Passwort - der Podcast von heise security

Christopher und Sylvester werfen einen Blick auf das i- Soon-Leak. Im Februar 2024 tauchte auf GitHub ein Datensatz auf, der Vertriebs- und Dokumentationsmaterial der chinesischen Firma i-Soon enthielt und auch Chatprotokolle von Mitarbeitern des Unternehmens. Wer mit welchem Motiv den Datensatz veröffentlicht hat, ist nach wie vor unklar und entsprechend skeptisch sollte man ihn bewerten. Um eine reine Fälschung handelt es sich jedoch höchstwahrscheinlich nicht und die Daten offenbarten einen seltenen Einblick in die chinesische Cybercrime-Industrie, die sehr offiziell und mit dem Staat als regelmäßigem Kunden agiert.

- Analyse der XZ-Hintertür: https://heise.de/-9788145
- Analysen des i-Soon-Leaks:
- https://harfanglab.io/insidethelab/isoon-leak-analysis/
- https://unit42.paloaltonetworks.com/i-soon-data-leaks/...

Achtung, die Blutdruckpillen werden ausgepackt! Christopher und Sylvester ärgern sich über laxe Sicherheitspraktiken bei Konzernen und deren undurchsichtige Krisen-PR. Sie freuen sich hingegen über reichlich Hörer-Feedback zu vergangenen Folgen und diskutieren über Neuerungen im Zertifikats-Ökosystem. Und auch eine sehr prominente, aber vorbildlich gemeisterte Phishing-Attacke wird zum Thema - die Hosts erklären, warum sich wirklich niemand schämen sollte, Opfer geworden zu sein.

- https://gitlab.torproject.org/legacy/trac/-/wikis/doc/TorPlusVPN
- https://github.com/wesaphzt/privatelock
- https://eylenburg.github.io/android_comparison.htm
- https://samwho.dev/bloom-filters/
- https://github.com/mozilla/clubcard

Mitglieder unserer Security Community auf heise security PRO hören
alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

In dieser Folge geht es wieder um Staaten, die ihre Bürger bespitzeln. Diesmal allerdings nicht durch Spyware (siehe Folge 25) sondern mittels spezieller Geräte, die möglichst viele Daten auch von gesperrten Telefonen extrahieren. Im Podcast ist Viktor Schlüter zu Gast, der bei Reporter ohne Grenzen das Digital Security Lab leitet. Er kennt sich bestens mit solchen Smartphone-Durchsuchungen aus, die immer wieder auch illegitim eingesetzt werden und sich beispielsweise gegen Journalisten richten. Zusammen mit Viktor sehen sich Christopher und Sylvester an, wie solche Durchsuchungen funktionieren, wer solche Geräte herstellt, wer sie einsetzt und wie man sich davor schützen kann.

- Digital...

Passwort-Podcast ohne PKI: unvorstellbar! Daher sprechen Sylvester und Christopher in der aktuellen FOlge auch über Kritik an der automatischen Zertifikatsvergabe per ACME-Protokoll. Außerdem staunen sie ob eines Milliardendiebstahls bei der Kryptobörse Bybit, ärgern sich über verschiedene staatliche Versuche, Verschlüsselung zu schwächen und ermutigen ihre Hörer, bei der Auswahl der Testdomain umsichtig vorzugehen.

- https://blog.thc.org/practical-https-interception
- CertSpotter: https://github.com/SSLMate/certspotter
- https://tuta.com/de/blog/france-surveillance-nacrotrafic-law
- https://support.apple.com/en-us/122234
- https://www.cl.cam.ac.uk/~ah793/papers/2025police.pdf
- https://www.bloomberg.com/opinion/articles/2025-03-03/citi-keeps-hitting-the-wrong-buttons
- https://www.heise.de/news/BAMF-Skurrile-Testkonten-ermoeglichten-unautorisierten-Datenzugriff-10305691.html

- https://github.com/jlopp/physical-bitcoin-attacks

Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort