» News
The Division 2: Bis zu 92 GByte großer Day-One-Patch
Allgemein Der Day-One-Patch von The Division 2 ist so groß wie das Spiel selbst: 48 bis 92 GByte. Auch die Disc-Käufer kommen um den Download also nicht herum.

Der Day-One-Patch von Ubisofts kommendem Online-Shooter The Division 2 ist auf Xbox und PC 48 bis 52 GByte groß, auf der PS4 misst er sogar 88 bis 92 GByte. Wie Ubisoft in einem Blog-Eintrag schreibt, nimmt The Division 2 im Anschluss an die Installation dieses Patches dann genauso viel Platz auf der Festplatte ein. In der Praxis bedeutet das: Der Day-1-Patch ist so groß wie das eigentliche Spiel, die meisten Dateien dürfte er wohl einfach ersetzen.

Für Käufer der Download-Fassung ist das verschmerzbar. Sie müssen das Spiel wohl nur einmal herunterladen, der Day-1-Patch ist dann bereits integriert. Ärgerlich ist der riesige Day-1-Patch aber für Käufer der Disc-Fassung: Normalerweise können Käufer der physischen Version nach der Installation recht schnell loslegen, nun müssen sie aber danach praktisch das ganze Spiel trotzdem herunterladen – der eigentliche Vorteil der Disc-Version wird damit ad absurdum geführt.
Nach Day-One-Patch kommt Update auf 1.5

An der Installation des Day-One-Patches führt wohl kein Weg vorbei: Da The Division 2 ein Online-Spiel ist, müssen alle Spieler zwangsläufig auf demselben Versionsstand sein. Was sich konkret mit dem Patch ändert, ist nicht bekannt. Ubisoft spricht lediglich von "diversen Bugfixes und Verbesserungen". Nach dem Day-1-Patch gibt es dann noch ein mit 2 GByte vergleichsweise kleines Update auf Version 1.5, das Audio-Probleme beheben soll.

Dass Spiele zwischen 50 und 100 GByte an Festplattenspeicherplatz benötigen, ist nichts Außergewöhnliches mehr. Der auf den Spielekonsolen verfügbare Speicherplatz ist aber begrenzt, die normale PS4 hat zum Beispiel nur Platz für 500 GByte. Eine mögliche Lösung ist der Einsatz externer Festplatten.

Kurios ist, dass die PS4-Fassung von The Division 2 fast doppelt so groß sein soll wie die Xbox- und PC-Versionen. Normalerweise liegt der benötigte Speicherplatz über die Konsolen hinweg im gleichen Bereich. The Division 2 erscheint am 15. März. Käufer der Gold-Version können schon heute spielen – wenn sie den Download hinter sich gebracht haben. (dahe)
Autor: Predatorfighter | Mittwoch 13. 03. 2019 0 Kommentare


Unsichere Nachrüst-Alarmanlagen begünstigen Autoklau
Allgemein Alarmanlagen von Pandora Alarms und Viper hatten eklatante Sicherheitslücken: Hacker konnten Autos orten und im Handumdrehen klauen.

Wenn eine Firma behauptet, ihr Sicherheitssystem sei unhackbar, dann beschwört sie damit oft Probleme herauf: Auf Sicherheitsforscher wirkt so eine Ansage wie ein rotes Tuch auf einen Stier. Der Hersteller Pandora behauptet auf seiner Webseite, seine Auto-Alarmanlagen seien unknackbar. Das veranlasste Sicherheitsforscher der britischen Firma Pen Test Partners, den smarten Alarmanlagen gründlich auf den Zahn zu fühlen. Was sie bei Produkten des russischen Herstellers und der US-amerikanischen Firma Viper fanden, ist beängstigend: Eine ungesicherte Server-API, mit der man Autos finden, aufschließen und komplett kontrollieren kann. Die Alarmanlage wird zum perfekten Tool für Autodiebe.
Finden, starten und wegfahren

Anfällig sind mehrere unter dem Markennamen Pandora Alarms vertriebene Systeme und das Produkt Viper Smart Start. Diese Alarmanlagen werden zum Nachrüsten teurer oder seltener Autos vertrieben, vor allem Sportwagen und SUVs. Mit dem CAN-Bus des Wagens gekoppelt, steuern sie die Zentralverriegelung, den Motor und Mikrofone im Wageninneren. Der Wagenbesitzer kann mit einer Smartphone-App oder einem Web-Interface sein Auto jederzeit orten lassen, den Motor abstellen und akustische Alarmsignale auslösen. Dummerweise waren die APIs der Systeme beider Hersteller so schlecht abgesichert, dass ein Angreifer aus dem öffentlichen Netz die komplette Kontrolle über den Wagen übernehmen konnte.

Dazu musste ein Angreifer lediglich den entsprechenden API-Endpunkt aus dem Traffic der Apps auslesen. Über die ungesicherte API war es für einen interessierten Hacker relativ einfach, den Anmeldenamen (also die E-Mail-Adresse) und das Passwort eines Wagenbesitzers zu ändern. Ohne dass der Besitzer des Fahrzeugs es mitbekommen hätte, konnte der Angreifer dann dessen Auto orten, den Schlüssel klonen und das Auto mit seiner Handy-App aufschließen und wegfahren können. Außerdem hätte er die internen Mikrofone des Wagens abhören können. Bei mehreren Fahrzeugtypen war es außerdem möglich, die eingestellte Geschwindigkeit des Cruise-Control-Systems zu ändern. Bei einem Range Rover konnten die Forscher sogar den Motor während der Fahrt abstellen.
Angreifbare Nutzerkonten waren einfach zu finden

An die Nutzerinformationen der App zu kommen, um die entsprechenden Fahrzeuge zu hacken, war ebenfalls trivial. Alleine mit einem Test-Konto gelang es den Forschern sowohl bei der Pandora- als auch der Viper-App, über die API sämtliche am System angemeldeten Fahrzeuge samt Anmelde-Mail-Adresse auszulesen. Solche ungesicherten Web-APIs sind keine Seltenheit, so deckten c't und heise online vor einiger Zeit ganz ähnliche Schwachstellen in Kinder-Tracking-Smartwatches auf. Wenn sich allerdings ein System zur Absicherung teurer Autos trivial einfach in das perfekte Diebstahl-Werkzeug verwandeln lässt, ist das wohl besonders absurd. Was es noch viel unglaublicher macht, dass Pandora behauptet hatte, die eigene Alarm-Technik sei unhackbar.

Beide Hersteller haben die Sicherheitslücken behoben, bevor Pen Test Partners mit ihren Erkenntnissen an die Öffentlichkeit gingen. Die beiden Systeme sind im Vereinigten Königreich, Russland und den USA unter den am meisten verbreiteten After-Market-Alarmsystemen. Auch in Deutschland werden sie von einer Anzahl Dienstleister und Werkstätten angeboten – sowohl zum Selbsteinbau, als auch als Nachrüst-Service in Werkstätten. (fab)
Autor: Predatorfighter | Mittwoch 13. 03. 2019 0 Kommentare


Forscher entdeckt ungeschützte Datenbank mit über 763 Millionen E-Mail-Adressen
Allgemein Eine riesige E-Mail-Adresssammlung lag öffentlich zugänglich auf dem Server eines "E-Mail-Verifizierers" – glücklicherweise ohne Passwörter.

Ein Mitarbeiter der Sicherheitsfirma Security Discovery hat auf dem Server eines "E-Mail-Verifizierers" namens verifications.io eine rund 150 GByte große, öffentlich zugängliche MongoDB-Datenbank mit E-Mail-Adressen gefunden. Deren Gesamtzahl (ohne Dopplungen) beläuft sich laut dem Prüfdienst Have I been Pwned auf insgesamt 763.117.241.

Aus dem Blogeintrag von Bob Diachenko, dem Sicherheitsforscher von Security Discovery, geht hervor, dass den E-Mail-Adressen in der Datenbank teilweise auch weitere private Daten zugeordnet waren – darunter Vor- und Nachnamen, Geschlecht, Geburtsdaten, Telefonnummern und Wohnorte. Kreditkarten- oder ähnliche Bezahldaten sollen nicht enthalten gewesen sein. Anders als in früheren Datenlecks enthält dieses wohl auch keine Passwörter oder Passwort-Hashes, mit denen Angreifer die E-Mail-Accounts unmittelbar kompromittieren könnten.
Zweitgrößte E-Mail-Adresssammlung nach Collection #1

Prüfdienstbetreiber Troy Hunt ließ gegenüber der IT-News-Webseite Wired verlauten, dass 35 Prozent der E-Mail-Adressen nicht in früheren an Have I Been Pwned übermittelten Leaks enthalten waren. Im Hinblick auf die Anzahl der E-Mail-Adressen handele es sich um die zweitgrößte Datensammlung, die je zu Have I been Pwned hinzugefügt worden sei. Platz 1 belegt nach wie vor die Collection 1 mit rund 773 Millionen E-Mail-Adressen, denen allerdings auch Passwörter zugeordnet waren.

Laut Wired sagte Hunt, dass das Datenleck auf verifications.io sogar einige seiner eigenen Daten enthalte. Wer überprüfen möchte, ob seine E-Mail-Adresse Teil des Datenlecks ist, kann dies bei Have I Been Pwned tun.
Fragwürdiger Verifizierungs-Service

Im Zuge seiner Entdeckung hat sich Diachenko eingehender mit verifications.io befasst. Im Zuge einer Datenbank-Analyse will er gemeinsam mit einem Kollegen herausgefunden haben, dass der Dienstleister "auf Bestellung" und unter Verwendung von Listen, die er von Kunden erhielt, massenhaft (Spam-)E-Mails verschickte, um die Existenz von E-Mail-Adressen zu validieren.

Verifications.io bewarb diesen Service laut Diachenko als "Enterprise Email Validation". Der Forscher hält allerdings ein anderes Einsatzszenario für plausibler. Kriminelle Hacker, die ein bestimmtes Unternehmen angreifen wollen, könnten verifications.io genutzt haben, um (nicht-)existente Firmen-Mail-Adressen aus einer Liste herauszufiltern, ohne selbst Verdacht zu erregen. Die resultierende Liste mit validen Adressen bilde dann einen besseren Ausgangspunkt für gezielte Phishing-Kampagnen (Spear Phishing) oder Brute-Force-Angriffe.
Nebulöser Firmen-Background

Diachenko setzte verifications.io über das Datenleck in Kenntnis – und erhielt überraschenderweise tatsächlich eine Antwort. Es handele sich bei dem Datenleck nicht um "Kundendaten", sondern um eine "Unternehmensdatenbank" mit Informationen, die ohnehin öffentlich zugänglich seien. Dennoch war die Datenbank noch am selben Tag plötzlich offline – wie mittlerweile die gesamte Website.

Von Wired auf das Statement des E-Mail-Verifizierers angesprochen, sagte Troy Hunt, er habe nie von der Firma gehört und könne sich mit Bestimmtheit nicht daran erinnern, ihr seine Zustimmung zur Verwendung seiner Daten gegeben zu haben. Der Vorfall sei nur ein weiteres Beispiel dafür, wie jemand an seine Daten und die Hunderter Millionen anderer Personen gekommen sei, und bei dem er absolut keine Ahnung habe, wie dies geschehen sei. (ovw)
Autor: Predatorfighter | Mittwoch 13. 03. 2019 0 Kommentare




[ 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 ] »