Sonntag, August 28, 2016

Pokémon Go: Pokéstops entfernen

Das Spiel Pokémon Go hat auf meinem privaten Grundstück einen Pokéstop eröffnet. Seitdem pilgern immer mehr Spieler über mein Grundstück. Wie kann ich den Pokéstop schließen lassen, damit ich wieder meine Ruhe habe?
Stellen Sie dazu einen Antrag beim Hersteller Niantic. Auf dessen englischsprachiger Webseite können Sie Pokéstops oder Gyms unter Support/Troubleshooting melden, wenn diese auf privatem Grundbesitz oder an gefährlichen Stellen platziert wurden. Neben einer auf Englisch formulierten Begründung können Sie auch Dokumente im Anhang anfügen, die die Gefährlichkeit oder das Privateigentum nachweisen. Rechnen Sie aber aufgrund der großen Popularität des Spiels mit ein wenig Verzögerung, bis Niantic auf Ihre Anfrage reagiert.

Geht auch auf Deutsch
Das Formular lässt sich auch auf Deutsch ausfllen: https://support.pokemongo.nianticlabs.com/hc/de/requests/new?ticket_form_id=341148

Samstag, August 27, 2016

Der BND findet keinen Hacker-Nachwuchs weil alle kiffen

Es ist kein Geheimnis, dass die Bundesregierung Schwierigkeiten hat gute Cyber-Experten zu finden und einzustellen. Vor allem weil viele Hacker lukrativere Angebote finden können bei denen sie nicht für die Regierung arbeiten müssen. Aber es gibt noch andere Probleme: Der BND sagt jetzt, dass seine Drogentests oft positiv ausfallen.

DAS PROBLEM MIT DEN “EXPERTEN”
Das BKA bräuchte zur effektiven Bekämpfung der Computerkriminalität weitere 2000 Cyber-Experten,allein in diesem Jahr. Leider handelt es sich bei den Experten die sich am besten mit Computerkriminalität auskennen oft um Kiffer oder Konsumenten anderer Drogen. Die einzigen die also in Frage kommen würden dürfen laut Gesetz aber nicht eingestellten.
Woman-smoking-marijuana-001Um bei einer Bundesbehörde zu arbeiten müssen die Anwärter 3 Jahre Drogenfreiheit nachweisen. Bewerber deren Drogentests positiv ausfallen werden erst in 3 Jahren wieder zum Test zugelassen und auch nur wenn sie Drogenfreiheit nachweisen können.“Das ist den meisten Bewerbern schon zu viel! Sie kiffen lieber weiter und suchen sich andere besser bezahlte Jobs” sagt BKA Chef Holger Münch in einem Interview.

DAS GESETZ MUSS GEÄNDERT WERDEN
Trotz des gemischten Ansatzes der Cannabis Gesetze in der Bundesregierung, die Mehrheit der Deutschen glauben, dass es an der Zeit ist, die Droge zu legalisieren. “Beschränkungen, Verbote und Kriminalisierung bringen uns nicht mehr weiter”.
Unabhängig von der Haltung der Bundesregierung, das BKA wird offenbar die Gesetzeslage prüfen, und die besten der kiffenden Hacker ermutigen sich erneut zu bewerben. “Die Regelungen für die Einstellungen müssten eben etwas an die heutige Zeit angepasst werden” sagte Herr Münch weiter.

Sonntag, August 21, 2016


Download von kostenlosen eBooks für Bildung und Beruf

In Kooperation mit dem Bookboon Verlag stellt Heise Business Service Ihnen eBooks zum Download zur Verfügung. Das Angebot beinhaltet kostenlose eBooks, die durch Werbung finanziert werden und werbefreie eBooks, die Sie als Heise-User für nur 4,97 Euro im Monat (20% Rabatt) inklusive online Reader erhalten.

Beliebteste Bücher

Neue Bücher

Freitag, August 19, 2016

Analysiert: Spioniert die undokumentierte WhatsApp-Umstellung?



In der Anzeige von WhatsApp tauchen plötzlich Namen auf, die aus dem privaten Adressbuch stammen. Spioniert die neue Version etwa im Auftrag des Konzerns in den Kontakten der Anwender? heise Security ging dem Verdacht eines Lesers nach und stieß auf spannende WhatsApp-Interna.


Jürgen Schmidt - 16.08.2016

Manche Informationen von Lesern schaffen es nicht in die News. So auch diese Geschichte rund um WhatsApp, die sich als nicht nachrichtenwürdig entpuppte, in deren Lauf wir aber einiges über die Funktionsweise von iOS und WhatsApp lernten. Deshalb dokumentieren wir die Recherchen hier im Rahmen unserer heisec-SerieAnalyisert -- ein Blick hinter die Kulissen.

Zweifelhafte Adressbuchzugriffe

Mit der vor wenigen Tagen veröffentlichten aktuellen WhatsApp-Version 2.16.8 für iOS änderte sich der angezeigte Absendername von Nachrichten in den Pop-ups. Statt wie bisher den vom Absender eingestellten WhatsApp-Namen präsentieren die Pop-ups jetzt den im Adressbuch des Empfängers gespeicherten. In den Informationen zur neuen Version fand sich kein Hinweis auf diese Änderung. Kein Wunder also, dass Sicherheitsberater Holger Ahrend misstrauisch wurde und vermutete, dass die Adressbuchdaten seit der Umstellung bei WhatsApp landen.
Zum Hintergrund: Laut der Informationen zum Datenschutz lädt WhatsApp zum Bereitstellen der verfügbaren WhatsApp-Kontakte eines Nutzers lediglich die Telefonummern seines Adressbuchs auf den WhatsApp-Server hoch; E-Mail-Adressen und Namen hingegen nicht. Sollte WhatsApp gegen die eigenen Datenschutz-Versprechen verstoßen, wäre das ein ziemlich heftiger Vertrauensmissbrauch.
heise Security konnte schon mal die von Ahrend beschriebene, undokumentierte Verhaltensänderung nachvollziehen. Doch bei der Anzeige des Namens hatten wir einen anderen Verdacht; also forschten wir weiter. Als erstes führten wir folgenden Test durch:
  1. WhatsApp via SwipeUp in der Prozessübersicht beendet, Flugmodus eingeschaltet
  2. Adressbucheintrag von "Heinz" geändert auf "Heinz (XXX)"
  3. WhatsApp gestartet, Adressbuch lokal aktualisiert, "Favoriten" zeigt jetzt lokal "Heinz(XXX)" an, der Server kennt den Namen noch nicht (immer noch im Flugmodus)
  4. WhatsApp via SwipeUp beendet
  5. Flugmodus aus
  6. Heinz schickt uns eine WA-Nachricht
Das sollte sicherstellen, dass WhatsApp zwar die Möglichkeit hatte, sich lokal mit dem Adressbuch abzugleichen, diese Informationen jedoch nicht auf den Server schieben konnte. Als Resultat erschien trotzdem eine Push-Nachricht mit: "Heinz (XXX): ..."Holger Ahrend
Die Push-Nachricht kommt von einem Apple-Server (roter Kasten). Anschließend startet WhatsApp und baut eine Verbindung zum Server auf (gelb). Vergrößern 
Bild: Holger Ahrend
Die logische Schlussfolgerung daraus: Der Abgleich zwischen Telefonnummer und Adressbuch erfolgt lediglich lokal zur Anzeige des richtigen Namens. Bei einem zweiten Test dieser Art bestätigte Ahrend auch noch, dass nach dem Beenden des Flugmodus bis zum Eintreffen der Nachricht keine Kommunikation mit einem WhatsApp-Server statt fand. Der angezeigte, neue Name konnte also nicht aus WhatsApps Datenbanken stammen.

WhatsApp und Silent Notifications

Doch wie kann WhatsApp Namen aus dem Adressbuch in die vom System angezeigten Push-Nachrichten einbauen? Dazu müsste sich die App in den Empfang der von Apple verschickten Push-Notifications einklinken und sie vor deren Anzeige ändern. Klingt nach einem klassischen Notification-Hook.
Doch wie uns iOS-Experte Klaus Rodewig auf Nachfragen erklärte, erfolgt bis inklusive iOS 9 die Darstellung von Push-Nachrichten unabhängig von der App. Das Betriebssystem zeigt diese an, ohne dass die App auf den Inhalt einwirken kann. Echte Hooks kommen erst mit iOS 10. Unsere erste Theorie war damit also schon mal hinfällig.
Allerdings gibt es sogenannte Silent Notifications, erklärte Rodewig weiter. Die zeigt iOS nicht an, sondern reicht sie an die App durch. Es wäre also durchaus möglich, dass WhatsApp die Notification empfängt und dann als lokale Notification mit dem lokalen Adressbuchnamen anzeigt. Der Unterschied zu einer externen Push-Nachricht wäre für den Anwender nicht erkennbar.
Mit solchen Silent Notifications wäre das beobachtete Verhalten also durchaus zu realisieren. Und es würde neben dem Namen auch eine andere Merkwürdigkeit erklären. Nämlich dass die Push-Nachrichten bereits die Ende-zu-Ende-verschlüsselten Texte präsentieren können.

Das PushKit-Framework

Parallel dazu befragten wir den heise-Security-Autoren und iOS-Reverse-Engineering-Experten Adreas Kurtz, ob er bestätigen könne, dass WhatsApp die Push-Nachrichten lokal prozessiert. Und Kurtz wartete mit einer kleinen Überaschung auf. Ein schneller Blick auf den Code enthüllte, dass WhatsApp zwar keine Silent Notifications aber die sogenannten VoIP Notifications des recht neuenPushKit-Frameworks von iOS einsetzt.
Die Verarbeitung eingehender Nachrichten erfolgt dann letztendlich in der Klasse WAMessageNotificationCenter. Darin ist am Ende die Methode presentLocalNotificationIfNeededForMessage:fromUser:withSoundEffect: dafür zuständig, dem Anwender über den Eingang einer neuen Nachricht zu informieren. Der angezeigte Name ist dabei das Attribut partnerName aus der zugehörigen WAChatSession. Dies alles konnte Kurtz unter anderem mit dem Tool cycript verifizieren. Es erlaubte ihm unter anderem mit einem Befehl wie
cy# choose(WAChatSession)[1].partnerName = "Test Test“
einen beliebigen Absendernamen zu setzen.

WhatsApp entlastet

Damit war für uns klar, dass zumindest im Rahmen von Empfang und Anzeige der Push-Nachrichten keine Namen an den WhatsApp-Server gehen – und diese Geschichte kein Platz in unseren News verdient. Einen unumstößlichen Beweis, dass WhatsApp Namen und E-Mail-Adressen nicht doch bei passender Gelegenheit an die eigenen Server schickt, stellt das natürlich immer noch nicht dar. Den könnte höchstens ein umfassendes Komplett-Audit der App erbringen. (ju)