1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 06.08.21 - 00:06

    kann man nicht sagen ob es rechtens war.

    zb sie hat die apk in einem gerooteten android emulator gestartet und mittels eines hacks geschaut was die entsprechenden netzwerkklasse für https urls & parameter im klartext aufruft. dann mittels dieser erbeuteten url die apis nach nutzerdaten durchforstet.

    wenn ja ist das tatsächlich strafbar. auch wenn sie die apk .classes aufgemacht und den bytecode nach diesen urls durchsucht hat. das wäre dann wie mit einem einbruch ins haus zu vergleichen, da eine sicherheitsmaßnahme überwunden werden musste.

    wenn die csu app die api calls über http gemacht hat und sie einfach einen netzwerklistener benutzt hat dann sind das öffentliche requests und es ist öffentlich einsehbar. also nicht strafbar und eine sicherheitslücke.

    wenn die csu oder app entwickler sicher sein wollen müssen sie ohnehin einen code refractor (falscher name einer der alles random umbennent damit man nix findet) verwenden.

    grundsätzlich gilt aber dass kein ssl zugriff über eine app sicher ist. sollten die eine api verwendet haben die zwar eine unbekannte ssl-url verwendet, über die man aber alle daten von usern abfragen kann dann ist das ein datenschutzproblem.

  2. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 06.08.21 - 01:06

    Würde darauf tippen, dass sie per interception proxy die (also ihre eigene) SSL-communication im Klartext mitgelesen hat und daraus die API-Anfragen gebaut hat. Könnte man auch als MITM-Attacke sehen, aber ... sie belauscht sich selbst.

  3. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: x2k 06.08.21 - 07:32

    Das muss nur ich ein Richter verstehen... Viel Glück

  4. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 07.08.21 - 02:30

    kann man mit einem solchen interception proxy fremd signierte ssl connections einer app auslesen? ich.. sage nicht dass ich sowas mal getan hab. aber man muss code injection in der betroffenen ssl libary durchführen um die url auszulesen, bevor sie verschlüsselt wird.

    die app laufen zu lassen und dann mittels eines interception proxys zu lesen hat nicht funktioniert. sonst wäre das ja immer öffentlich. wie auch ohne key?



    2 mal bearbeitet, zuletzt am 07.08.21 02:34 durch SmikeSl.

  5. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 07.08.21 - 02:52

    edit zu meinen beitrag.

    grunsätzlich können solche hacks nicht verhindert werden. jede clientseitige implementation / apk kann mittels eines gerooteten emulierten handys und code injection aufgemacht werden. das dauert zwischen 5 minuten und ein paar tagen. aber sowas ist nie sicher (vl bei apple, aber wahrscheinlich auch nicht)

    rechtlich bedeutet dies jedoch man hat einen "schutz" umgangen. was eigentlich ein strohmann argument ist.

    der client muss wissen wie er auf den server zugreifen kann. wenn der client das weiß kann jeder das wissen. das recht ist hier im grunde bullshit, da kein wirklicher schutz existiert.

  6. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: Emulex 07.08.21 - 07:23

    Hier ist die Beschreibung von Frau Wittmann:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Da würde mich deine Sichtweise interessieren - du scheinst dich gut auszukennen bei dem Thema.

    Für mich bleibt die Frage der Intention kritisch.
    Denn es ging nicht darum eine Lücke zu finden und zu melden, sondern zu belegen, dass Daten entgegen der Aussagen gespeichert werden.
    Und diese Daten wurden dann - meines Erachtens - auch genau nach spannenden Details durchforstet (siehe ihre "Beispiele" mit dem Saupreiß, linksgrünversifft etc) und in Teilen veröffentlicht.
    Die Aktion ist für mich in erster Linie politisch-egoistisch geprägt.

  7. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 07.08.21 - 11:28

    Hab nochmal nachgeschaut:
    Zum Proxy schreibt Wittmann keine Details.
    Die Adresse des Backends kann eh nicht verschlüsselt werden, der Rest der URL ergibt sich schon fast von selbst (api/v2/profile?)
    Nach den Screenshots würde ich darauf tippen, dass sie dann mit Postman weitergearbeitet hat.

    Und das Backend ist wohl tatsächlich öffentlich zugänglich gewesen.

  8. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 07.08.21 - 12:09

    Emulex schrieb:
    --------------------------------------------------------------------------------
    > Hier ist die Beschreibung von Frau Wittmann:
    > lilithwittmann.medium.com
    >
    > Da würde mich deine Sichtweise interessieren - du scheinst dich gut
    > auszukennen bei dem Thema.
    >
    > Für mich bleibt die Frage der Intention kritisch.
    > Denn es ging nicht darum eine Lücke zu finden und zu melden, sondern zu
    > belegen, dass Daten entgegen der Aussagen gespeichert werden.
    Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit Jahren personenbezogene Daten öffentlich verfügbar gemacht (von der CDU mittels App). DSGVO ist ja wohl nur so'n Wisch ...

    > Und diese Daten wurden dann - meines Erachtens - auch genau nach spannenden
    > Details durchforstet (siehe ihre "Beispiele" mit dem Saupreiß,
    > linksgrünversifft etc) und in Teilen veröffentlicht.
    Im Zusammenhang mit dem JSON-Excerpt obendrüber - spannend ja, weil damit Personen leichter identifizierbarer werden. Im JSON sind die Topics allgemein, keine Meinung der befragten Personen, die Beispiele drunter dagegen seeehr konkrete Äußerungen. Könnte man vielleicht später nochmal verwenden?
    ich sehe nicht, dass sie Beispiele gesucht hat, um sich daran zu delektieren.

    > Die Aktion ist für mich in erster Linie politisch-egoistisch geprägt.
    Politisch klar - der CDU steht Frau Wittmann distanziert gegenüber (euphemistisch ausgedrückt). Ändert nichts dran, dass CxU digital imkompetent sind:
    https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. IT-Mitarbeiter (m/w/d) mit Schwerpunkt IT-Sicherheit
    NMI Reutlingen, Reutlingen
  2. IT System Administrator (m/w/d) Schwerpunkt Netzwerk
    Hirschvogel Holding GmbH, Denklingen
  3. Application Specialist*
    SCHOTT AG, Mainz
  4. Consultant Digital Networks (m/w/d)
    operational services GmbH & Co. KG, Frankfurt am Main

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Spiele-Angebote
  1. 33,49€
  2. (u. a. The Walking Dead: The Telltale Definitive Series für 24,99€, Before Your Eyes für 4...
  3. 8,99€


Haben wir etwas übersehen?

E-Mail an news@golem.de


Geforce Now (RTX 3080) im Test: 1440p120 mit Raytracing aus der Cloud
Geforce Now (RTX 3080) im Test
1440p120 mit Raytracing aus der Cloud

Höhere Auflösung, mehr Bilder pro Sekunde, kürzere Latenzen: Geforce Now mit virtueller Geforce RTX 3080 ist Cloud-Gaming par excellence.
Ein Test von Marc Sauter

  1. Nvidia Geforce Now drosselt manche Spiele auf 45 fps
  2. Nvidia Geforce Now bekommt RTX 3080 und Threadripper Pro

Ada & Zangemann: Das IT-Märchen, das wir brauchen
Ada & Zangemann
Das IT-Märchen, das wir brauchen

Das frisch erschienene Märchenbuch Ada & Zangemann erklärt, was Software-Freiheit ist. Eine schöne Grundlage, um Kinder - aber auch Erwachsene - an IT-Probleme und das Basteln heranzuführen.
Eine Rezension von Sebastian Grüner

  1. Koalitionsvertrag Ampelkoalition will Open Source in Verwaltung bevorzugen
  2. Open Source OBS erzürnt über Markenverletzung durch Logitech-Tochter
  3. Jailbreak Weitgehende DMCA-Ausnahmen für Open Source

3D-Druck-Messe Formnext 2021: Raus aus der Nische
3D-Druck-Messe Formnext 2021
Raus aus der Nische

3D-Druck wird immer schneller, schöner und effizienter. Die Technologie ist dabei, die Produktion zu revolutionieren und in unseren Alltag einzuziehen.
Ein Bericht von Elias Dinter

  1. Youtube Selbstgebauter 3D-Drucker arbeitet kopfüber
  2. 3D-Druck Das erste europäische Haus aus dem 3D-Drucker ist fertig
  3. Fleisch-Alternativen Ein Osterbraten im Drucker