Passwort - der Podcast von heise security

In dieser, dem Newsüberschuss geschuldeten Bonusfolge erzählt Sylvester von den Tricks der Malware Keenadu und wie Internetprovider helfen, sie in den Heimnetzen ihrer Kunden zu entdecken. Danach erklärt Christopher, was es mit Bluehammer, UnDefend und Redsun auf sich hat und wie sehr Microsofts Security Response Center manche Leute auf die Palme bringt.

Die Hörer und Hörerinnen haben Christopher und Sylvester mit viel Feedback zu, Hinweisen auf und auch Kritik an einigen Themen beschenkt. Deshalb startet die Folge mit einem bunten Strauß an Security-Aspekten der letzten Wochen und Folgen. Im weiteren Verlauf berichten die Hosts dann unter anderem von Zertifikaten, die zwar technisch korrekt aber trotzdem formal ungültig sind; von Beweisen, die funktionstüchtig und dennoch wertlos sind; und von CVEs, die sich so schnell ansammeln, dass das NIST nicht mit dem Anreichern hinter herkommt.

Christopher war im Urlaub - also ist einiges aufzuarbeiten. In Abwesenheit des Co-Hosts hat die AI große und unerwartete Fortschritte bei der Suche nach Sicherheitslücken gemacht, was Sylvester an einem Beispiel im populären Editor vim nacherzählt. Der KI-Firma Anthropic ist Quellcode für Claude Code, der durch Claude Code gecoded wurde, entfleucht und offenbart allerlei humorige Details. Weniger humorig waren die Osterfeiertage für Kunden der CA D-Trust, die wegen einer fatalen Formalität ihre TLS-Zertifikate austauschen mussten. Und für dreißig Routerbesitzer in Deutschland, die durch die Behörden, allen voran Verfassungsschutz und BSI, auf die Sicherheitslücken in ihren Geräten angesprochen wurden. Und dann...

Christopher und Sylvester haben viel Feedback zur Podcastfolge über GrapheneOS bekommen und eröffnen diese Episode mit den diversen Kommentaren und Tipps ihrer Hörer und Hörerinnen. Anschließend geht es unter anderem um Bugs in aktuellen Mailclients, Bugs in sehr alten Betriebssystemen, Bugs, bei denen die Polizei kommt, und solche, bei denen sie es nicht tut. Die Hosts sehen sich außerdem Post-Quantum- Pläne von Google an (dort drängt offenbar die Zeit) und gleich zwei Exploit-Kits gegen recht aktuelle iPhones, die kürzlich bekannt wurden.