Ganz schön forsch: Security-Researcher im Visier

Googles Abteilung Threat Research Group hat eine Kampagne aufgedeckt, mittels derer ein Geheimdienst versucht hat, Forschungsergebnisse zu Schwachstellen zu stehlen. Dafür wurden eigens Netzwerke aus Trollen und Bots – sogenannten Sock Puppets (Sockenpuppen) – aufgesetzt, die mit den Researchern interagiert haben, um deren Vertrauen zu erschleichen. Sogar Gastartikel von realen Expertinnen und Experten konnten die Fake-Forscher für ihre Blogs, in denen zur Tarnung eigene und niederwertige Fake-Forschung publiziert wurde, gewinnen. Diese „Ergebnisse“ und Kooperationen wurden über eine Vielzahl von Social Media Accounts verbreitet und beworben. Ziel der Kampagne schien nach ersten Analysen, eine trojanisierte VS-Projekt-Datei unterzuschieben, die in einigen Fällen Systeme der Researcher erfolgreich kompromittiert hat. Dies stellte sich allerdings nur als Backup-Angriffsvektor heraus. Die eigentliche Kompromittierung erfolgte via Chrome-0-day in Form eines Drive-By-Exploits, der sich in einem Blog befand, von dem ein PGP-Schlüssel zur Übertragung einiger minderwertiger Lock-Exploits (PoCs) heruntergeladen werden sollte.

Im Netz machte sich darob zunächst vor allem (ironischer) Neid breit von Seiten derer, die die Gauner nicht angesprochen hatten. In Zukunft ist also eine weitere mögliche Schwachstelle besonders zu beachten: die eigene Eitelkeit, wenn Fremde zur Kooperation einladen…

https://blog.google/threat-analysis-group/new-campaign-targeting-security-researchers/

Mal überlegen ob überlegen: Erste „Quanten-Supremacy“ erreicht

Nachdem bereits vor einer Weile die erste tatsächlich erreichte „Quanten-Supremacy“ verkündet worden war, hat Google nun endlich den offiziellen Bericht zu dem Erfolg in der Grundlagenforschung herausgebracht. Supremacy (Überlegenheit) bedeutet hier, dass ein Quantencomputer ein praktisches Problem schneller als jeder konventionelle Computer löst. Objektiv ist dies eindrucksvoll gelungen: Der supraleitende Quantenrechner konnte in 200 Sekunden eine Aufgabe berechnen, für die ein konventioneller Supercomputer 10.000 Jahre brauchen würde. Der Konkurrent IBM behauptet zwar, das Problem in einem theoretisch möglichen Supercomputer in 2 ½ Tagen bewältigen zu können, aber an der Überlegenheit ändert dies nichts.

Allerdings war das zu berechnende Problem aus der theoretischen Chemie so speziell auf den Erfolg geschneidert, dass es keinerlei sinnvolle Anwendung hat. Insofern ist Supremacy nicht gleich sinnvolles Ergebnis. Trotzdem ist hiermit ein technischer und theoretischer Meilenstein erreicht worden, den einige Kritiker den Quantencomputern bzw. ihren Konstrukteuren nie zugetraut hatten. Bis zum Brechen von Verschlüsselung ist noch ein längerer Weg – von dem allerdings ein wichtiger Schritt nun geschafft wurde.

https://www.heise.de/newsticker/meldung/Jetzt-auch-offiziell-Googles-Quantencomputer-zeigt-Quantum-Supremacy-4565771.html

Google petzt gegen Google: GP0 findet Android Zeroday

Eine Sicherheitslücke in Android-Telefonen wird offenbar bereits aktiv von Kunden des berüchtigten Anbieters NSO Group ausgenutzt. Das geht aus einem Bericht von Maddie Stone, einer Sicherheitsforscherin von Googles Project Zero, hervor. Es handelt sich um einen Use-after-Free-Bug im Linux-Kernel, mit dem sich auf Android-Telefonen Rechte ausweiten lassen. Ausgenutzt werden kann er von einer bösartigen Applikation oder im Zusammenspiel mit weiteren Bugs auch im Browser.

https://www.golem.de/news/linux-kernel-android-bug-wird-von-nso-group-angegriffen-1910-144250.html