Die 29. Folge des Podcasts von heise security bestreiten Sylvester und Christopher wieder zu zweit, diese Folge kommt ohne Gast aus. Allerdings nicht ohne zahlreiches Feedback der Hörer, die sich Sorgen um Smartphone-Sicherheit machen. Einige Rückmeldungen besprechen die Hosts miteinander und tauschen sogar die Rollen: Der Apple-Nutzer Christopher erzählt zu neuen Sicherheits-Features beim Konkurrenten Android.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen. Podcasts immer ladenEinige technische Details zum Knacken moderner Smartphones erklärt Sylvester genauer – etwa, warum verschlüsselte Daten auf Smartphones überhaupt knackbar sind. Die Abwägung zwischen Sicherheit, Nutzbarkeit und Leistung sorgt hier manchmal für faule Kompromisse, so der c't Redakteur. Funktionen wie das automatische Sperren von Apps mittels PIN oder Biometrie oder regelmäßige Geräte-Neustarts kosten wenig Nutzbarkeit, bringen jedoch einen echten Sicherheitsgewinn, merkt Co-Host Christopher an.
Doch auch beim Dauerbrenner "PKI" gibt's Neuigkeiten. So verpflichten sich alle CAs, künftig domainvalidierte Zertifikate nur nach mehreren Überprüfungen auszustellen – diese sollen künftig aus verschiedenen geographischen Regionen kommen. Das soll bestimmten Angriffen auf das CA-Ökosystem begegnen, die auf Routing-Manipulationen beruhen. Mozilla macht derweil Ernst mit der CRLite, was Sylvester begrüßt: Nach dem Tod des Online Certificate Status Protocol baut der Firefox-Hersteller nun eine leistungsfähige Alternative in seinen Browser ein.
Bei anderen Themen reichen sich Sylvester und Christopher hingegen die Blutdruckpillen im virtuellen Studio hin und her: Wie Oracle einen aktuellen Sicherheitsvorfall in seiner "Classic Cloud" auszusitzen und offenbar mit Wortklauberei umzudeuten versucht, läßt den Hosts den Kamm schwellen. Und dass Unternehmen mit ihren Domains, gleichsam virtuellen Aushängeschildern, schludrig umgehen und Phishing Tür und Tor öffnen, sorgt ebenfalls für erhöhten Puls bei den Redakteuren.
Dass da selbst ein ausgewiesener Security-Profi wie "have I been pwned"-Gründer Troy Hunt in die Phishing-Falle tappt, ist nicht verwunderlich, zeigt aber: Niemand darf und sollte sich schämen, Opfer von Phishing, Betrug und Malware geworden zu sein.
Die neueste Folge von "Passwort – der heise security Podcast" steht seit Mittwochmorgen auf allen Podcast-Plattformen zum Anhören bereit.
(Ursprünglich geschrieben von Heise)