vorteil der simplen Erstellung, ohne etwas manuell ändern zu müssen.

Alles startet mit der Eingabe der URL des YouTube Videos, diese könnt ihr einfach der Adresszeile eures Browsers entnehmen, während ihr das Video auf YouTube geöffnet habt:

Im zweiten Schritt geht es an die zusätzlichen Funktionen:

Man kann die Grösse bestimmen und auf die eigene Webseite anpassen und vorgeben dass das Video immer in der höchstmöglichen HD Version abgespielt werden soll. Start und Stop-Zeit sind sehr nützliche Funktionen, denn häufig möchte man in einem Video einen bestimmten Bereich zeigen, weil hier z.B. eine interessante Funktion, oder ein Detail gezeigt wird. Im Startbereich setzt man die Zeit, ab der das Video beginnen soll. Nun kann man es ab dieser Stelle bis zu Ende durchlaufen oder automatisch Stoppen lassen, wenn man eine Stop-Zeit eingegeben hat.

Szenenmarker ersetzen das klassische DVD Menü, man kann verschiedene Marker setzen und die Betrachter direkt an die entsprechenden Stellen springen lassen, gerade bei sehr umfangreichen, bzw. langen Videos eine schöne Funktion.

Hinter dem Real-time Reaction Button verstecken sich aktuelle Reaktionen zum Video, seien dies Kommentare auf YouTube oder Erwähnungen bei Twitter, mit einem Klick auf den Button, kann der Betrachter sich diese anzeigen lassen.

Abschliessend können eigene Anmerkungen zum Video erstellt und eingeblendet werden. Dies ist immer dann hilfreich, wenn man weitergehende Informationen zum Video hat, Korrekturen vermerken will, oder einfach nur ein anderssprachiges Video mit sinnvollen Anmerkungen ergänzen möchte.

Ein Klick auf „Get code“ zeigt uns die entsprechenden Codes an, damit diese auf der eigenen Webseite eingebunden werden können. Alternativ kann man einfach den generierten Bit.ly Link nutzen und ihn weiterverteilen.

EmbedPlus bietet eigentlich nichts, was man nicht über manuelle Anpassungen auf YouTube auch erreichen könnte, der Vorteil liegt in der einfachen Nutzbarkeit. Einziges Manko: ein bereits „bearbeitet“ Video kann nicht im Nachhinein nochmal angepasst werden, weil man eine zusätzliche Anmerkung machen will, oder einen weiteren Marker setzen möchte.

Dein Smartphone weiß was du letzen Sommer getippt hast!

Dienstag 15th November 2011Dienstag 15th November 2011Ben Peter

Auf Computern werden sie von jedem Virenscanner hochkant rausgeworfen: Die Keylogger. Berechtigt, denn jeder einzelne Tastenanschlag wird gespeichert und kann an Dritte übertragen werden. Die meisten werden sich denken, dass sie durch Virenscanner und Erfahrung sicher davor sind … wäre da nicht das geliebte Smartphone neben der Tastatur.

Das Smartphone als Keylogger — Das Smartphone als "kabelloser" Keylogger

Patrick Traynor, Professor an der Georgia Tech’s School of Computer Science hat ein Verfahren vorgestellt, mit dem es möglich ist, mithilfe eines Smartphones, Tastatureingaben direkt von der Tastatur „abzulesen“. Was das kleine Smartphone doch nicht alles kann? Nun sind Passwörter und Adressen nicht einmal mehr davor sicher. Das Verfahren ist einfach erklärt, benötigt aber eine enorme Feinjustierung. Getestet wurde es mit einem iPhone4 jedoch sind prinzipiell alle neueren Smartphones dafür geeignet.

Bei jedem Tastaturanschlag entstehen kleine Vibrationen, für uns natürlich nicht spürbar. Das Smartphone verfügt jedochüber eine ganze Reihe empfindlicher Sensoren, die es sogar möglich machen, ein Smartphone als Belichtungsmesser zu benutzen, oder um den eigenen Herzschlag zu ermitteln. Der Beschleunigungssensor kann nun dazu verwendet werden diese Vibrationen aufzuzeichnen. Anhand der Reihenfolge und Intensität der Vibrationen lässt sich eine ungefähre Position des Anschlages berechnen. Danach wird in einem Wörterbuch gesucht welches Wort denn in Frage kommt und darauf abgeglichen. Wer jetzt sagt das klappt doch nie … die Entwickler geben eine Erfolgsquote von 80% an.

Das Verfahren lässt sich nicht mit jedem Smartphone umsetzen, es kommt auf die Qualität der Sensoren an. Mit einem iPhone 3 war es beispielsweise absolut nicht möglich die Vibrationen präzise aufzuzeichnen. Im iPhone 4 ist zusätzlich ein Gyroskop verbaut, was die Qualität des Beschleunigungssensors steigert. Wenn man sich nun die neueren Smartphones mal anschaut, ein Galaxy Nexus kommt ebenfalls mit einem Gyroskop, ein paar andere High-End Geräte haben ebenfalls eines verbaut.

Diese Art Vibrationen aufzuzeichnen ist nicht neu, es ist schon mit Hilfe des eingebauten Mikrofons möglich . Das Mikrofon ist um einiges empfindlicher als die Sensoren. Das große aber allerdings: Die Betriebssysteme fragen bei der Installation einer App, die auf das Mikro zugreifen wollen, nach und zeigen dies an. Bei den Sensoren ist das in der Regel nicht so, was einen Angriff einfacher werden lässt. Zwar muss auf dem Smartphone erst die entsprechende Software installiert sein um die Tastatur zu belauschen aber es ist durchaus möglich das Spyware im Market etc. landet, was die Vergangenheit oft genug gezeigt hat.

Sollte nun doch jemand Angst davor haben abgehört zu werden: Lasst das Handy einfach in der Hosentasche oder legt es nicht in de Nähe der Tastatur! 🙂

Was meint ihr? Haltet ihr solche Angriffe für eine ernstzunehmende Gefahr?

Kommentar: Face Unlock auf dem Galaxy Nexus ist unsicher? Natürlich!

Freitag 11th November 2011Ben Peter

Es geistert durch die Onlinewelt, das unsichere Face Unlock, erstmals auf dem Samsung Galaxy Nexus zu sehen, lässt sich sogar mit einem Bild der im Gerät hinterlegten Person entsperren.

Nur warum ist das so und warum schreibt man aktuell soviel über die unsichere Funktion sein Gerät mit dem eignen Gesicht entsperren zu lassen. Schauen wir uns einfach mal an, wie Google auf Android.com Face Unlock bewirbt:

Android 4.0 introduces a completely new approach to securing a device, making each person’s device even more personal — Face Unlock is a new screen-lock option that lets users unlock their devices with their faces. It takes advantage of the device front-facing camera and state-of-the-art facial recognition technology to register a face during setup and then to recognize it again when unlocking the device. Users just hold their devices in front of their faces to unlock, or use a backup PIN or pattern.

Man nimmt die Phrase „securing a device“ in den Mund und spricht von der „state-of-the-art facial recognition technology„, kein Wunder also, dass man darüber spricht und vom unsicher redet – sollte man meinen.

Letzlich ist und kann Face Unlock, mit der verbauten Hardware, also keine 3D Kameras, kein Ersatz für eine biometrische Gesichtserkennung sein, das Gesicht wird nunmal ohne „Höheninformationen“ aufgenommen und gleich somit jedem Bild, egal ob nun auf dem Smartphonedisplay oder auf Fotopapier angezeigt.

Face Unlock kann also nur ein Bequemlichkeitsfeature sein, nicht mehr als die normale Bildschirmsperre, nur dass man die Frontkamera und das eigene Gesicht und nicht den Finger zum Entsperren nutzt. Ob das nun schneller geht, lasse ich bewusst offen, aber es erzielt sicherlich einen grösseren Aha-Effekt bei Zuschauern.

Android 4 Ice Cream Sandwich kommt jedoch mit anderen Sicherheitsfunktionen, die in meinen Augen dringend notwendig sind. Zwar konnte man schon lange VPN-Verbindungen anlegen, also direkte Zugänge in Netzwerke, meist natürlich das Firmennetz, aber keiner hat sich über die periphäre Sicherheit Gedanken gemacht. VPNs kommunizieren verschlüsselt durch eine Internetverbindung mit dem Zielnetz, was ist aber mit dem darauf zugreifenden Gerät. Daten, die man sich aus den Unternehmensnetzen zieht liegen unverschlüsselt auf dem Android Smartphone/Tablet, welches keinen eigenen Zugangsschutz aufweist.

Android Ice Cream Sandwich kommt mit der Möglichkeit zur Geräteverschlüsselung (siehe Screenshot) und mindestens genauso wichtig: Erstellt ein Benutzer eine VPN Verbindung, wird er dazu aufgefordert das Gerät mit einer PIN oder einem Passwort zu schützen, die Auswahl der reinen Bildschirmsperre oder eines Musters reicht hier nicht aus.

Leider werden solche neuen Sicherheitsfunktionen in den wenigsten Artikeln erwähnt, aber es klint auch besser wenn man schreiben kann „Face Unlock ist unsicher“.

Wie steht ihr zur Diskussion um Face Unlock für Android Ice Cream Sandwich, ein tatsächliches Problem oder viel Lärm um nichts?

Google+ Pages gestartet – Offizielle nodch.de Seite

Dienstag 8th November 2011Dienstag 8th November 2011Ben Peter

Google hat nun endlich die Pages auf Google+ eingeführt und ermöglicht es Unternehmen eigene Seite zu erstellen.

Die neuen Pages erlauben es direkt mit den Interessenten zu kommunizieren und zum Beispiel Hangouts durchzuführen, welche man als Support Kanal nutzen kann, um nur eine der Ideen aufzugreifen.

Um ungewünschten Spam von Unternehmen einzudämmen können Pages erst dann Leute in ihre Zirkel packen, wenn diese der Page bereits folgen, eine sinnvolle Maßnahme, auch wenn die Spammer dann weiterhin wohl auf Personenprofile setzen werden und über diese ihre ungewünschten Nachrichten absetzen werden. Mal schauen wie Google hier vorgeht.

Sehr angenehm ist es ausserdem, dass man als Seitenadmin sowohl die Page als auch die eigene Seite, in zwei unterschiedlichen Tabs einen Browsers, parallel geöffnet haben kann. Die Möglichkeit mehrere Admins für eine Page zu haben ist aktuell noch nicht möglich, soll aber bald kommen. Sicherlich wird auch die Google+ App für Android und iOS ein Update erhalten, denn öffnet man eine Page innerhalb der App, will die Page im Browser geöffnet werden. Bei der Geschwindigkeit mit der Google in den vergangenen Tagen unterwegs war, wird ein solches Update wohl nicht lange auf sich warten lassen müssen.

Lange Rede, kurzer Sinn: nodch.de hat nun eine offizielle Google+ Page. In die eigenen Kreise packen, weitersagen und mit uns in Verbindung bleiben! 😉

Nodch.de

on Google+

Google führt Nachrichtensystem bei Google+ ein

Mittwoch 2nd November 2011Ben Peter

Google macht Ernst und erweitert Google+ in unvermindertem Tempo. Aktuellste Änderung: Nachrichtensystem.

Ab sofort ist es mögliche Kontakten Nachrichten über Google+ zukommen zu lassen. Bisher konnte man nur E-Mails an Kontakte senden, sofern sie dies zulassen, mit dem neuen Nachrichtensystem wird automatisch ein an die ausgewählte Person gerichteter Post erstellt, der nur den Empfänger erreicht und diesen benachrichtigt. Nachrichten senden kann man nur an Personen, die einen ebenfalls in einem Zirkel haben, das soll wohl den unnötigen Spam eindämmen.

Ich hätte mir zwar ein Nachrichtensystem gewünscht dass Hand in Hand mit dem Messenger arbeitet, denn auf diese Weise könnte man Web und mobile Clients besser verstricken und ein kleines IM-System aufbauen, die Basis ist ja durch GTalk ohnehin vorhanden.

Es ist trotzdem schön zu sehen wie sehr sich Google bemüht auf die Wünsche der Anwender einzugehen und Google+ immer mehr erweitert. Nachdem nun endlich die Google Apps Benutzer für Google+ zugelassen wurden, wird es endlich Zeit für die „Pages“.

Was sagt ihr zum Nachrichtensystem und der Entwicklung von Google+? Lasst uns einen Kommentar und eure Meinung da!

Google+ für Google Apps ist da!

Donnerstag 27th Oktober 2011Ben Peter

Wir haben bereits darüber berichtet dass Google seine Social Network Plattform Google+ endlich für Google Apps Benutzer öffnen will – nun ist es soweit, Google+ ist für Google Apps geöffnet.

Um Google+ mit dem Google Apps Account nutzen zu können muss der Administrator den Dienst vorab für die Benutzer freigeben.

Unter Organisation und Nutzer muss bei Dienste Google+ aktiviert werden:

Anschliessend müssen noch die weiteren Informationen bestätigt werden. Hierzu gehört die Information dass unter anderem Google Picasa und Google Talk als Dienste aktiviert werden/sein müssen und schon ist der Zugang eingerichtet:

Google+ für Google Apps Hinweise bestätigen

Ab sofort können alle Google Apps Benutzer mit ihrem Account bei Google+ teilnehmen.#

Darauf haben sicherlich Einige lange gewartet und endlich ist diese Hemmschwelle weg. Nun fehlen nur noch die „Pages“ und die „alternativen Identitäten“.

Was sagt ihr dazu?

Lytro stellt Lichtfeldkamera vor

Donnerstag 20th Oktober 2011Ben Peter

Digitale Kameras sind der Verkaufsschlager überhaupt, doch wie kann man sich als Hersteller von der Masse der verfügbaren Geräte abgrenzen, gar Alleinstellungsmerkmale schaffen?

Diese Frage hat sich Lytro mit Sicherheit auch gestellt und konzentrierte sich auf das Konzept des Lichtfeldsensors. Eine Kamera mit einem ebensolchen Sensor nimmt nicht ein fest fokussiertes Bild auf, sondern bildet dank der Technik mehrere Informationen zu den einfallenden Lichstrahlen als „einzelne Bilder“ ab.

Der Vorteil dieses Konzeptes: die Schärfeebene lässt sich im Anschluss in der Software festlegen, rein theoretisch also keine „unscharfen“ Bilder mehr und der Benutzer hat mehr kreative Möglichkeiten, bzw. kann sich die Schärfe und die Bildwirkung zu Hause an einem grossen Monitor anschauen und verändern.

Nachteil: Bisher erreicht die Technik keine Vergleichbar grosse Auflösung, wie sie im digitalen Kamerabereich schon lange an der Tagesordnung ist, Lytro kommt in der ersten Serie auf rund 2 Mgeapixel (rechnerisch).

Bereits zu Beginn diesen Jahres hatte Lytro mit dieser Information und dem Vorhaben eine Kamera zu entwicklen für einige Furore gesorgt, nun wurde die Kamera offiziell vorgestellt. Auslieferungsbeginn soll Anfang 2012 sein, erste Vorbestellungen werden bereits angenommen. Zwei Varianten stehen zur Auswahl, mit 8GB bzw. 16GB festv erbautem Datenspeicher, das soll für 350, respektive 750 Bilder reichen. Die Preise liegen bei 399$ für die 8GB Variante und 499$ für die 16GB Ausführung. Dafür gibt es eine kompakte Kamera mit 8-fach optischem Zoom und einer konstanten Blende von F2.0.

The Verge hat sich die Kamera einmal angeschaut und präsentiert sie in einem Video (mehr Infos und Videos gibt es unten in unserem Quellenlink):

Direktlink

Was haltet Ihr von der Lytro Lichtfeldkamera? Heisses Eisen mit Zukunft oder nur teure Spielerei?

Chaos Computer Club analysiert vermeintlichen Bundestrojaner

Samstag 8th Oktober 2011Ben Peter

Wie der Chaos Computer Club (CCC) heute auf seiner Webseite mitteilte, sei ihm eine Schadsoftware zugespielt worden, die vom „Besitzer“ mit dem Verdacht auf einen Bundestrojaner vermerkt wurde.

Der CCC analysierte die Schadsoftware [1], die aus einer Windows-DLL ohne exportierenden Routinen bestand. In 20-seitigen Bericht [2] wird der Aufbau der Software beschrieben, die von Beginn an in der Lage ist Funktionen nachzuladen, hierzu sind zwei externe Server IP-Adressen fest in den Programmcode eingebunden. Die Software enthält einen Keylogger, der in der Lage ist Eingaben von Google Chrome, Firefox, Skype, MSN Messenger, ICQ, Yahoo Messenger und weiterer Software abzufangen und zu übermitteln. Ebenfalls sind Funktionen enthalten um Screenshots zu tätigen, Zugriff auf Peripherie wie das Mikrofon oder die Webcam zu erhalten, gerade in Verbindung mit Skype.

Der CCC bemängelt in seiner Analyse darüberhinaus die fehlenden Sicherheitsfunktionen und die schlechte Programmierung (immer in Hinsicht auf den Verdacht dass eine Regierungsstelle hinter der Software steht), so werden die übermittelten Daten nur unzureichend verschlüsselt, ebenso schützt sich die Schadsoftware nicht gegen erneute externe Übernahmen, ist also gefährdet selbst zu einer Hintertür weiterer Angreifer zu werden.

Ob hinter der entdeckten und analysierten Schadsoftware tatsächlich eine behördliche Organisation steckt, kann nicht abschliessend bewiesen werden. Vermutlich wird hierzu in den nächsten Tagen ein Dementi veröffentlicht werden, greift der CCC doch sehr stark in Richtung Regierung an und vermutet einen Bundestrojaner, wie er in der ursprünglichen Fassung im Februar 2008 durch das Bundesverfassungsgericht abgelehnt wurde. Der Ersatz der „Quellen-Telekommunikationsüberwachung“ (Quellen-TKÜ), als genehmigte Variante, die sich ausschliesslich auf die Telekommunikation zu beziehe habe, würde durch eine solche Schadsoftware, wie der vom CCC analysierten, die nachladbare Funktionen erlaubt, widersprechen.

F-Secure hat die Software indes in ihre Datenbank aufgenommen [3] und erkennt sie als „Backdoor:W32/R2D2.A“, einem String im Code geschuldet, der vor der Ausführung einer Datenübermittlung genutzt wird.

Was sagt ihr zum Fund des CCC und der Vermutung eines Bundestrojaners?