Das diesjährige Überthema war Power Cycles – System runterfahren, neu starten! Gemäss CCC umfasst das Thema neben dem offensichtlichen Neustart eines Computers, die anhaltende Selbstdemontage von Grossmächten und wo sie im Strudel zyklisch rotierender Weltordnungen stehen. Wir freuen uns euch in diesem Artikel einen Einblick in die Konferenz sowie einige Talk-Highlights zu geben.

Nach dem letztjährigen Besuch beim 38C3, stand das Abenteuer Chaos auch dieses Jahr fix im Kalender. Dieses Mal zusammen mit Yann Santschi, stürzten wir in das leuchtende, schrille und nerdige Abenteuer in Hamburg.

Talk-Highlights

Am 39C3 gab es eine Vielzahl an Talks in den unterschiedlichen Kategorien: Security, CCC & Community, Art & Beauty, Hardware, Science, Ethics, Society & Politics sowie Entertainment. Besonders hat uns der zweite Kongresstag gefallen. Dieser war vollgepackt mit vielen guten Talks. Unsere Highlights wollen wir hier nochmals hervorheben.

Protecting the network data of one billion people: Breaking network crypto in popular Chinese mobile apps

In diesem Talk erzählte Mona Wang über den Einsatz von selbst gebastelter Verschlüsselung anstelle des Einsatzes von TLS. Heutzutage macht der Mobile Traffic rund doppelt so viel wie der ganze Web Traffic aus. Der Web Traffic geht heute je nach Region über 80% beziehungsweise sogar über 90% verschlüsselt über HTTPS.

Der Talk war in drei Themenbereiche unterteilt. Sie startete mit WeChat als grösste chinesische App anhand der Anzahl Benutzer, welches selbst entwickelte Verschlüsselung MMTLS einsetzt. Hierzu gibt es kaum öffentlich zugängliche Dokumente. Die Kommunikation der WeChat-App wird zweimal verschlüsselt, einmal auf dem Business Layer mittels AES-CBC und zusätzlich mit MMTLS (welches hierzu AES-GCM verwendet).

Der zweite Teil behandelte die Input Method Editor (IME) Apps, Tastaturen von Drittherstellern, welche sehr nützlich sind, um Chinesisch zu tippen. Viele dieser IME-Apps setzen auf cloudbasierte Vorschläge oder senden die Benutzereingaben aus einem anderen Anlass an ihre Server. Dazu werden oft selbst entwickelte Verschlüsselungen eingesetzt, welche von Mona und ihrem Team teilweise vollständig entschlüsselt werden konnten. In einem Nebensatz wurde erwähnt, dass es sich bei IME-Apps von Drittherstellern quasi um eine Art Keylogger handelt, weshalb damit mit Bedacht umgegangen werden sollte.

Anschliessend ging es im dritten Teil, um die Analyse von neun populären Protokollen zur Verschlüsselung, welche am häufigsten in den ca. 2’000 weitverbreitetsten chinesischen Apps aus dem Google Play Store und dem Xiaomi Store verwendet werden. Bei den Top 1’000 Apps aus dem Google Play Store konnte bei 12.9% der Apps unverschlüsselte Kommunikation und bei 3.5% der Einsatz von proprietärer Kryptographie festgestellt werden. Bei den Top 1’000 Apps aus dem Xiaomi Store im Jahr 2024 konnten bei 65.4% der Apps unverschlüsselter Datenverkehr und bei 47.6% der Apps der Einsatz von proprietärer Kryptographie identifiziert werden. Diese reduzierte sich in einer erneuten Prüfung im Jahr 2025 um etwa 9%, ist damit aber immer noch ein sehr hoher Anteil.

Offen bleibt die Vielzahl an weiteren selbst entwickelten Protokollen, welche detektiert aber nicht analysiert werden konnten. Die wichtigste Erkenntnis des Talks war: Setze nicht auf selbst entwickelte Verschlüsselung, sondern auf bekannte Standards wie TLS. Monas Talk wurde nicht aufgezeichnet, jedoch publizierte sie ihre verwendeten Folien.

Verlorene Domains, offene Türen – Was alte Behördendomains verraten

Tim Philipp Schäfers erzählte in seinem Talk was für Erkenntnisse er durch den Kauf einer ehemalig aktiven Behördendomain gewonnen hat und wieso der Einsatz von existierenden Domains, welche man selbst nicht besitzt, bei Testaccounts zum Verhängnis werden können.

Zu Beginn verrät er gerade seinen besten Hacking-Tipp: Lies die Dokumentation. Dort können sich URLs zu Test- und Produktivumgebung sowie mögliche Testbenutzer feststellen lassen. Daraus resultierend hat er die Domain testtraeger.de registriert. Das erlaubte ihm den Empfang von Emails, welche an die ehemals registrierten Benutzer versendet wurden. Es führte eins zum anderen und er konnte sich nach dem Zurücksetzen des Passworts für den Testaccount mit der Domain testtraeger.de, auf der Testumgebung der Benutzerverwaltung für Delegierte des Bundesamts für Migration und Flüchtlinge (BAMF) erfolgreich einloggen. Der Testbenutzer hatte sogar Administratorrechte. Ebenfalls zeigte sich, dass die Domain auch noch an anderen Stellen innerhalb des Bundes zum Testen eingesetzt wird.

Um dies zu vermeiden, sollten Testaccounts mit den dafür vorgesehen Top Level Domains (TLD) gemäss RFC2606 eingesetzt werden:

• .test
• .example
• .inavlid
• .localhost

Bei den Deutschen Bundesbehörden kommt es ab und zu Namensänderungen. Dies führt dazu, dass auch die Webseiten auf neue Domains migriert werden. Tim zeigte dies anhand vom Wechsel vom Bundesamt für die Anerkennung ausländischer Flüchtlinge (BAFL), welches nun Bundesamt für Migration und Flüchtlinge (BAMF) heisst. Die Domain bafl.de wurde nach einer gewissen Zeit nicht mehr verlängert und war somit wieder für alle registrierbar. Zuerst wurde die Domain für eine Webseite mit Verlinkungen auf online Casino Webseiten verwendet, bevor sie Tim ersteigern konnte. Als die Domain in seinem Besitz war, fing er an die DNS-Logs auszuwerten und fand dort eine Vielzahl von Anfragen auf Subdomains vom IP-Adressbereich des deutschen Staats. Ein kleiner Auszug davon:

• localhost.rznur.bafl.de
• jfrog-idea-plugin.rznur.bafl.de
• srvnurswvt12.rznur.bafl.de (möglicherweise Server Nürnberg Softwareverteilung 12)
• gg2.rznur.bafl.de / gg4.rznur.bafl.de (möglicherweise Genua Gateway 2/4)
• eris-persistence.rznur.bafl.de (Erstregistrierungsschnittelle Fachverfahren des BAMF)

Zudem war aus den Logs auch ersichtlich, dass versucht wurde Emails an bafl.de zuzustellen.

Nach der Meldung durch Tim, konnte er die Domains nach langem Warten dem BAMF zurücktransferieren. Dies da die Domain noch in sehr vielen veralteten Konfigurationen vorhanden ist, welche teilweise auch von externen Dienstleistern unterhalten werden.

Tim sprach in seinem Vortrag noch das Vertrauen in staatliche Domains an. Die meisten Staaten setzten auf eine gov.TLD-Domain, was es Bürgern einfach macht, eine URL dem jeweiligen Staat zuzuordnen. In Deutschland haben alle Ministerien verschiedene Domains mit auch unterschiedlichen Strukturen, teilweise Abkürzungen oder ausgeschrieben. Die Schweiz hat ebenfalls keine klassische gov-Domain, hier wird admin.ch eingesetzt, beziehungsweise leitet gov.ch darauf weiter.

Zusammen mit FragDenStaat veröffentlichte Tim eine Liste von über 2’500 Deutschen Behördendomains, um Licht ins Dunkle zu bringen.

When Vibe Scammers Met Vibe Hackers: Pwning PhaaS with Their Own Weapons

Mit einem sehr gut illustrierten Talk führte uns Chiao-Lin Yu (Steven Meow) vor wie er als Vibe Hacker Vibe Scammers in die Knie zwingt. Grob ging es in seiner Präsentation um die Aufdeckung der Verwendung von Scam-Frameworks, deren Aufbau, Funktionsumfang und deren Weiterentwicklung. Steven, wie er sich selbst nennt, verwendete hauptsächlich Claude 4.5, Gemini 2.5 Pro, HexStrike MCP und Strix für sein Vibe Hacking Abenteuer. Er selbst schrieb für das Hacken des Scam-Frameworks keinen eigenen Code, sondern liess diesen ausschliesslich durch LLMs erzeugen.

Anfangs geht er auf verschiedene Scam-Muster und deren Abläufe ein. Es wird häufig auf einen mehrstufigen Prozess gesetzt, dieser beginnt mit einer Werbung auf einem sozialen Netzwerk für ein kostenloses Produkt, bei welchem nur der Versand bezahlt werden muss. Damit werden potenzielle Opfer angesprochen beziehungsweise aussortiert, welche sich für einen späteren Scam eignen. Durch das Eintragen der Zahlungsinformationen für den Versand, kommen die Scammer an erste Daten des Opfers, welche zu einem späteren Zeitpunkt verwendet werden. Die Zahlungen selbst gehen bei diesem Schritt meist an eine Spendenorganisation. Nach der Zahlung des Versands wird auf eine Webseite der Scammer aufgrund von fehlender Identifikation weitergeleitet. Das Opfer wird dazu verleitet einen Fake Support zu kontaktieren. Der Fake Support verfügt über die zuvor eingegeben Informationen und verleitet das Opfer zu einer Überweisung an einen Account der Scammer für die vermeintliche Entsperrung seines Accounts.

Anschliessend sprach Steven über seine Vorgehensweise mit den zuvor genannten AI-Tools und auf was er dabei gestossen ist. Reconnaissance führte er mit Hilfe von Strix und HexStrike durch, dabei stiess er auf eine php.bak Datei. Diese reichte er weiter an Claude Code für ein Source Code Review. Das Resultat war eine SQL-Injection, diese wurde dann durch die AI mittels sqlmap genauer getestet. Die Ausnutzung funktionierte vorerst aber nicht. Nach manuellem Nachforschen sah Steven, dass die Applikation den Header User-Agent überprüft und ein mobiles Gerät erwartet, andernfalls mit einer Fehlermeldung antwortet. Nach dieser Erkenntnis funktionierte die Ausnutzung der SQL-Injection und Steven gelang an Zugangsdaten. Die Suche nach der Login-Seite für das Backend gestaltete sich etwas schwieriger, konnte jedoch mittels einer Target spezifischen Wordlist, generiert durch AI, entdeckt werden. Steven lobt die Verwendung von LLMs zur Generierung von spezifischen Wordlists von zuvor durchgeführten Scans. Danach bahnte er seinen Weg weiter bis zu lokalen Administratorrechten auf dem Server durch eine Privilege Escalation ebenfalls mit Hilfe von AI.

Mit dem erlangten Zugriff fing er an Informationen aus den Logs zu sammeln und auszuwerten. Er fand heraus, dass das Deployen einer neuen Phishing-Webseite nur vier Minuten dauert und das Wechseln der Domain sogar nur eine Minute. Im gefundenen Installationspacket fand er mit Hilfe von Claude Code über 20 Schwachstellen, darunter Fileupload Bypass, Zugangsdaten im Source Code und auch die zuvor gefundene SQL-Injection. Die im Installationspacket gefundene Telegram-Seite erstrahlte im bekannten vibe purple, ein Indigo, welches stark auf den Einsatz von AI zur Erstellung einer Webseite hinweist. Darin findet Steven eine Remote Code Execution Schwachstelle, welche er ebenfalls ausnutzen kann.

Durch die zusätzlich gefunden Telegram-Daten gelingt es ihm verschiedene Personen und dessen Zusammenhänge in der Scammer-Organisation einzuordnen. Er konnte weitere Phishing-Webseiten in unterschiedlichen Versionen feststellen, welche aber auf dem gleichen Fundament aufbauen. Die dadurch nachvollziehbare Evolution ist rasant, erzählt Steven, die Entwicklung geht immer mehr in Richtung Automatisierung und noch mehr Einsatz von AI.

Zum Schluss meint Steven: Wichtig sei es, sich mit den geltenden Gesetzten im eigenen Land vertraut zu machen, bevor man mit dem Untersuchen von Scam-Webseiten beginnt.

Bluetooth Headphone Jacking: A Key to Your Phone

Dennis Heinze und Frieder Steinmetz von ERNW haben für uns ein Highlight des Kongresses geliefert. Ihr Talk zeigte sehr eindrücklich, dass ein WhatsApp Account (oder auch andere Accounts, welche über eine Anrufverifikation verfügen) über die Verbindung zum Bluetooth-Kopfhörer des Opfers übernommen werden kann.

Im ersten Teil ihres Talks erklären sie ein paar Basics rund um Bluetooth. Sie zeigen dort, dass kein Pairing notwendig ist, um sich mit Bluetooth Low Energy (BLE) mit einem Bluetooth-Kopfhörer zu verbinden und so keine Authentication eingesetzt wird. Das erlaubt es einem Angreifer in Reichweite des Kopfhörers sich mit diesen zu verbinden, den Flash zu dumpen sowie mit dem Memory des Kopfhörers zu interagieren!

Das zeigen sie eindrücklich in einer Live-Demo, in welcher sie sich mit dem Kopfhörer ihres Kollegen verbinden und diverse Informationen auslesen können. Diese beinhalten neben den Kopfhörer Informationen aber auch beispielsweise Informationen zu der Musik die gehört wird. Dies geschieht während ihr Kollege weiterhin Musik hört. Er bemerkt nichts, da die Verbindung zu den Kopfhörern via Bluetooth Low Energy geschieht und nicht via Bluetooth Classic (welches die Musik streamt).

Ausserdem kann eine weitere Verbindung via Bluetooth Classic aufgebaut werden und anschliessend das Mikrophon ausgelesen werden. Dies erlaubt es das Gesprochene via Mikrophon zu hören, und dementsprechend Eavesdrop Attacken durchführen zu können.

Im zweiten Teil ihres Talks gehen sie auf die Authentication zwischen Kopfhörer und Telefon durch einen Link Key, sowie das Hands-Free Profile (HFP) ein, welches es erlaubt bestimmte Funktionen vom Kopfhörer aus auf dem Handy durchzuführen, beispielsweise ein Telefonat anzunehmen oder einen Voice Assistant zu starten.

Über diesen Link Key kann der Kopfhörer gegenüber dem Telefon imitiert werden. Sofern die Bluetooth Classic Adresse des Telefons und der Kopfhörer sowie der Bluetooth Link Key bekannt sind, werden die Kopfhörer nicht mehr für diesen Teil benötigt. Diese Informationen können durch den ersten Teil gewonnen werden. Durch eine Implementation des BTstacks erlaubt das einem Angreifer, wie in einer Live-Demo gezeigt, direkt mit Siri auf dem Telefon des Opfers kommunizieren zu können. In ihrer letzten Demo zeigen sie, wie damit ein WhatsApp Account oder auch ein Amazon Account eines Opfers übernommen werden kann.

Don’t look up: There are sensitive internal links in the clear on GEO satellites

Trotz technischer Probleme, lieferten Nadia Heninger und Annie Dai einen sehr interessanten Talk über unverschlüsselten Satellitenkommunikation.

Zu Beginn des Talks werden viele spannende Basics zu Geostationary (GEO) Satelliten und wie sie funktionieren erläutert. Hierbei handelt es sich um Satelliten, welche eine fixe Position auf dem Äquator einnehmen und einen definierten Bereich der Erde bedienen. Diese Satelliten sind im Kern eigentlich lediglich Repeater von Informationen. Sie erhalten von einem Terminal unterhalb des Satelliten (beispielsweise ein Flugzeug oder ein Kraftwerk) ein Signal und senden dieses als Broadcast (Versand an alle, jeder kann theoretisch diese Signale aufnehmen) an eine andere Stelle unterhalb des Satelliten weiter. Verschlüsselung wird lediglich vor der Versendung durch das Terminal eingesetzt.

Diese Satelliten sind sehr interessant, da sie einen wichtigen Teil in der Kommunikation von Legacy-Infrastruktur (beispielsweise Satelliten Fernsehen, Flugzeuge, Kraftwerke, militärische Kommunikation, etc.). Nadia und Annie zeigen wie sie mit einem selbst gebauten Empfänger solche Kommunikation empfangen können und in den Dumps dieser Daten bereits Administratorpasswörter im Klartext zu finden sind.

Die Daten darin sind speziell in der Verarbeitung von militärischen Daten durch das Security by Obscurity Prinzip “geschützt”. Hierbei werden übliche Protokolle vorsätzlich nicht normal implementiert. Im Talk wird aufgezeigt, wie sie diese nicht normale Implementierung aufschlüsseln konnten. Sie konnten zeigen, dass Kommunikation aus Flugzeug-WiFi’s ausgelesen werden kann, dass Handy Kommunikation und auch Anrufe von weit entfernten Orten, wie in der Wüste mittels Satelliten, die ans Telefonnetz angebunden sind ausgelesen werden können, militärische Daten aus der Navy von Mexiko sowie der USA, welche die genauen Standortdaten von Helikoptern und Schiffen enthielt, und letztlich unverschlüsselte Kreditkartentransaktionen inklusive Kreditkartennummern und Kontostände.

Es ist wichtig zu erwähnen, dass die Verschlüsselung lediglich in GEO-Satelliten so schlecht ausfällt. In LEO (Low Earth Orbit, unteranderem Starlink) und MEO (Medium Earth Orbit) Satelliten wird der Traffic selbst ebenfalls verschlüsselt.

Was es am 39C3 zu Entdecken gab

Es gibt einen Grund warum alle, die schon etwas länger dabei waren, gesagt haben Die (meisten) Talks kannst du nachschauen, den Rest nicht. Das hat man wirklich gespürt. Wir haben uns das etwas zu wenig zu Herzen genommen und trotzdem sehr viel erleben können. So haben wir unser Löt-Repertoire beim Riesengrossen Dauerlötworkshop von Blinkyparts erweitert und dabei unterhaltsame Gespräche mit anderen Lötbegeisterten geführt. Wir haben die Welt der Retrogames erkundet und uns in Bomberman verliebt. Wir haben uns Hamburg und die rote Flora genauer ansehen können. Wir haben Tschunk entdeckt und die gesamte Mate Variation probiert. Wir haben verschiedene Kunstinstallationen angeschaut, teils waren diese sehr obszön aber auch sehr spannend. Wir konnten uns bei der digitalcourage einen Lichtbildausweis machen lassen, haben mit der Chaos Post Postkarten verschickt, haben sehr gute und spannende Gespräche mit anderen Creatures geführt. Wir haben das Engelsystem und generell die Bereitschaft der Leute für die freiwilligen Arbeit bestaunt. Zwischendurch besuchten wir die Coffee Nerds, wenn es wieder Zeit für einen Koffeinschub war. Wir haben an verschiedenen Assemblies und Self-organized Sessions teilgenommen, viele Tipps und Tricks erfahren und Neues dazu gelernt. Und trotz alledem haben wir auch so vieles verpasst und nicht gesehen!

Fazit

Insgesamt war es ein voller Erfolg! Jede Ecke hatte etwas Neues zu entdecken und zu erleben. Man kann sich mit so vielen spannenden Creatures zu den kuriosesten Themen austauschen und es wird nicht repetitiv oder langweilig. Es ist eine sehr erstaunliche Veranstaltung mit erstaunlichen Leuten. Wir konnten unseren Horizont technisch wie auch persönlich erweitern und nehmen das mit nach Hause und in die scip. Wir freuen uns auf die ganzen Talks, die wir noch nachholen können. Nächstes Jahr gerne wieder. Bis dahin sagen wir #DankeAI

Über die Autoren

Ralph Meier hat eine Lehre als Applikationsentwickler, Fokus Webentwicklung mit Java, bei einer Schweizer Grossbank absolviert und danach einen Bachelor of Science ZFH in Informatik an der ZHAW School of Engineering abgeschlossen. Er fokussiert sich auf die sicherheitstechnische Untersuchung von Webapplikationen. (ORCID 0000-0002-3997-8482)

Yann Santschi hat eine Systemtechnikerlehre bei SIX abgeschlossen und danach bei einer der Big Four Consulting Firmen als Cyber Security Consultant gearbeitet. Er macht gegenwärtig seinen Bachelor in Information and Cyber Security mit dem Major in Attack Specialist and Penetration Testing an der HSLU. Sein Fokus liegt auf Webapplikationen, Netzwerksicherheit und Social Engineering.

Links

• https://amanita19.github.io/
• https://blog.stevenyu.tw/
• https://chaospost.de/
• https://cseweb.ucsd.edu/~nadiah/
• https://en.wikipedia.org/wiki/.gov#International_equivalents
• https://ernw.de/index.html
• https://fahrplan.events.ccc.de/congress/2025/fahrplan/
• https://fragdenstaat.de/
• https://fragdenstaat.de/artikel/exklusiv/2025/12/geheimsache-domains/
• https://github.com/bluekitchen/btstack
• https://m0na.net/
• https://m0na.net/slides/breaking-network-crypto-ccc-2025.pdf
• https://shop.blinkyparts.com/en/
• https://shop.digitalcourage.de/
• https://tim-philipp-schaefers.de/
• https://www.rfc-editor.org/rfc/rfc2606.html
• https://www.scip.ch/?labs.20250123
• https://www.youtube.com/watch?v=fLYeq5KLMyE