Abhöralarm bei Livall Ski- und Fahrradhelmen

Die Livall-Smart-Helme, die bei Skifahrern und Bikern wegen ihrer integrierten Lautsprecher, Mikrofone und Konnektivitätsfunktionen, die Gruppenkommunikation und Standortfreigabe ermöglichen, beliebt sind, wiesen eine kritische Sicherheitslücke auf. Diese Schwachstelle ermöglichte es Angreifern, unbemerkt den Standort der Helmträger zu verfolgen und ihre Gruppen-Audiochats abzuhören. Das Hauptproblem lag in einer einfachen, aber signifikanten Schwachstelle in den Smartphone-Apps von Livall, die mit der Verwaltung von Gruppenmitgliedschaften zusammenhing. Speziell waren Gruppen durch die Eingabe eines sechsstelligen numerischen Codes zugänglich, der nicht ausreichend zufällig war, was es leicht machte, ihn durch Brute-Force-Methode zu erraten und somit unbefugten Zugriff auf jegliche Gruppenkommunikation und Standortdaten zu ermöglichen.

Pen Test Partners, ein auf Cybersicherheitstests spezialisiertes Unternehmen aus Großbritannien, entdeckte diese Lücke und berichtete, dass durch die Ausnutzung dieser Schwachstelle jeder unbemerkt einer Gruppe beitreten und auf Echtzeit-Standortdaten zugreifen sowie Gruppen-Audiochats abhören konnte, ohne entdeckt zu werden, es sei denn, ein Benutzer überprüfte manuell die Liste der Gruppenmitglieder. Livall wurde von Pen Test Partners kontaktiert und bestätigte nach einigen anfänglichen Kommunikationsschwierigkeiten, dass sie die Schwachstelle beheben würden. Das Unternehmen aktualisierte daraufhin die App, erhöhte die Zufälligkeit der Gruppencodes durch die Einbeziehung von Buchstaben und fügte Warnungen hinzu, wenn neue Mitglieder einer Gruppe beitraten. Sie ermöglichten es den Benutzern auch, die Standortfreigabe nach Belieben auszuschalten.

Related Posts

Hackerangriff auf Webseite des Weltkirchenrats

Es gab an Weihnachten einen Ransomware Angriff den Ökumenischen Rat der Kirchen (ÖRK), infolge dessen die Kommunikationsysteme incl. die Webseite des Weltkirchenrats lahmgelegt worden sind. Die Seite ist Stand 28.12.23 immer noch nicht erreichbar. Der Generalsekretär des ÖRK Jerry Pillay verurteilte den Hackerangriff. Aktuell ist das IT Team der Organisation noch mit der Wiederherstellung der Systeme beschäftigt. Der in Genf ansässige Weltkirchenrat hat die Schweizer Polizei und die zuständigen schweizerischen Behörden über den Vorfall informiert.

Read More

Datenleck bei Trello: 15 Mio Datensätze stehen im Darknet zum Verkauf

In einem beunruhigenden Fall von Cybersecurity-Versagen wurde kürzlich bekannt, dass eine riesige Menge sensibler Daten von Trello-Nutzern – schätzungsweise 15 Millionen E-Mail-Adressen und Benutzernamen – im Darknet zum Verkauf angeboten werden. Trello ist ein webbasiertes Projektmanagement-Tool, das von Atlassian betrieben wird und sich durch seine visuelle und benutzerfreundliche Oberfläche auszeichnet. Es verwendet das Kanban-System, bei dem Aufgaben auf Karten notiert und auf Boards organisiert werden, um den Fortschritt von Projekten zu verfolgen. Trello ermöglicht es Teams, Projekte effizient zu organisieren, zu priorisieren und in Echtzeit zusammenzuarbeiten, wobei Funktionen wie Checklisten, Fristen, Anhänge und Integrationen mit anderen Tools unterstützt werden.

Read More

Chatgpt Leaks - Forscher extrahierten Email Adressen und Telefonnummern

Ein Forschungsteam konnte kürzlich eine Schwachstelle in ChatGPT ausnutzen, um private Daten, einschließlich der E-Mail-Adressen von mehr als 30 Mitarbeitern der New York Times, preiszugeben. Dieser Vorfall wirft ernsthafte Fragen über die Sicherheit und den Datenschutz bei der Nutzung von KI-basierten Systemen wie ChatGPT auf.

Read More