Compyblog

Meldung aus der 'nichts genaues weiß man'-Ecke: Am Montag, dem 11. sind Etablissements des eigentlich von Filmen bekannten Konzern MGM runtergefahren worden. Mit der Meldung verbunden war gleich der Verdacht darauf, dass da Ransomware beteiligt sein könnte. Inzwischen ist ein Ransomware-Befall ja nicht mehr die drohende (oder vollzogene) Verschlüsselung aller Festplatten von allen Geräten, sondern parallel der Abfluss und drohende Veröffentlichung wichtiger Daten. Deshalb sind Ransomware-Opfer üblicherweise lieber still, und zwahlen und/oder hoffen darauf, dass die Strafverfolgung mal das tut, was sie eigentlich tun sollte: Straftäter verfolgen. Die Meldung erinnert noch daran, dass das selbe Unternehmen MGM in der Vergangenheit schon einen peinlichen Datenabfluss hatte, insofern scheint deren Sicherheit zumindest schon mal nicht perfekt gewesen zu sein. 

Meldung aus der 'das hatte sich schon abgezeichnet'-Ecke: Als vor einiger Zeit LastPass gemeldet hat, dass die einen Datenreichtum hatten, sind nicht nur theoretisch Zugangsdaten (Userid plus Passwort plus Seite, wo diese Kombination Zugang verschafft) abgeflossen, sondern auch tatsächlich. Konkret wurde das jetzt bei irgendwelchen Krypto-Währungen festgemacht, aber die eine oder andere Meldung über nicht-erwünschte Zugriffe auf Daten, die schon in den Medien aufgetaucht ist, könnte auch auf LostPass zurückzuführen gewesen sein.  Je nach der Art der Daten, die da erreichbar waren, könnten die Betroffenen da in ziemlichem Trubel gelandet sein, und Datensicherheitskonzepte dringender Überarbeitung bedurft haben. Hust. 

Neues von dem, was früher Twitter hieß: Alle Links, die dort gepostet werden, werden seit vielen Jahren über einen eigenen Link-Wandler geleitet. Da ist neulich jemandem aufgefallen, dass ein Aufruf eines t.co-Links gegenüber dem direkten Link bummelig vier bis fünf Sekunden länger dauert. Das scheint wohl am 4. August eingeführt worden zu sein, aber kaum machte der Bericht online die Runde, wurden die Link-Aufrufe deutlich schneller. Fast so, als wäre jemand erwischt worden. 

Das Thema Datensicherheit geht nochmal weiter. Und zwar hat Lilith Wittmann (bekannt von Zerforschung und BfV-Nachverfolgung) mal nachgesehen, wie die tolle, von der Schufa-Tochter Bonify veröfentlichte Äpp mit deren Datenauskunft so funktioniert. Stellt sich raus, wenn man da genügend gegentritt, kommt man an Daten von Leuten, die man nicht ist, ran. Das darf man wohl ohne große Anstrengung als unsicher qualifizieren. Mal davon abgesehen, dass man durchaus nochmal über die Datengier von einer Privatfirma Schufa öffentlich reden darf. Was die so unter dem Label der Freiwilligkeit alles sammelt, geht auch auf keine Kuhhaut. Und wenn dann da Daten ohne hinreichende Sicherheit auch wieder raustropfen, sollte vielleicht mal eine Beauftragte für Datenschutz ein paar ernstere Fragen stellen und auf Beantwortung bestehen.

Meldung aus der 'klitzewinziges Bisschen größeres Hupsi'-Ecke: Microsoft hatte kürzlich vermeldet, dass ihnen ein Schlüssel für irgendwas nicht super-wichtiges abhanden gekommen wurde. Den hätten sie gesperrt, und gut is. Da haben dann mal Leute mit Ahnung nachgesehen, und sind zu der Überzeugung gelangt, dass der nicht-so-wichtige Key dummerweise doch ziemlich wichtig war, weil der ungefähr überall rankommen konnte oder entsprechend berechtigte Schlüssel erstellen. Hups. Geht das eigentlich als Datenreichtum durch, wenn ungefähr alle Systeme sperrangelweit offen stehen? Oh, und wie war das mit Sicherheit in der Klaut? Sieht jetzt gerade nicht so gut aus, ne?

Als Apple letztes Jahr die Betriebssysteme iOS 16, iPadOS 16, macOS 13 und Co angekündigt hat, steckte da auch drin, dass es 'Rapid Security Response' auf jedem davon geben sollte. Was das konkret heißen würde, war da aber noch nicht klar. Erst Ende des Jahres wurden die entsprechenden Grundlagen auch tatsächlich in Beta-Versionen der Betriebssysteme eingebaut und dann auch getestet. Mit diesem System kann Apple nämlich Sicherheitslöcher mit kleineren Fix-Dateien beheben als davor. Ein vollständiges System-Update ist aus Gründen, die ich nicht komplett verstehe, immer eher größer. Wenn aber nur eine Datei im System ersetzt werden muss, würde ein kleinstmögliches Update eben nur aus dieser einen Datei bestehen. Das geht mit Rapid Security Responses, die auch so eingebunden sind, dass sie genauso schnell ein- wie ausgebaut werden können (ein Reboot ist im Regelfall schon nötig). 

Am 10. hat Apple das Verfahren auch genutzt, um eine bereits ausgenutzte Sicherheitslücke in Webkit zu beseitigen. Es soll danach aber Probleme mit bestimmten Webseiten oder Apps gegeben haben (konnte ich nicht bestätigen), so dass Apple die tatsächlich auf iPhones weniger als 10 MB großen Fixes nicht mehr angeboten hat, und öffentlich versichert hat, dass man schnellstmöglich eine neue Version veröffentlichen wollte. Das war dann am späten Abend des 12. der Fall. Ich hatte fieserweise auf meinen primären Geräten den ersten Fix schon eingespielt, weil so Sicherheitslöcher, die bereits genutzt werden, und 4 MB große Fixes sich geradezu aufgedrängt haben. Da war also noch die Frage offen, wie man einen Fix entfernt, um dessen verbesserte Fassung gleich einzuspielen. Stellt sich raus: Apple hat da eine eigene Vorstellung davon, wie man vorgehen soll. Während ein iPhone daran arbeitet, einen (nicht ganz sauberen) Fix zu entfernen scheitern nämlich Versuche, dessen Nachfolger runterzuladen, eventuell auch schon so vorzubereiten, dass mit einem Reboot die Entfernung und folgende Einbindung der jeweiligen Änderungen laufen könnte. Damit durften dann alle meine primären iPhones zwei Reboots innerhalb relativ kurzer Zeit absolvieren. Und das nächste große Update, was nach den Zeiten der vergangenen jahre eigentlich in der Woche hätte erscheinen sollen, dürfte auch nicht mehr weit entfernt sein. Inklusive der behobenen Datei, nehme ich an.

Während bei Twitter die Hütte brannte (immerhin: Am 5. wurden Direktlinks zu Tweets wieder ohne Login anzeigbar), hat die andere große Sorschel Midia-Firma, Meta, schon mal deutlich gemacht, wann deren Äpp erscheinen soll, die auf dem Activitypub-Protokoll aufsetzt (bekannt aus Mastodon). Die Äpp, Threads, hat zwei Haken: Erstens schickt sie laut Beipackzettel so ziemlich alle Daten an ihren Herrsteller, und zweitens ist dem aufgefallen, dass das in der EU Ärger geben könnte, weshalb die Äpp hier (vorerst?) nicht verfügbar werden sollte. 

Dass sich Leute darüber zanken, wie man mit einer Facebook/Meta-App und deren Servern umgehen will, wo doch der Rest von Mastodon so rosig wäre, nehme ich nur interessiert zur Kenntnis. Die Frage ist halt, ob man Leute ausgrenzen will, die eben nicht ihre Datenschutz-Reinheit nachgewiesen haben, und sich mit so 'schmutzigen' Firmen wie Meta umgeben, oder ob man Menschen nicht besser überzeugen kann, wie grün die Wiesen sind, indem man freundlich mit ihnen redet. 

Was erst eher spät verkündet wurde: Beim Start hat die Threads-App doch noch keine Verbindung zu ActivityPub. Das soll wohl noch irgendwann nachgeliefert werden. Damit ist das erstmal ein eigenes geschlossenes Ding, dessen Vorteil gegenüber anderen Plattformen ist, dass es Verbindungen zu anderen Usern von Instagram kennen kann, ansonsten aber nicht so anders ist. 

Und dann ist es mal wieder Zeit, über Twitter zu berichten. Die haben nicht nur nach dem 23. meiner Archiv-App (Momento, in einer massiv alten Version, die dafür ein über zehn Jahre reichendes Archiv hatte) den Zugriff weggenommen, was mich auf die Suche nach einem alternativen Angebot gebracht hat (Day One ist nicht günstig, kann aber auch automatisch befüllt werden von Shortcuts aus). Damit hatte ich aber auch keine Gründe mehr, für das Archiv auf Twitter zu schreiben. 

Tja, und dann brach eine Woche später, am 1. Juli, eine Kombination aus Entscheidungen aus: Erst wurde ganz Twitter hinter eine Anmeldung verschoben, so dass man Tweets nicht einfach so lesen konnte. Und dann hat der Super-Chef Elmo noch erlassen, dass selbst angemeldete User harte Begrenzungen bekommen, wie viele Tweets sie sehen dürfen pro Tag. Wenn da auch Werbung reinzählt, dürfte das vor allem abschreckend wirken. Damit ist jetzt nur noch die Push-Funktion für Meldungen wichtiger Accounts für mich übrig.

Am 5. hat Apple die diesjährige Entwicklerkonferenz mit der üblichen Keynote eröffnet. Anders als bei anderen Keynotes gab es keine frühe Aussage, welche Themen angesprochen werden würden.

Los ging es mit einem Segment zu neuen Macs, als da wären: ein 15-Zoll MacBook Air mit nem M2-Chip. Dann kam ein Mac Studio mit M2 Ultra, und dann etwas, was so gar nicht gerüchtet worden war: Mac Pro. Der bekommt auch (nur) nen M2 Ultra, hat aber anders als die Rechner mit Apple Silicon PCIe-Slots eingebaut. Wobei das Gerät von außen vom letzten Mac Pro nicht zu unterscheiden ist.

Nach den 18 Minuten Macs ging es dann damit weiter, wofür die WWDC bekannt ist: Software.

Als erstes war da iOS 17 dran, wo ein paar Änderungen bei der Telefonie kommen, nämlich ‚contact posters‘ die man sich personalisieren kann. Außerdem kann man Anrufe auf Voicemail schicken, was dann heißt, das iPhone dem Anruf zuhört und anzeigt, was da gesagt wird. Wenn das wichtig genug ist, kann man dann immer noch den Anruf annehmen. Ähnlich sieht es bei FaceTime aus. Messages bekommt Filter. Airdrop bekommt eine Funktion, mit der man seine Kontakt-Karte übertragen kann, und längere Übermittlung kann über das Internet statt direkten Kontakt der Geräte laufen. Dann bekommt Autokorrektur Verbesserungen (hier haben sie nicht gesagt, dass das ein Language Model ist, aber angedeutet). Und dann kommt noch eine Journal-App, die Vorschläge über APIs einsammelt. Nicht der Archiv-Ersatz, den ich gewünscht hatte. Auch neu: Standby. Ein iPhone am MagSafe kann irgendwas an Uhrzeit und Co anzeigen, was sich einstellen lässt. Hey Siri soll ohne Hey funktionieren und die Karten kann man sich runterladen für Offline-Nutzung. 

Nächste Plattform: iPadOS 16. bekommt Widgets (Interaktiv), Lock Screen (wie iOS 16), HEalth App (synct sich Daten ran und kann die dann anzeigen), irgendwas mit PDF-Editierung (vor allem Formulare ausfüllen), sowie Kleinkram  wie Kameras im Zusammenspiel mit externen Monitoren und Verbesserungen an Freeform. 

Nächste Plattform: macOS 14. Nennt sich Sonoma. Und bekommt auch Widgets die auch auf den Desktop kommen. Dann gibt es was für Games, Präsentationen, Safari (private Surf-Teile kann man hinter Authentifizierung verstecken, Passwörter und Passcodes bekommen eine Share-Option.

Dann kam Audio und Home, wo die AirPods Pro Verbesserungen für die Geräuschdämmung bekommen sollen. Und irgendwas mit AirPlay. 

Fehlte noch watchOS 10. Das bekommt auch Widgets in nem Smart Stack, ein paar neu designierte Apps, irgendwas mit Cycling und Hiking, sowie Mentale Gesundheit (hier: Time in Daylight. Die iPhones sollen eine Entfernung vom Bildschirm nachvollziehen können). Oh, und eine Abfrage, wie man sich so fühlt kommt neu. 

Das sah dann aus wie das Ende, Entwickler können sich mit Betas befassen, öffentlich wird da im Juli was kommen. 

Aber es fehlte noch das größte Gerücht: Irgendwas mit Virtueller, augmentierter oder sonst wie erweiterter Realität. Das nennt Apple (Apfel) Vision Pro, soll per Hand und Stimme bedient werden, ganz toll sein, aber mit einem Preis ab 3500 Dollar Anfang 2024 in USA kommen (ich sehe da nicht, dass ich das sofort haben wollte). 

Nicht erwähnt: iOS 17 wird die iPhones 8 (plus und X) nicht mehr unterstützen, beim iPad fällt das älteste Pro raus, Uhren bleiben alle dabei, beim Mac sind die letzten Intel-Generationen noch dabei. 

Nach gefühlt Ewigkeiten (mehr als zehn Jahre sind es sicher) musste ich neulich von In-Ear-Kopfhörern Abschied nehmen. Das lag daran, dass die letzten Bose QC20, die ich noch auf Vorrat gekauft hatte, plötzlich nichts mehr auf der linken Seite ausgeben wollten, und ich dann erstmal eine temporäre Lösung durch bereits auffällig gewesene QC20 brauchte, bis ich zuhause in Ruhe nachsehen konnta, was ich so an Kopfhörern hatte. Stellt sich raus: Nach einigen Gerüchten darüber, dass iPhones in näherer Zukunft entweder auf USB-C umgestellt, oder gleich komplett drahtlos werden würden, hatte ich schon mal dicke Over-Ear-Kopfhörer ausprobiert, wie eben Apples AirPods Max, oder nach eienr Empfehlung irgendwo im Netz Boses QC45.

Die hab ich dann auch gleich mal eingerichtet, und das erstmal komische Druckgefühl ignoriert. Weniger leicht zu ignorieren war dann aber, als die plötzlich Fiepgeräusche nach dem Einschalten auf einem Ohrhörer gemacht haben. Ich vermute mal, die Active Noise Cancellation hat da irgendwas missverstanden und Fieptöne eingespielt, die nicht nötig waren. 

Als ich dann irgendwo mitbekommen habe, dass jemand davon geschwärmt hat, bestimmte Sony-Kopfhörer (WH-1000 XM4. Wer denkt sich solche Namen aus?) ganztägig zu nutzen, habe ich mir die mal aufgeschrieben, und bei nächster Gelegenheit im planetennamigen Discounter zugelegt (testen kann man da ohnehin nicht sinnvoll). Stellt sich raus: Deren Elektronik ist weniger ausführlich bei der Sprachausgabe, dafür drücken die wirklich weniger, und sind vom Akku her mit 30 Stunden spezifiziert, was ich zumindest nicht anzweifeln kann. Aber da sollte es ja noch eine neuere Generation namens XM5 geben. Aber die hat nur der Innenstadt-Planetenladen. 

Also bin ich auch da nochmal hin, habe mit für schon absurde fast 400 Euro (jaja, die Airpods Max sind immer noch teurer) so einen XM5 zugelegt, und gleich unterwegs mal ausgepackt. Da spricht dann weniger, und macht nur mit verschiedenen Tönen Statusänderungen deutlich (wer nicht aus dem Handbuch weiß, welche Töne was bedeuten, ist da aufgeschmissen, gerade bei den ANC-Modi ist es nicht total offensichtlich, was was bedeutet), Dann ist das Bedienkonzept (die rechte Kopfhörer-Muschel ist eine Tastoberfläche, die durch mehrfache oder lange Kontakte sowie Bewegungen in bestimmte Richtungen Kommandos bekommt) wie bei den XM4 angelegt, aber irgendwie empfindlicher. Was auch zu meinem größten Probmel mit den XM5 führt: Die fühlen sich manchmal bedient, ohne dass ich da etwas getan hätte. Besonders nervig war mal ein Fall, wo die Kopfhörer die Audiowiedergabe gestoppt haben, und ANC auf Durchzug gestellt haben, als würde mich die Umgebung dringend interessieren. Da bin ich erst nach einem Neustart der Kopfhörer rausgekommen. 

Und so ist mein vorläufiger Status: Ich bleibe erstmal bei den Sony WH-1000 XM4, weil die meinen Anforderungen aktuell am ehesten entsprechen. Bis ich vielleicht irgendwo bessere Kopfhörer finde. Die XM4 sind übrigens dank beiliegendem Kabel sogar geeignet, um am Aufnahmegerät genutzt zu werden. Und anders als QC45 oder AirPods Max sind sie dabei laut genug, dass ich nicht tricksen muss, um mehr aus den Mikrofonen zu hören als vom Körperschall. 

Meldung aus der 'das sollte eigentlich niemanden überraschen'-Ecke: Ein Tüp, der mit Gerüchten zu nicht-angekündigten Produkten einer gewissen Obstfirma aufgefallen ist, hat sich neulich abgemeldet, weil jene Obstfirma rausgefunden hat, dass dessen Schwester die Quelle war, und sie dafür rausgeschmissen. Warum das gerade einen Gerüchteverbreiter nicht überraschen sollte? Naja, jene Obstfirma ist bekannt dafür, Leute nicht zu mögen, die Ankündigungen nicht abwarten und Details verbreiten. Entsprechend suchen die dann auch nach den Leuten, die Interna verbreiten. Auf die Spur seiner Quelle sind sie dadurch gekommen, dass sie verschiedenen Leuten verschiedene Daten genannt haben, wann eine Ankündigung öffentlich werden würde. Als der Tüp dann die Zeitangabe veröffentlicht hat, war dem Konzern klar, wo deren Informationen abgeflossen sind, und sie haben sich von der Schwester des Tüpen getrennt. Und der Tüp hat eben keine Quelle innerhalb der Firma mehr. Den Medien, die vor Allem Gerüchte verbreiten, ist so auch eine Quelle abhanden gekommen, aber so wird immerhin wieder klarer, warum einige Gerüchterstatter lieber wage bleiben bei Vorhersagen. So kann der Konzern weniger leicht darauf schließen, wo diese Gerüüchterstatter ihre Quellen haben.

Bei der Hardware-Firma MSI sind nach einem Ransomware-Vorfall so unwichtige Dinge wie Signierschlüssel rausgetragen worden. Was heißen dürfte, dass sämtliche bisher damit unterzeichnete Daten fälschbar sind. Das ist offensichtlich blöd. 

Erinnert ihr euch noch, wie vor drei Jahren Google und Apple gemeinsam verkündet haben, dass sie eine Plattform zur Kontaktverfolgung gegen Corona bauen? So etwas Ähnliches ist gerade wieder passiert, mit dem Unterschied, dass es bei den Kontakten, die verfolgt werden sollen darum geht, dass da nicht andere Telefone beziehungsweise deren Nutzer, sondern Tracker gesucht werden sollen, von denen die Telefon-Besitzer nichts mitbekommen haben. Oder kürzer: Apple und Google schlagen ein System vor, mit dem Stalking durch technische Unterstützung verhindert werden soll. Inwiefern das ein akutes Problem ist, kann ich nicht einschätzen, aber wenn Tracker dazu missbraucht werden, Personen unbemerkt zu verfolgen, sollte man da wohl mal überlegen. Andererseits können die selben Tracker auch genutzt werden, um Diebstähle zu verfolgen, da wären Warnungen nicht ganz so hilfreich.

Und dann war da eine Geschichte einer kleinen Werbefirma namens Gurgel (oder so ähnlich). Die hatte eine Appslikation namens Authenticator angeboten, wo Leute herausgefunden haben, dass die die geheimzuhaltenden Anmeldedaten zwischen sich und den Servern von Gurgel nicht verschlüsselt überträgt. Das fanden wenig überraschend Leute blöd. Daraufhin hat dann Gurgel angekündigt, dass man dann doch mal Verschlüsselung einbauen wollen würde. Eine Frage hab ich nur dazu: Warum nicht gleich so?

Meldung aus der 'versehentlich Versprechen eingehalten'-Ecke: Irgendwer hatte irgendwas an Twitter-Sourcecode veröffentlicht. Das hatte ja ein Elmo schon für irgendwann im Februar angekündigt. Aus unklaren Gründen ist die Veröffentlichung Twitter aber gar nicht so recht und die Firma verlangt, dass die Identität des Leakers rausgegeben werden soll. Das muss diese neue Offenheit sein, die Elmo angekündigt hat.