GridTalk.de
Hacking Safari mit iLeakage research - Druckversion

+- GridTalk.de (https://www.gridtalk.de)
+-- Forum: Werkstatt (https://www.gridtalk.de/forumdisplay.php?fid=4)
+--- Forum: Technik (https://www.gridtalk.de/forumdisplay.php?fid=25)
+---- Forum: Macintosh (https://www.gridtalk.de/forumdisplay.php?fid=47)
+---- Thema: Hacking Safari mit iLeakage research (/showthread.php?tid=4733)

Seiten: 1 2 3 4


Hacking Safari mit iLeakage research - Cheryl Furse - 26.10.2023

Spezielles Problem, was noch nicht gelöst ist von apple. Es gibt noch keine updates für Safari or iOS Man kann ganz einfach gespeicherte Passwörter im Safari Browser hacken.

Hier der Artikel dazu

https://arstechnica.com/security/2023/10/hackers-can-force-ios-and-macos-browsers-to-divulge-passwords-and-a-whole-lot-more/

und hier das research paper von ileakage

https://ileakage.com/files/ileakage.pdf

By the way, über Intel Prozessoren seit 2012 geht es bei Windows und Linux Computern auch. Hatte dazu schon mal was gepostet auf Mastodon. Aber hier geht es um M Prozessoren bei MacOS mit Safari im speziellen.

Schon seit 2015 wird bei der Deutschen Welle für Journalisten nur spezielle Laptops mit tails
https://tails.net/
benutzt, weil man der Hardware nicht trauen konnte.

Später galt es für Qubes insbesondere und wird auch auf deren Seite nur diese Laptops empfohlen, wo man sicher sein kann, dass es keine sidechannel attacks gibt über die Prozessor Architektur. Es werden nur die hier genannten Laptops eingekauft für Auslandskorrespondenten

https://www.qubes-os.org/

Es spielt dabei keine Rolle, ob man VM benutzt und verschlüsselt, da der Angriff über die Prozessorarchitektur verläuft. Sowas geht auch über USB Schnittstellen.

Bei MacBooks dachte man seit den M Prozessoren, dass sie sicher wären, weil ja selbst lange für M Prozessoren keine Linux Distributionen verfügbar waren um sich mit der Architektur auszukennen. Jetzt wird es wahrscheinlich anders sein. Zumindest für M1 Macs wofür man jetzt Linux bekommt.


RE: Hacking Safari mit iLeakage research - Cheryl Furse - 28.10.2023

Google hat ein von akademischen Forschern veröffentlichtes Video entfernt, in dem gezeigt wird, wie ein neu entdeckter Seitenkanal in Apples CPUs der A- und M-Serie zum Stehlen eines Passworts verwendet werden kann.

Hier von einem Autor des ArsTechnica Artikels

https://opensimsocial.com/@dangoodin@infosec.exchange/111309007574983091


RE: Hacking Safari mit iLeakage research - Cheryl Furse - 29.10.2023

Jetzt kann man das zensierte Video hier schauen

https://opensimsocial.com/@genkin@infosec.exchange/111316065386450873


RE: Hacking Safari mit iLeakage research - Bogus Curry - 29.10.2023

(29.10.2023, 11:37)Cheryl Furse schrieb: Jetzt kann man das zensierte Video hier schauen

https://opensimsocial.com/@genkin@infosec.exchange/111316065386450873

Nööö ... keine Seite vorhanden ...

Wo wurde denn das Video hochgeladen, denke mal nicht bei Youtube oder ?

Hab mir mal die Webseiten von dem Prof angeschaut, von guter Webseitengestaltung hält der Mann aber auch nichts, die Bilder sind übergross. Der Kerl sollte mal dringens die Webseite mal überarbeiten oder jemand fragen, der sich damit auskennt ;D


RE: Hacking Safari mit iLeakage research - Cheryl Furse - 29.10.2023

Du musst einen account auf der Piazza haben.

Sorry ist vielleicht zu spezifisch für Insider


RE: Hacking Safari mit iLeakage research - Jupiter Rowland - 29.10.2023

(29.10.2023, 14:01)Bogus Curry schrieb:
(29.10.2023, 11:37)Cheryl Furse schrieb: Jetzt kann man das zensierte Video hier schauen

https://opensimsocial.com/@genkin@infosec.exchange/111316065386450873

Nööö ... keine Seite vorhanden ...

Wo wurde denn das Video hochgeladen, denke mal nicht bei Youtube oder ?
Bei Google Drive.

Das ist wieder einer von den typischen Amis auf Mastodon, für die das Internet und die IT-Welt außer Mastodon nur aus fünf oder sechs großen US-Megakonzernen und deren Produkten besteht.

Mal ganz ehrlich: Wenn man auf Mastodon ist und ganz überrascht erfährt, daß das Fediverse nicht nur aus Mastodon besteht, ist PeerTube normalerweise eins der ersten Projekte, von denen man hört.


RE: Hacking Safari mit iLeakage research - Bogus Curry - 29.10.2023

ERnsthaft bei Googledrive ? OHMyGodness .. lol


RE: Hacking Safari mit iLeakage research - Cheryl Furse - 29.10.2023

Hier ist es wieder

https://onedrive.live.com/?authkey=%21AMTjzIS6XfV1jzg&id=8208800C17D803E6%211176&cid=8208800C17D803E6&parId=root&parQt=sharedby&o=OneUp

Es geht darum, dass es vielen zugänglich UND zu FINDEN ist.

Ich würde auf rumble videos hochladen. Mache ich ja auch. Dort kann man unzensiert 15 GB file Filme hochladen. Gibt nix besseres. (Peertube zensiert alles was nicht deren Meinung entspricht. Stalinismus braucht kein Mensch im Internet)

Mein rumble account mit meinen Videos ist hier

https://rumble.com/user/CherylFurse

Man kann mit allen sicherheitseinstellungen und Bridges sich anmelden, hochladen usw. Ist perfekt. Und es hat auch eine grosse reichweite und kann überall wie Youtube integriert werden. Egal ob Mastodon, Twitter, Facebook usw. Funktioniert super und ist einfach.


RE: Hacking Safari mit iLeakage research - Bogus Curry - 29.10.2023

Zitat:Ich würde auf rumble videos hochladen. Mache ich ja auch. Dort kann man unzensiert 15 GB file Filme hochladen. Gibt nix besseres. (Peertube zensiert alles was nicht deren Meinung entspricht. Stalinismus braucht kein Mensch im Internet)

Das ist nicht ganz richtig, Peertube ist nur die Software und es gibt, wie bei Mastodon, dezentrale Instanzen, heisst das die Admins von jeder einzelne Instanz bestimmen können, was hochgeladen wird und was nicht. Und sowas mit Stalinsmus zu vergleichen, ist schon sehr heftig.

Bitte lasse doch in zukunft solche Vergleiche, das mag ich hier nicht lesen ;D

Nachtrag: Das Video sieht auch nicht ohne einen MS Account, also auch wieder frei zugänglich ...


RE: Hacking Safari mit iLeakage research - Mareta Dagostino - 29.10.2023

Größere Firmen haben für Informationssicherheit (oder meinetwegen denglisch infosec) spezielle Abteilungen, aber auch Bürger sind nicht hilflos aufgeschmissen ihre Infos im Netzrauschen zusammenzusuchen.

https://www.bsi.bund.de/DE/Home/home_node.html

Etwas runter scrollen zu "Sicherheitshinweise", in der Auswahl die Lasche "Bürger-CERT" wählen, und es gibt allgemeinverständliche Warnungen für die Bevölkerung. Ja, das ist gut versteckt, wie leider meistens bei deutschen Behörden. (Oder findet ihr noch auf Anhieb die wochenaktuelle Verbreitung der verschiedenen Coronavarianten?)

Konkret zum Safari-Hack:
https://wid.cert-bund.de/portal/wid/buergercert/details?uuid=035decd7-f0e6-4547-8763-b9127dd9826d