Dienstag, 27. Februar 2024

Schau mir in die Augen, Blechkumpel!

 Zu tief in die Augen schaut offenbar ein kanadisch/amerikanischer Verkaufsautomat eines schweizer Herstellers, der beim Süßigkeitenverkauf für Mars&Wrigley direkt via Gesichtserkennung biometrische Daten zu Alter, Geschlecht, aber auch Tageszeit, Wetterlage etc. sammelte. So können direkt umfassende "Kundenstorys" gesammelt und ggfs. Profilbildung betrieben werden. 

Aufgefallen war dies durch den Absturz der entsprechenden App mit entsprechender Fehlermeldung auf dem Display des windows-getriebenen Verkaufsautomaten. 

Nach der DSGVO wäre das unzulässig; diese gilt aber bekanntlich in Kanada und den USA nicht. 


Quelle:

Heise News

Der Angriff der Klonkrieger...

Kennen Sie das Phänomen "Bossmail"? Es handelt sich um eine kriminelle Mischung aus social engineering und phishing, wobei sich ein Außenstehender nach entsprechender Ausspähung des Unternehmens den Anschein eines Entscheidungsträgers ("Boss") verleiht, um dann vermeintliche Mitarbeiter / Untergebene per Mail zu einer Zahlung von Firmengeldern auf eine fremde Kontoverbindung zu verleiten. Typische Storys sind hier (sinngemäß): "Hallo, hier ist der Chef, stecke gerade im Ausland in Verhandlungen mit unserem zukünftigen Partner "XY"; es wäre allerdings sehr wichtig, daß wir zunächst mal deren Vorschuss begleichen. Da können wir nicht auf die übliche Freigabe warten; ich habe Dir die Rechnung beigefügt, erledige das bitte umgehend!" - Und einer von 10 Mitarbeitern glaubt dann dem "Chef" und überweist tatsächlich Geld. 

Ein aktueller Fall in Hongkong schlägt jedoch dem Fass den Boden aus:

Hier haben die "Angreifer" gleich eine ganze Armee von KI-generierten Klonen (also virtuellen Abbildern echter Mitarbeiter!) zu einer Videokonferenz versammelt, um eben dem Eindruck der Legitimität auch noch so etwas wie "Gruppendruck" zu erzeugen und so dem Mitarbeiter eine plausible Geschichte dafür zu liefern, daß er "jetzt" das Geld überweisen muß. Immerhin 24 Mio € sollen so ergaunert worden sein; das Opfer hatte den Betrug erst während eines späteren "vor-Ort"-Gesprächs mit seinem Chef erkannt.


Quellen:

Heise-News

Wikipedia: Social Engineering

Freitag, 22. Dezember 2023

Epic: Erfolg im Streit mit Google


Der Gamesanbieter und -neben Steam- größte Spiele-Kaufportalbetreiber Epic Games hat einen wegweisenden Rechtsstreit gegen Google gewonnen. Konkret ging es in diesem - wie auch in dem parallel gegen Apple geführten - Prozess um die Vergütungsbedingungen der App-Stores dieser beiden Anbieter. Auf den Mobilplattformen iOS, iPadOS und Android sind Apple und Google so etwas wie "Gatekeeper", argumentierte Epic. Wer Software auf diesen Plattformen vermarkten will, kommt um die Gebührenzahlungen an diese beiden Branchenriesen nicht herum. Satte 30 % stecken sich dabei Google und Apple nicht nur vom Verkauf der jeweiligen Software ein, sondern auch danach noch von jeder Transaktion, die über die Software stattfindet. Man kauft z.B. bei einem Spiel ein in-Game-Objekt für 10,- $ und wieder gehen 30 % an Google. Epic stellte darauf hin die berechtigte Frage, warum eigentlich dann nicht 30 % von jeder Kaffeemaschine an Google fließen, die z.B. über die Amazon-App verkauft wird. 

Nachdem sich Apple im vorherigen Prozess vor allem mit Sicherheitsargumenten noch durchsetzen konnte, hat in dem Prozess gegen Google eine Jury entschieden, daß die Bindung des Bezahlsystems an den App-Store wettbewerbswidrig sei. Insgesamt wurden 11 Punkte gegen Google entschieden. Die richterliche Entscheidung über die Folgen des Jury-Verdicts steht noch aus. Berufung ist gegen das Urteil möglich; Google wird diesen Weg sicher ausschöpfen, bevor es sein gesamtes Marktplatzsystem umkrempeln muß. Es wäre v.a. ein großer Wettbewerbsnachteil für Google, wenn nur sie - und nicht Apple - sein AppStore-System umbauen müßte. Eine weitere Klage zwischen den beiden Unternehmen wäre sicherlich die Folge, so daß man bei Apple vermutlich ebenfalls der Berufung des Konkurrenten die Daumen drücken wird. 

Links:
Bereicht bei Heise News
CNN via youtube 

Montag, 13. November 2023

Happy Birthday, Windows?

 


Ziemlich genau vor 40 Jahren wurde das erste MS-Windows der Öffentlichkeit vorgestellt. Zu diesem Zeitpunkt existierte neben einem vagen Konzept und ein paar Screenshots vom fertigen Produkt noch wenig; so dauerte es noch von 1983 bis 1985, bis dann tatsächlich Windows 1.0 im November released wurde. 

Bill Gates erwarb sich damals den Titel "Viscount of Vaporware".

Bei mir dauerte es bis zur Version 2.11 (1989), bis ich meinen ersten Kontakt zu Windows auf dem 286er hatte. Damals konnte ich noch wenig damit anfangen, da es neben Aldus Pagemaker eigentlich kein einziges interessantes Programm dafür gab. 

Wirklich installiert und eingesetzt habe ich daher erst Version 3.0 auf dem 486er. Ab dem ominösen 3.11 ("for Workgroups") kam dann sogar Netzwerktechnik dazu. 


Dienstag, 29. August 2023

Train-Phreaking

Als ich heute die übereinstimmenden Pressemeldungen bei Heise und im Spiegel las, mußte ich unwillkürlich an das Telephone-Phreaking der 70er und 80er denken. Hier wurde über das Senden spezieller Signaltöne durch Hacker eine kostenlose Benutzung analoger Telefonleitungen ermöglicht; die dafür benötigten Geräte wurden meist selbst gebaut und allgemein als "blue box" bezeichnet. 

Dem "Internet Lore" entsprechend soll auch Steve Wozniak, der Mitgründer von Apple, in seiner Jugend ein "Phreaker" gewesen sein. 

In Polen ist nun ein prinzipiell recht ähnlicher Angriff - der ebenfalls über das Versenden analoger Töne funktioniert - auf das nationale Schienennetz erfolgt. Offenbar ist es möglich, mit der wiederholten Übertragung von drei Tönen über eine analoge Radiofrequenz polnischen Zügen ein "Anhaltesignal" zu senden. Auf diese Weise wurden innerhalb kurzer Zeit etwa 25 Züge zum Stehen gebracht. 

Außer entsprechender Verspätungen ist weiter kein Schaden entstanden; wer hinter den Attacken steckt - und ob diese dann in Zukunft "Train-Phreaking" genannt werden - ist noch unbekannt. 


Quellen:

Spiegel Nachrichten

Heise News

Wikipedia  

Donnerstag, 3. August 2023

Prank the Google Car!

 Google ist gerade dabei, seinen Bilderbestand für Google Street View aufzufrischen; demzufolge fährt das Google-Auto auch gerade durchs Münsterland

Neben der Diskussion, ob nun eine Kamera auf einem kleinen Mast auf dem Fahrzeugdach noch Aufnahmen im Rahmen der "Panoramafreiheit" macht und warum man eigentlich eine neue Ausnahme eintragen muß, wenn man sein Grundstück nicht veröffentlicht haben will (warum eigentlich nicht, es ist ja auch eine neue Datenerhebung...?) - 

... bietet sich das Google Car alle mal für eine Menge Scherze an! 


Das Google HQ auf der ABC-Straße in Hamburg hatte ja bei der ersten Befahrung seine Mitarbeiter "motiviert", dem Auto zuzujubeln - leider ist der Jubel im nun aktualisierten Bildmaterial ausgefallen.



Google-HQ Hamburg im Streetview damals und heute - Image Data © 2009 & 2022 Google

Dafür gibt es mittlerweile eine ganze Reihe von Leuten, die unter dem Stichwort Google Street View Pranks auf das Auto warten und beispielsweise Botschaften oder gar nachgestellte Verbrechensszenen vor ihren Häusern platzieren, um diese dann später in der Google-Karte wiederzufinden. 




Auch Superhelden sind teilweise am Strassenrand zu sehen... 

Bei mir ist das Google-Auto leider schon gewesen, sonst hätte ich etwas Lustiges ins Fenster gehängt. 

Image Data © 2022 Google



Montag, 24. Juli 2023

Schlüsselfertig

Ein bei Microsoft abhanden gekommener Masterschlüssel scheint nicht nur den Zugang zu einzelnen Exchange-Services zu ermöglichen, sondern tatsächlich zu großen Teilen der Microsoft Cloud (insbes. Teams, Sharepoint...). Dies war im Zusammenhang mit der Analyse von LOG-Dateien aufgefallen, aus denen sich Fremdzugriffe auf die elektronischen Postfächer europäischer Behörden ergaben. 

Der Masterkey scheint zum Signieren eigener Zugangstoken nutzbar zu sein; Microsoft selbst hält sich mit genaueren Beschreibungen bisher eher zurück. 

Einen genaueren Überblick findet man in den Heise-News


Quelle: Heise-News