sicherheit – eay.cc

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them

„Schöne“ Geschichte, die Sean Hollister bei The Verge festgehalten hat: Ein Entwickler aus Barcelona wollte seinen neuen Saug- und Wischroboter von DJI per PS5-Controller steuerbar machen und zog Claude Code zur Hilfe. Nach wenigem Vibe-Coding stellt der Entwickler fest, dass er nicht nur Zugriff auf seinen DJI Romo hat, sondern auf tausende Geräte überall auf der Welt. Inklusive Batteriespeicher von DJI, die nämlich alle mit kaum abgesicherten MQTT-Servern vom Hersteller sprechen. Die PS5-Steuerung funktioniert – und Fernzugriff auf Kamera (!) und Mikrofon (!) des Saugroboters gab’s kostenlos obendrauf.

Wtf. Und warum haben Saugroboter überhaupt Mikrofone verbaut?

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them | OpenGraph Preview Image

DJI may have fixed it now.

AI can identify passwords by sound of keys being pressed, study suggests

Researchers say they have created a system that can work out which keys are being pressed on a laptop keyboard with more than 90% accuracy, just based on sound recordings.

In Videokonferenzen ab sofort also dran denken sich zu muten, wenn man sich irgendwo einloggt. Oder sowieso besser: gleich einen Passwort-Manager mit Touch-ID oder demnächst direkt Passkeys benutzen.

AI can identify passwords by sound of keys being pressed, study suggests | OpenGraph Preview Image

Researchers create system using sound recordings that can work out what is being typed with more than 90% accuracy

Habt ihr schon vom neuen Sound Detection-Feature der HomePods gehört, die euch nun informieren können, wenn sie einen Rauchmelderalarm erkennen?

Ich kann seit dieser Nacht berichten: es funktioniert – allerdings auch mit dem (harmlosen) Fehlerton einer Waschmaschine. 🙈

“WhatsApp kann Nachrichten doch lesen? Moment, bitte!”

Michael beschreibt, was es mit der Meldung von ProPublica auf sich hat, wonach Facebook weltweit rund tausend Mitarbeiter unterhält, die die eigentlich verschlüsselten WhatsApp-Chats mitlesen.

Nämlich nicht viel. Tatsächlich ist das Vorgehen von Facebook an dieser Stelle ausnahmsweise mal lobens- und für andere Dienste nachahmenswert.

Every Zoom security and privacy flaw so far, and what you can do to protect yourself

Glenn Fleishman hat einen sehr langen Artikel über Zoom geschrieben, in dem er alle Verfehlungen des Video-Conferencing-Dienstes auflistet. Lesezeit: 31 Minuten. Was eigentlich schon alles sagt (nämlich: benutzt Zoom nicht). (via Daring Fireball)

switching.social

switching.social is a grassroots website that is trying to let people know about more ethical alternatives to websites and apps that are threatening people’s privacy.

securitycheckli.st

An open source checklist of resources designed to improve your online privacy and security.

Gute, crowdgesourcte Übersicht über die wichtigsten Sicherheitsmaßnahmen, die man bei seinen Streifzügen durchs Internet beachten sollte.

Mord zur Verhinderung eines Atomkriegs

Wo wir gerade schon fast beim Atomkrieg waren: Jason Kottke hat eine „schöne“ Idee des Rechtwissenschaftler Roger Fisher zur Verhinderung eines Atomkriegs ausgegraben, die dieser 1981 in einem Artikel namens „Preventing nuclear war“ propagierte. Danach sollte der US-Präsident, vor der Nutzung von Nuklearwaffen zunächst eine unschuldige Person mit bloßen Händen umbringen müssen, um an die Abschusscodes zu kommen – um so aus erster Hand zu erfahren, wie es ist, Mord an Unschuldigen zu begehen:

My suggestion was quite simple: Put that needed code number in a little capsule, and then implant that capsule right next to the heart of a volunteer. The volunteer would carry with him a big, heavy butcher knife as he accompanied the President. If the President ever wanted to fire nuclear weapons, the only way he could do so would be for him first, with his own hands, to kill one human being. The President says, “George, I’m sorry but tens of millions must die.” He has to look at someone and realize what death is — what innocent death is. Blood on the White House carpet. It’s reality brought home.

WiFi is broken – here’s the companies that have already fixed it

Was es mit dem „Krack“-Exploit auf sich hat, warum es nicht nur reicht den eigenen Router zu aktualisieren und welche Firmen bereits Fixes in der Pipeline haben, steht hier.

Robot Uprising I: Wenn die Waschstraße angreift

Sicherheitsforscher haben diverse Schwachstellen in automatisierten Autowaschstrßen gefunden, die sich sogar übers Internet missbrauchen lassen. Durch ferngesteuerte Tore, Roboterarme und Hochdruck-Wasserstrahle könnte es sogar zu Personenschäden kommen.

Den Hackern zufolge sei dies der erste dokumentierte Angriff, bei dem ein IoT-Gerät einen Menschen angreift.

Es beginnt! In Zukunft ist also Achtsamkeit beim Autowaschen angesagt ("Hat die Waschanlage mich eben komisch angeguckt?").

#sicherheit (28)

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them

The DJI Romo robovac had security so poor, this man remotely accessed thousands of them

AI can identify passwords by sound of keys being pressed, study suggests

AI can identify passwords by sound of keys being pressed, study suggests

Status 2023-04-27 06:25

“WhatsApp kann Nachrichten doch lesen? Moment, bitte!”

Every Zoom security and privacy flaw so far, and what you can do to protect yourself

securitycheckli.st

Mord zur Verhinderung eines Atomkriegs

WiFi is broken – here’s the companies that have already fixed it

Robot Uprising I: Wenn die Waschstraße angreift