"Zumindest wird es nicht langweilig", bilanzieren Podcast-Hosts Sylvester und Christopher den IT-Sicherheits-April. Und so fällt es beiden leicht, im heise-Security-Podcast erneut fast zwei Stunden über aktuelle Ereignisse zu sprechen.
Los geht's mit dem sogenannten "ChoiceJacking", einer Abwandlung der als "JuiceJacking" bekannten Angriffe auf Smartphones. Über die USB-Schnittstelle zapfen bei ersterem Schnüffelgeräte Daten vom Gerät ab, indem sie sich als Ladegerät ausgeben. Schon länger verhindern Smartphone-Hersteller diesen Trick mit entsprechenden Sicherheitsabfragen, aber die österreichischen Entdecker des ChoiceJacking fanden eine neue Methode, sich trotzdem die Kontrolle übers Gerät zu verschaffen.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer ladenDie neue "Advanced Chat Privacy", die Meta neuerdings in ihrem Messenger Whatsapp verbaut, und US-Präsident Trumps Racheaktion gegen den Ex-CISA-Chef Chris Krebs sind weitere Themen auf der "Passwort"-Tagesordnung. Sylvester erzählt außerdem, was es mit dem Neologismus "Slopsquatting" auf sich hat. Was wie eine merkwürdige Fitnessübung klingt, ist in Wahrheit ein Supply-Chain-Angriff auf KI-generierten Programmcode.
Ein zuverlässiger Aufreger und eine ebenso zuverlässige Standardrubrik dürfen in der einunddreißigsten Folge des Security-Podcasts natürlich nicht fehlen: Während eine unzulänglich geflickte Sicherheitslücke in einer Sicherheits-Appliance mal wieder für einen Eintrag in der Unsicherheits-Bingokarte gut ist, gibt es in der Web-PKI eine Ankündigung, die in den nächsten Jahren die Landschaft digitaler Zertifikate deutlich verändern dürfte.
Und zu guter Letzt arbeitet sich Co-Host Christopher an dem Chaos rund um die kurzzeitig drohende Abschaltung der weltweiten CVE-Datenbank ab. Für die Hörer fasst er auch zusammen, welche Initiativen Mitte April die von der MITRE Corporation betriebene Schwachstellenliste verändern oder beerben wollten – was von deren Aktionismus übrig geblieben ist, hört Ihr in der aktuellen Folge von "Passwort".
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(