Webtagr - Technologienummer

Sicheres Ausführen von Claude Code in Docker mit VSCode Dev Containern

2025-07-13

Der Autor teilt seine Erfahrungen beim Umstieg von einem weniger sicheren AI-Codier-Setup zur Ausführung von Claude Code in einem Docker-Container mithilfe der Dev-Container-Funktion von VSCode. Er hebt die Sicherheitsrisiken hervor, die mit der direkten Ausführung von AI-Agenten auf dem lokalen Rechner verbunden sind, und befürwortet die isolierte Umgebung, die Docker bietet, wodurch der Zugriff von Claude Code auf das Dateisystem eingeschränkt wird. Eine detaillierte Einrichtungsanleitung wird bereitgestellt, einschließlich der Erstellung einer devcontainer.json-Datei und der Verwendung von fein granularisierten Zugriffstokens für GitHub, um den Lesern die Reproduktion der Einrichtung zu erleichtern.

(timsh.org)

Entwicklung

Verfolgung von durchgesickerten Standortdaten von mobilen Apps: Ein Python-basiertes Citizen-Science-Projekt

2025-04-18

Im Anschluss an einen vorherigen Beitrag, der aufdeckte, wie mobile Apps Standortdaten über Werbung teilen, teilt der Autor eine schnellere und skalierbarere Methode mit, die mit mitmproxy und Python funktioniert. Dies ermöglicht es Benutzern, den App-Traffic aufzuzeichnen und nach Anfragen mit sensiblen Daten wie Standortinformationen zu filtern, indem benutzerdefinierte Schlüsselwörter verwendet werden. Ein GitHub-Repository mit einer detaillierten Anleitung und einem Python-Notebook wird zur Teilnahme bereitgestellt. Eine gemeinschaftlich genutzte Tabellenkalkulation sammelt Beobachtungen zum Datenaustauschverhalten verschiedener Apps und fördert so eine Citizen-Science-Initiative zur Aufdeckung von Problemen mit der Datenschutzrichtlinie von Apps.

(timsh.org)

Technologie Citizen Science

GitHub-Repo-Betrug: Tausende schädlicher Repositorys entdeckt

2025-02-28

Ein Sicherheitsforscher hat ein massives Betrugssystem aufgedeckt, das GitHub zur Verbreitung von Malware nutzt. Tausende von Repositorys, getarnt als Spiel-Mods, gecrackte Software und andere verlockende Downloads, wurden erstellt, um Benutzerdaten zu stehlen. Nach der Ausführung sammeln diese Schadprogramme sensible Informationen – Krypto-Wallet-Schlüssel, Bankdaten, Social-Media-Anmeldeinformationen – und senden sie an einen Discord-Server. Durch die Analyse einer detaillierten Anleitung zur Erstellung dieser betrügerischen Repositorys identifizierte der Forscher 1115 potenziell schädliche Repositorys, von denen weniger als 10 % offene Probleme mit Beschwerden aufweisen. Die Malware, identifiziert als Redox, sammelt systematisch verschiedene Datenpunkte vom Computer des Opfers und überträgt sie an einen Discord-Webhook. Dieser Fall unterstreicht das Ausmaß und die Raffinesse der Cyberkriminalität und betont die Notwendigkeit verbesserter Sicherheitsmaßnahmen auf Plattformen wie GitHub.

(timsh.org)

Technologie GitHub-Sicherheit

Ich habe mich selbst mit durchgesickerten Geodaten verfolgt: Ein schockierendes Experiment

2025-02-02

Ein kürzlich bekannt gewordenes Leck von Geodaten von Gravy Analytics hat über 2000 Apps aufgedeckt, die heimlich Geodaten sammeln, oft ohne Wissen der Entwickler. Um dies zu untersuchen, habe ich ein einzelnes Spiel installiert und Charles Proxy verwendet, um den Netzwerkverkehr zu überwachen. Selbst mit deaktivierten Ortungsdiensten hat das Spiel meinen ungefähren Standort und meine IP-Adresse über Unity Ads, Facebook und andere Werbeplattformen preisgegeben. Die Daten enthielten überraschend detaillierte Informationen wie Bildschirmhelligkeit und Speichernutzung. Weitere Untersuchungen zeigten, wie einfach es ist, Datensätze zu kaufen, die Kennungen mit persönlichen Daten verknüpfen und so ein präzises Standort-Tracking ermöglichen. Dieses Experiment unterstreicht das erschreckende Ausmaß von Datenlecks im mobilen Werbeökosystem und die erheblichen Risiken für die Privatsphäre der Nutzer.

(timsh.org)

Technologie Geodatenleck Werbe-Tracking