1. Foren
  2. Kommentare
  3. Security-Forum
  4. Alle Kommentare zum Artikel
  5. › Connect-App: CDU zeigt offenbar…

Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

Neue Foren im Freiraum! Raumfahrt und freie Software haben jetzt einen Platz, die Games tummeln sich jetzt alle in einem Forum.
  1. Thema

Neues Thema Ansicht wechseln


  1. Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 06.08.21 - 00:06

    kann man nicht sagen ob es rechtens war.

    zb sie hat die apk in einem gerooteten android emulator gestartet und mittels eines hacks geschaut was die entsprechenden netzwerkklasse für https urls & parameter im klartext aufruft. dann mittels dieser erbeuteten url die apis nach nutzerdaten durchforstet.

    wenn ja ist das tatsächlich strafbar. auch wenn sie die apk .classes aufgemacht und den bytecode nach diesen urls durchsucht hat. das wäre dann wie mit einem einbruch ins haus zu vergleichen, da eine sicherheitsmaßnahme überwunden werden musste.

    wenn die csu app die api calls über http gemacht hat und sie einfach einen netzwerklistener benutzt hat dann sind das öffentliche requests und es ist öffentlich einsehbar. also nicht strafbar und eine sicherheitslücke.

    wenn die csu oder app entwickler sicher sein wollen müssen sie ohnehin einen code refractor (falscher name einer der alles random umbennent damit man nix findet) verwenden.

    grundsätzlich gilt aber dass kein ssl zugriff über eine app sicher ist. sollten die eine api verwendet haben die zwar eine unbekannte ssl-url verwendet, über die man aber alle daten von usern abfragen kann dann ist das ein datenschutzproblem.

  2. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 06.08.21 - 01:06

    Würde darauf tippen, dass sie per interception proxy die (also ihre eigene) SSL-communication im Klartext mitgelesen hat und daraus die API-Anfragen gebaut hat. Könnte man auch als MITM-Attacke sehen, aber ... sie belauscht sich selbst.

  3. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: x2k 06.08.21 - 07:32

    Das muss nur ich ein Richter verstehen... Viel Glück

  4. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 07.08.21 - 02:30

    kann man mit einem solchen interception proxy fremd signierte ssl connections einer app auslesen? ich.. sage nicht dass ich sowas mal getan hab. aber man muss code injection in der betroffenen ssl libary durchführen um die url auszulesen, bevor sie verschlüsselt wird.

    die app laufen zu lassen und dann mittels eines interception proxys zu lesen hat nicht funktioniert. sonst wäre das ja immer öffentlich. wie auch ohne key?



    2 mal bearbeitet, zuletzt am 07.08.21 02:34 durch SmikeSl.

  5. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: SmikeSl 07.08.21 - 02:52

    edit zu meinen beitrag.

    grunsätzlich können solche hacks nicht verhindert werden. jede clientseitige implementation / apk kann mittels eines gerooteten emulierten handys und code injection aufgemacht werden. das dauert zwischen 5 minuten und ein paar tagen. aber sowas ist nie sicher (vl bei apple, aber wahrscheinlich auch nicht)

    rechtlich bedeutet dies jedoch man hat einen "schutz" umgangen. was eigentlich ein strohmann argument ist.

    der client muss wissen wie er auf den server zugreifen kann. wenn der client das weiß kann jeder das wissen. das recht ist hier im grunde bullshit, da kein wirklicher schutz existiert.

  6. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: Emulex 07.08.21 - 07:23

    Hier ist die Beschreibung von Frau Wittmann:
    https://lilithwittmann.medium.com/wenn-die-cdu-ihren-wahlkampf-digitalisiert-a3e9a0398b4d

    Da würde mich deine Sichtweise interessieren - du scheinst dich gut auszukennen bei dem Thema.

    Für mich bleibt die Frage der Intention kritisch.
    Denn es ging nicht darum eine Lücke zu finden und zu melden, sondern zu belegen, dass Daten entgegen der Aussagen gespeichert werden.
    Und diese Daten wurden dann - meines Erachtens - auch genau nach spannenden Details durchforstet (siehe ihre "Beispiele" mit dem Saupreiß, linksgrünversifft etc) und in Teilen veröffentlicht.
    Die Aktion ist für mich in erster Linie politisch-egoistisch geprägt.

  7. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 07.08.21 - 11:28

    Hab nochmal nachgeschaut:
    Zum Proxy schreibt Wittmann keine Details.
    Die Adresse des Backends kann eh nicht verschlüsselt werden, der Rest der URL ergibt sich schon fast von selbst (api/v2/profile?)
    Nach den Screenshots würde ich darauf tippen, dass sie dann mit Postman weitergearbeitet hat.

    Und das Backend ist wohl tatsächlich öffentlich zugänglich gewesen.

  8. Re: Ohne zu verstehen welche sicherheitsmaßnahmen sie umgangen hat ..

    Autor: stan__lemur 07.08.21 - 12:09

    Emulex schrieb:
    --------------------------------------------------------------------------------
    > Hier ist die Beschreibung von Frau Wittmann:
    > lilithwittmann.medium.com
    >
    > Da würde mich deine Sichtweise interessieren - du scheinst dich gut
    > auszukennen bei dem Thema.
    >
    > Für mich bleibt die Frage der Intention kritisch.
    > Denn es ging nicht darum eine Lücke zu finden und zu melden, sondern zu
    > belegen, dass Daten entgegen der Aussagen gespeichert werden.
    Das eine bedingt das andere, obwohl - da war ja nicht wirklich eine Lücke, sondern seit Jahren personenbezogene Daten öffentlich verfügbar gemacht (von der CDU mittels App). DSGVO ist ja wohl nur so'n Wisch ...

    > Und diese Daten wurden dann - meines Erachtens - auch genau nach spannenden
    > Details durchforstet (siehe ihre "Beispiele" mit dem Saupreiß,
    > linksgrünversifft etc) und in Teilen veröffentlicht.
    Im Zusammenhang mit dem JSON-Excerpt obendrüber - spannend ja, weil damit Personen leichter identifizierbarer werden. Im JSON sind die Topics allgemein, keine Meinung der befragten Personen, die Beispiele drunter dagegen seeehr konkrete Äußerungen. Könnte man vielleicht später nochmal verwenden?
    ich sehe nicht, dass sie Beispiele gesucht hat, um sich daran zu delektieren.

    > Die Aktion ist für mich in erster Linie politisch-egoistisch geprägt.
    Politisch klar - der CDU steht Frau Wittmann distanziert gegenüber (euphemistisch ausgedrückt). Ändert nichts dran, dass CxU digital imkompetent sind:
    https://lilithwittmann.medium.com/wenn-die-csu-und-die-volkspartei-digitalen-wahlkampf-machen-6d9e245efefc

  1. Thema

Neues Thema Ansicht wechseln


Um zu kommentieren, loggen Sie sich bitte ein oder registrieren Sie sich. Sie müssen ausserdem in Ihrem Account-Profil unter Forum einen Nutzernamen vergeben haben. Zum Login

Stellenmarkt
  1. Java-Entwickler (w/m/d) After Sales
    SSI SCHÄFER Automation GmbH, Giebelstadt, Dortmund, Münster
  2. Data Engineer (d/m/w)
    NÜRNBERGER Versicherung, Nürnberg
  3. IT-Professional-Projektmanag- er (m/w/d)
    Präsidium der Bayerischen Bereitschaftspolizei, Rosenheim
  4. SAP S / 4HANA Inhouse Berater/in SD (m/w/d)
    Friedrich Lange GmbH, Hamburg

Detailsuche


Golem pur
  • Golem.de ohne Werbung nutzen

Anzeige
Top-Angebote
  1. 1.000€ MMOGA-Gutschein gewinnen
  2. (u. a. Samsung Odyssey G9 49 Zoll Ultrawide Curved QLED 5.120 x 1.440 Pixel 240Hz für 1.149€)
  3. 89,95€ (Bestpreis)
  4. (u. a. Beats Solo Pro kabellose On-Ear-Kopfhörer für 159€)


Haben wir etwas übersehen?

E-Mail an news@golem.de