Daily News Roundup: Mac Exploit aktiviert Webcams ohne Ihre Erlaubnis

Die Zoom-Videokonferenz-App für Mac weist schwerwiegende Mängel auf, die trotz Offenlegungen nicht behoben wurden. Beim Besuch einer bösartigen Website können Angreifer Ihre Kamera ohne Erlaubnis aktivieren. Wenn Sie Zoom deinstalliert haben, kann die bösartige Website ohne Ihr Eingreifen neu installiert werden.

Sicherheitsforscher Jonathan Leitschuh bemerkte, dass Zoom die Fähigkeit hat, automatisch beizutreten und eine Videositzung zu starten, indem man einfach einen Link besucht. Er fragte sich, wie das Unternehmen das Kunststück sicher bewerkstelligt hatte, und untersuchte es. Er fand schnell heraus, dass die Methoden von Zoom überhaupt nicht sicher waren.

Wenn Sie Zoom auf einem Mac installieren, wird ein Webserver auf Ihrem Computer erstellt. Der Webserver ist auf mehreren Ebenen problematisch. Mit nur wenigen Optionen hat Leitschuh eine Proof-of-Concept-Website zusammengestellt. Wenn Sie Zoom installiert haben und diese Website besuchen, werden Sie automatisch zu einem Anruf hinzugefügt und Ihre Webcam wird ohne Ihr Zutun aktiviert – selbst wenn Sie Zoom geschlossen haben, bevor Sie auf den Link geklickt haben.

Schlimmer noch, die Deinstallation von Zoom entfernt den Webserver nicht. Der Webserver kann Zoom auch alleine neu installieren. Wenn Sie also einen schädlichen Link besuchen, kann dieser Zoom neu installieren, Sie zu einem Anruf hinzufügen und Ihre Webcam starten, und das alles ohne Ihr Eingreifen.

Sie können dies bei Leitschuhs Proof of Concept testen, aber seien Sie darauf hingewiesen, dass Ihre Kamera startet, wenn Sie Zoom installiert haben, und Sie werden an einem Anruf mit anderen Personen teilnehmen, die die Website testen. Leitschuh teilte Zoom seine Ergebnisse mit einer 90-tägigen Offenlegungsfrist mit. Leider hat das Unternehmen nicht viel getan, um das Problem zu beheben.

Zunächst hat das Unternehmen das Ganze als Teil der unterstützten Funktionen abgetan. Zoom implementierte schließlich einen milden Fix, der verhindert, dass sich die Kamera einschaltet, aber böswillige Akteure können Benutzer immer noch zwingen, an einem Anruf teilzunehmen und Zoom neu zu installieren. [Mittel]

In anderen Nachrichten:

• Microsoft schleicht Werbung in Android ein: Wenn Sie eine Microsoft-Android-App installiert haben, sehen Sie möglicherweise Werbung für andere Microsoft-Apps. Aber nicht in der App selbst. Microsoft fügt Vorschläge in die Menüs „Teilen“ und „Öffnen“ von Android ein. Wenn Sie ein Foto mit einem Freund teilen, wird OneDrive möglicherweise aufgeführt, auch wenn Sie es nicht installiert haben. Wenn Sie auf OneDrive tippen, gelangen Sie zum Play Store. Subtil und doch grob. [Android-Polizei]
• Apple kündigte eine neue MacBook-Reihe an: Apple mischt die Welt der MacBooks auf: weg sind das MacBook-Modell und die MacBook-Pro-Modelle ohne Touchbar. Aber als sie gehen, steht ein günstigeres MacBook Air mit einem verbesserten Bildschirm im Mittelpunkt. Wir denken, dass dies die vernünftigste Aufstellung seit Jahren ist. Wir glauben auch, dass Sie wegen der anhaltenden Tastaturprobleme sowieso mit dem Kauf eines MacBook warten sollten. [ReviewGeek]
• Microsoft hat eine Warnung vor schwer zu erkennender Malware herausgegeben: Microsoft entdeckte eine Malware-Kampagne namens Astaroth, die unglaublich fortschrittliche Techniken einsetzt, um der Entdeckung zu entgehen. Astaroth verlässt sich auf Systemtools wie das Windows Management Instrumentation Command-line (WMIC)-Tool, um all seine Arbeit zu erledigen, um sich als Systemaktivität zu tarnen (eine Living-in-the-Land-Technik). Und es speichert niemals Dateien, sondern wird vollständig im Speicher ausgeführt (eine dateilose Methode). Astaroth wird über Spam-E-Mails mit schädlichen Links zugestellt, seien Sie also vorsichtig, worauf Sie klicken. [ZDNet]
• Über 1000 Android-Apps ignorieren Ihre Berechtigungsauswahl und verfolgen Sie trotzdem: Sicherheitsforscher haben herausgefunden, dass viele Android-Apps Sie verfolgen würden, selbst wenn Sie Berechtigungsoptionen gewählt haben, um dies zu verhindern. Die meisten verwenden alternative Optionen; Zum Beispiel zieht Shutterfly GPS-Informationen aus Ihren Foto-Metadaten. Einige teilen sogar Daten von einer App zur anderen. Android Q sollte das Problem lösen, aber Android ist nicht für zeitnahe Updates bekannt. [9to5Google]
• Instagram will Mobbing stoppen: Instagram testet neue Features zur Eindämmung von Mobbing auf seiner Plattform. Der erste ist ein KI-Prozess, der erkennt, wenn Sie etwas Abwertendes schreiben, und fragt, ob Sie den Kommentar wirklich posten möchten. Die zweite ermöglicht es Benutzern, Kommentatoren zu sperren. Ein Shadowban verbirgt Kommentare vor allen außer dem Poster, ohne sie zu benachrichtigen. [Instagram]
• Spotify Lite ist kleiner, mit weniger Funktionen: Die neue Lite-App von Spotify für Android ist schlanke 10 MB groß, was sich hervorragend für Geräte mit begrenztem Speicherplatz und Länder mit langsameren Internetgeschwindigkeiten eignet. Natürlich bedeutet die kleinere Größe weniger Funktionen. Aber du bekommst immer noch das Wichtigste, die Musik, das ist wirklich alles, was zählt. Während es jetzt in 36 Märkten auf der ganzen Welt erhältlich ist, gehören die USA nicht dazu. [Engadget]
  
• Google sagt, dass Sie Ihre Stadia-Spiele behalten können: Google Stadia ist unglaublich faszinierend. Aber eine Frage (ok, viele Fragen) tauchte stark auf: Was passiert, wenn ein Spieleherausgeber die Unterstützung von Stadia einstellt? Verlieren Sie das Spiel trotz des ausgegebenen Geldes? Google hat seine FAQ aktualisiert und verspricht, dass Sie Ihre Spiele in diesem Fall behalten werden, „vorbehaltlich unvorhergesehener Umstände“ (weil jedes Unternehmen Spielraum haben möchte). [Der Rand]
• Die seltsamen Tweets von Microsoft waren nur eine Werbung für Stranger Things: Die Tweets von Microsoft waren in letzter Zeit „seltsam“, indem sie Windows 1.0 und andere Rückschläge anpriesen. Die Verweise auf 1985 machten es zu einer wahrscheinlichen Verbindung zu Stranger Things (eine Show, die 1985 spielt), und jetzt wird dies mit einem Themenpaket und dem Download der Windows 1.11-App bestätigt. Wenn Sie hässliche Dinge mögen und Paint wirklich lieben, laden Sie sie jetzt herunter. [Ars Technica]
• YouTube kehrt zu FireTV zurück und Prime Video erhält Chromecast-Unterstützung: Google entfernte YouTube von FireTV, als die beiden Unternehmen um die Vertretung in den Geschäften des jeweils anderen stritten. Die Unternehmen haben Frieden versprochen, und es scheint, dass dieser endlich eintrifft. Du findest YouTube jetzt auf den meisten FireTV-Geräten (mit Ausnahme der Echo Show). Ebenfalls ab heute erhält Prime Video Chromecast-Unterstützung. Was für eine Zeit, um am Leben zu sein. [GeekWire]

VERBINDUNG: Die drei Dinge, die Google Stadia braucht, um die Gaming-Branche zu erobern

Touchscreens mit ihren virtuellen Tasten, die sich je nach Bedarf neu konfigurieren, sind eine fantastische Technologie, die unsere Lebensweise verändert hat. Es sei denn, Sie sind blind. Touchscreens sind eine stumpfe Technologie, die jeder ohne Sehvermögen verwenden kann – den Tasten fehlt die taktile Empfindung, die notwendig ist, um sie zu finden und ihre Verwendung zu bestimmen.

Dieses und andere Probleme will die Forschung lösen. Sie arbeiten an elektronischer Haut, die mit Touchscreens interagieren könnte, um taktile Empfindungen zu vermitteln. Stellen Sie es sich wie die Vibrationen Ihres Handys vor, aber in einem kleineren Maßstab, der Ihnen ein Gefühl dafür gibt, in welche Richtung Sie Ihren Finger bewegen oder wie stark Sie drücken müssen.

Die Idee ist, die Technologie so dünn zu halten, dass Sie sie mit Ihrem Finger fühlen können, und dennoch Schaltkreise einzubetten, die mit anderen Technologien und Ihnen interagieren können. Wissenschaftler hoffen, dass elektronische Haut eines Tages auch einer Handprothese das Gefühl von Empfindung und Berührung verleihen könnte. Bis dahin ist es noch ein langer Weg, aber jetzt scheint es wirklich möglich und nicht nur etwas im Reich der Science-Fiction. Das ist wahrer Fortschritt. [Phys.org]