Passwort - der Podcast von heise security

Stefan Porteck, Redakteur für Mobil/Entertainment bei c't und Android-Experte. Sie erklären, wer hinter GrapheneOS steckt und warum es nur auf Pixel läuft. Es geht um Kooperationen mit OEMs, Hardening-Maßnahmen und Features wie Scrambled Keypad, Duress PIN und Auto-Reboot. Außerdem Diskussionen zu App-Kompatibilität, Play-Store-Nutzung und der Praxis bei mobilem Bezahlen.

Jan Mahn, Journalist bei c't und Heise-Chefredaktion, bringt investigative Security-Recherche mit. Er erzählt von Bulletproof-Hostern, gefälschten AS-Anträgen und wie Briefkastenfirmen Missbrauch ermöglichen. Es gibt Diskussionen zu kaputten Security-Appliances, Private‑Equity‑Folgen und neuen Regeln für IP‑Zertifikate. Kurze PKI-Updates und Praxis-Tipps runden das Gespräch ab.

Berichte zu massiven Schwachstellen in MDM‑Systemen und realen Angriffen auf Behörden. Vorstellung und Warnung vor dem riskanten KI‑Agenten OpenClaw und seinen Exfiltrationswegen. Diskussion zur Umstellung auf quantensichere Kryptografie im BSI‑Kontext. Praktische Risiken bei Commit‑Diffs und Texteditoren, inklusive gehackter Updater und Malware‑Lieferketten.

Diskussion über Certificate Transparency und die Risiken, wenn Log‑Listen sich ändern. Beispiele für große App‑Ausfälle durch CT‑Änderungen werden genannt. Wie Ransomware‑Gruppen Blockchain und Smart Contracts nutzen, um resilienter zu werden. Debatte über KI‑generierte Sicherheitsmeldungen, die Bug‑Bounty‑Programme gefährden. Warnung vor einer alten Telnet‑Sicherheitslücke und Aufruf zum Update.

Rundes Jubiläum beim Podcast! Anlässlich der fünfzigsten regulären Folge besprechen Sylvester und Christopher viel Hörerfeedback, über das sie sich besonders freuen. Sie haben auch viele Themen für die Newsfolge mitgebracht - so viele, dass Sylvester nach zwei Stunden die Reißleine zieht und eine Bonusfolge einläutet. Neben einer neuen RCE-Lücke in n8n gibt es eine Einschätzung zu Bitlocker-Wiederherstellschlüsseln in der Cloud, ungläubiges Kopfschütteln angesichts eines vibecoded PR-Stunts von Cloudflare, eine neue Bluetooth-Lücke und einen witzigen Weg, Anthropics LLMs aus dem Tritt zu bringen. Stand der Technik Paper zu MPIC-Erfahrungen bei Letsencrypt RCE in n8n (schon wieder) Bluetooth Headphone Jacking Whisperpair-Geräteliste Deadlock Ransomware und smart contracts Googles Änderungen an seiner CT-Log-Liste Curls Bug-Bounty-Ende ANTHROPICMAGICSTRINGTRIGGERREFUSAL_1FAEFB6177B4672DEE07F9D3AFC62588CCD2631EDCF22E8CCC1FB35B501C9C86 SSL-Sicherheitslücken von AI gefunden Mitglieder unserer Security Community auf heise security PRO hören alle Folgen bereits zwei Tage früher. Mehr Infos: https://pro.heise.de/passwort

Gespräche über ein unpraktisches BSI‑Portal und die Folgen für Meldungen und digitale Souveränität. Laufzeitprobleme und Missbrauch bei Code‑Signing‑PKIs kommen zur Sprache. Umfangreiche Diskussion zu GnuPG/PGP‑Schwachstellen und möglichen Exploit‑Tricks. Analyse eines RCE‑Angriffs auf das Automatisierungstool n8n und praktische Update‑Hinweise. Dazu noch Messenger‑Tracking und praktische Sicherheitstipps.

Linus Neumann, Sprecher des Chaos Computer Club, diskutiert über den Digital Independence Day und praktische Schritte zur Reduzierung von Big-Tech-Abhängigkeiten. Bianca Kastl, Gesundheits-IT-Entwicklerin, analysiert Sicherheitslücken der elektronischen Patientenakte und kritische Marktentwicklungen. Florian Adamsky, Security-Forscher, erklärt die Rowhammer-Sicherheitslücke und die Ergebnisse seines FlippyR.AM-Projekts, das die Anfälligkeit von Speichermodulen testet. Gemeinsam beleuchten sie die Herausforderungen der digitalen Souveränität.

In dieser Folge wird eine kuriose Toilettenschüsselkamera für Darmkrebsfrüherkennung thematisiert, die nicht wirklich sicher ist. Sylvester erklärt die kritische Schwachstelle React2Shell und ihre Auswirkungen auf zahlreiche Domains. Die beiden diskutieren auch die Herausforderungen bei der Aufklärung über Sicherheitslücken und die Reaktionen der Anbieter. Außerdem wird das neue Kryptodesign für Tor, Counter-Galois Onion, vorgestellt, das Sicherheitsprobleme lösen soll. Abschließend gibt es spannende Einblicke in Zertifizierungsfragen und die Zukunft der PKI.

In dieser Folge geht es um einen dreistündigen Ausfall bei Cloudflare, der durch interne Fehlkonfigurationen ausgelöst wurde. Die Moderator:innen loben die transparente Kommunikation des Unternehmens. Außerdem wird das WhatsApp-Scraping behandelt, bei dem Forscher Milliarden von Nummern abfragten. Ein weiteres spannendes Thema ist der neue NPM-Wurm Shai-Hulud 2.0, der über GitHub verbreitet wird. Die Debatte über den Glassworm klärt, ob es sich um einen Wurm oder ein Botnet handelt. Technische Analysen und Sicherheitsstrategien werden ebenfalls diskutiert.

Christopher und Sylvester tauchen tief in die Große Chinesische Firewall ein. Sie erläutern ihre Entstehung und technischen Mechanismen und beleuchten, wie auch Gegner kreative Anti-Zensur-Tools entwickeln. Besondere Aufmerksamkeit gilt der Kommerzialisierung von Zensurtechnologien, die China international anbietet. Zudem wird die Funktionsweise verschiedener Filtermechanismen, von DNS-Spoofing bis hin zu VPN-Erkennung, diskutiert. Abschließend werfen sie einen Blick auf die fragmentierte digitale Landschaft und ihre Risiken.