Sicherheit › Blog über die Onlinewelt

Posts tagged “Sicherheit”.

July 10th 2015
by

VMware Workstation: Der Einbruch über Port COM1

VMware Workstation

Über Schwachstellen in VMwares Workstation und Player ist ein vollständiger Zugriff auf das Wirtssystem aus einem Gastsystem heraus möglich. VMware hat bereits Updates veröffentlicht.

Wer in Gastsystemen in VMwares Virtualisierungslösungen Workstation oder Player drucken will, kann dafür einen virtuellen Drucker am Port COM1 nutzen. Mit manipulierten EMF-oder Jpeg200-Dateien kann darüber das Wirtssystem aus dem Gastsystem heraus angegriffen werden, wie Kostya Kortchinsky vom Google Security Team jetzt mitteilte. VMware hat inzwischen die Fehler behoben und eine aktuelle Version seiner Workstation veröffentlicht. Einen Patch gibt es ebenfalls.

Der Fehler liegt in den VMware-Bibliotheken TPView.dll und TPInt.dll, die im Wirtssystem installiert werden. Beide werden von dem Prozess Vprintproxy.exe geladen, der aus dem Gastsystem gesendete Druckaufträge verarbeitet. Speziell manipulierte EMF-Dateien können genutzt werden, um unerlaubte Speicherzugriffe auszulösen.

Updates stehen bereit

Kortchinsky weist darauf hin, dass eine Installation der VMware-Tools in Gastsystemen nicht nötig ist, denn die Angriffe können auch so über den Port COM1 gefahren werden. Die einzige Möglichkeit sich abzusichern besteht darin, den virtuellen Drucker in den Einstellungen zu deaktivieren oder ganz zu entfernen. Der IT-Sicherheitsforscher weist auch darauf hin, dass Vprintproxy.exe lediglich als 32-Bit-Prozess zur Verfügung steht und dass die betroffenen Bibliotheksdateien keine Randomisierung des Speicherlayouts (ASLR) unterstützen.

VMware wurde im März 2015 über die Schwachstellen informiert und veröffentlichte bereits im April 2015 die CVE (Common Vulnerabilities and Exposures) 2015-2336 bis -2340. Jetzt hat VMware die entsprechenden Updates bereitgestellt und Kortchinsky hat gleichzeitig seine Untersuchungen veröffentlicht – samt Exploit.

Repariert wurden die Fehler laut VMware in den Workstation-Versionen 11.1.1 und 10.0.6 sowie im VMware Player in den Versionen 7.1.1 und 6.0.6. In VMwares Horizon Client 3.4.0 und 3.2.1 sowie in der Version 5.4.2 wurde der Fehler ebenfalls behoben. Auch VMware Fusion in den Versionen 7.x und 6.x für Mac OS X sind von einem Problem betroffen, das allerdings in der Interprozesskommunikation RPC liegt. Version 6.0.6 und 7.0.1 beheben diesen Fehler, den der IT-Sicherheitsforscher Dan Kamensky entdeckt hat.

 

zum Artikel:

http://www.golem.de/news/vmware-workstation-der-einbruch-ueber-port-com1-1506-114784.html

July 10th 2015
by

VMware Workstation: Der Einbruch über Port COM1

VMware Workstation

Über Schwachstellen in VMwares Workstation und Player ist ein vollständiger Zugriff auf das Wirtssystem aus einem Gastsystem heraus möglich. VMware hat bereits Updates veröffentlicht.

Wer in Gastsystemen in VMwares Virtualisierungslösungen Workstation oder Player drucken will, kann dafür einen virtuellen Drucker am Port COM1 nutzen. Mit manipulierten EMF-oder Jpeg200-Dateien kann darüber das Wirtssystem aus dem Gastsystem heraus angegriffen werden, wie Kostya Kortchinsky vom Google Security Team jetzt mitteilte. VMware hat inzwischen die Fehler behoben und eine aktuelle Version seiner Workstation veröffentlicht. Einen Patch gibt es ebenfalls.

Der Fehler liegt in den VMware-Bibliotheken TPView.dll und TPInt.dll, die im Wirtssystem installiert werden. Beide werden von dem Prozess Vprintproxy.exe geladen, der aus dem Gastsystem gesendete Druckaufträge verarbeitet. Speziell manipulierte EMF-Dateien können genutzt werden, um unerlaubte Speicherzugriffe auszulösen.

Updates stehen bereit

Kortchinsky weist darauf hin, dass eine Installation der VMware-Tools in Gastsystemen nicht nötig ist, denn die Angriffe können auch so über den Port COM1 gefahren werden. Die einzige Möglichkeit sich abzusichern besteht darin, den virtuellen Drucker in den Einstellungen zu deaktivieren oder ganz zu entfernen. Der IT-Sicherheitsforscher weist auch darauf hin, dass Vprintproxy.exe lediglich als 32-Bit-Prozess zur Verfügung steht und dass die betroffenen Bibliotheksdateien keine Randomisierung des Speicherlayouts (ASLR) unterstützen.

VMware wurde im März 2015 über die Schwachstellen informiert und veröffentlichte bereits im April 2015 die CVE (Common Vulnerabilities and Exposures) 2015-2336 bis -2340. Jetzt hat VMware die entsprechenden Updates bereitgestellt und Kortchinsky hat gleichzeitig seine Untersuchungen veröffentlicht – samt Exploit.

Repariert wurden die Fehler laut VMware in den Workstation-Versionen 11.1.1 und 10.0.6 sowie im VMware Player in den Versionen 7.1.1 und 6.0.6. In VMwares Horizon Client 3.4.0 und 3.2.1 sowie in der Version 5.4.2 wurde der Fehler ebenfalls behoben. Auch VMware Fusion in den Versionen 7.x und 6.x für Mac OS X sind von einem Problem betroffen, das allerdings in der Interprozesskommunikation RPC liegt. Version 6.0.6 und 7.0.1 beheben diesen Fehler, den der IT-Sicherheitsforscher Dan Kamensky entdeckt hat.

 

zum Artikel:

http://www.golem.de/news/vmware-workstation-der-einbruch-ueber-port-com1-1506-114784.html

June 9th 2015
by

Smartphone-Sicherheit – Smartphone-Lücken selbst stopfen

In vielen Smartphones verstecken sich gefährliche Sicherheitslücken, nicht alle werden von den Herstellern geschlossen. Wir geben Hilfe zur Selbsthilfe

  • Gravierende Sicherheitslücke bei Android können Sie selbst schließen.
  • Auch bei Apples iOS ist Vorsicht geboten.
  • Microsoft-Lücken werden kaum genutzt.

In mehr als der Hälfte aller Android-Geräte klafft eine gravierende Sicherheitslücke. Sie ermöglicht es Hackern unter anderem, E-Mails mitzulesen oder Mobiltelefone mit Googles Betriebssystem sogar fernzusteuern. In Deutschland sind rund 18 Millionen Smartphone-Nutzer von diesem Sicherheitsproblem betroffen.

Und das Schlimmste: Sie werden von Google und den meisten Geräteherstellern im Stich gelassen. Die gefährliche Schwachstelle in Android wird durch WebView verursacht, das in den Versionen 4.3 und älter zum Einsatz kommt. Zahlreiche Apps sowie der Android-Werksbrowser nutzen WebView, um Webseiten oder Werbebanner anzuzeigen.

Die Schnittstelle ist jedoch anfällig für das sogenannte Universal Cross Site Scripting: Eine manipulierte Webseite könnte so etwa die E-Mails des Users mitlesen, wenn dieser bei einem Webmailer eingeloggt ist. Dazu muss er nur auf die Seite des Angreifers surfen. Der Sicherheitsexperte Tod Beardsley hat zudem festgestellt, dass ein Hacker über die Lücke auch vollen Zugriff auf das Gerät bekommen und beispielsweise das Mikrofon oder die Kamera heimlich einschalten könnte. Die Sicherheitslücke, die sich immerhin in knapp 60 Prozent aller aktiven Android-Geräte befindet, lässt sich zwar beheben oder umgehen, aber von Google können die User diesbezüglich keine Hilfe erwarten.

So schützen Sie ihr Smartphone vor dem BKA-Trojaner

Der Konzern argumentiert, man habe das Problem in den Android-Versionen 4.4 und 5.0 behoben und sieht seine Schuldigkeit damit getan. Doch viele ältere Geräte werden nicht mit Updates auf diese Versionen versorgt – auch weil die Hersteller nicht mitziehen. Sie verkaufen lieber neue Smartphones, als alte Geräte mit Updates zu versorgen. Deshalb muss jeder selbst tätig werden. Auch im oft als virenfrei beschriebenen iOS verbergen sich Lücken. Die Sicherheitslage ist zwar nicht so bedenklich wie bei Googles mobilem Betriebssystem, doch auch hier können Nutzer selbst einiges zu ihrer Sicherheit beitragen. Wir geben Hilfe zur Selbsthilfe.

Browser austauschen

Ob Sie beim Surfen mit Ihrem Smartphone gefährdet sind, hängt neben der Version Ihres Betriebssystems auch davon ab, welchen Browser Sie verwenden. In allen Android-Versionen bis 4.3 nutzt der Werksbrowser das lückenhafte WebView, um Seiten darzustellen – und öffnet damit Hackern Tür und Tor.

1 Android-Version checken

Zunächst sollten Sie überprüfen, ob eine der gefährdeten Android- Versionen auf Ihrem Smartphone installiert ist. Unsicher sind alle Versionen von Android 2.2 alias Froyo bis einschließlich 4.3 alias Jelly Bean. In ihnen kommt die anfällige WebView-Komponente WebKit zum Einsatz, auf die unter anderem der Android-Werksbrowser zurückgreift. Erst ab Android 4.4 ist die sichere WebView-Variante Blink verbaut, die Engine des Chrome-Browsers. Sie sollten also auf keinen Fall mit dem Werksbrowser surfen, wenn Sie eine Android-Version bis 4.3 verwenden. Falls Sie nicht auswendig wissen, welche Version auf Ihrem Gerät installiert ist, wechseln Sie in die Systemeinstellungen und tippen auf »Über das Telefon« . Sollte unter dem Eintrag »Android-Version »4.4« oder »5.0« stehen, können. Sie hier zu lesen aufhören: Sie sind sicher. In allen anderen Fällen sollten Sie weiter unserer Anleitung folgen.

2 Hersteller-Update überprüfen

Als Nächstes sollten Sie überprüfen, ob Ihr Gerätehersteller ein Update auf eine sichere Android-Version anbietet. Bleiben Sie dazu im Menü »Über das Telefon« und tippen Sie auf »Online-Aktualisierung «. Sollte das Smartphone keine Aktualisierung finden oder eine Version unter 4.4 als aktuellstes Update verfügbar sein, bleiben Ihnen zwei Optionen, um Ihr System abzusichern: Entweder Sie installieren einen alternativen Browser oder Sie aktualisieren Ihr Gerät manuell mit einem alternativen Betriebssystem. Letzteres ist zwar sicherer, weil es das Problem löst und nicht nur umgeht, aber nicht trivial und für

Anfänger eher ungeeignet. Leichter ist es in jedem Fall, einen Browser zu verwenden, der nicht für die eingangs genannten Sicherheitslücken anfällig ist.

3 Alternativen Browser installieren

Im Prinzip eignet sich jeder Browser mit eigener Engine zur Umgehung der WebView-Lücke. Dazu gehören unter anderem Chrome, Firefox, Opera und Dolphin. Für Chrome gibt es jedoch eine Einschränkung: Google stellt für den Browser keine Updates mehr bereit, wenn er auf Android 4.0.4 oder noch älteren Systemen läuft. Auch Sicherheitsupdates gibt es dann nicht mehr. Wir empfehlen deshalb Firefox, da dieser Browser regelmäßig aktualisiert wird. Installieren können Sie Firefox wie andere Apps über den Google Play Store. Nach der Installation müssen Sie den neuen Browser als Standard definieren, damit Webinhalte künftig immer damit angezeigt werden. Öffnen Sie dazu einen Link, zum Beispiel aus einer E-Mail, setzen Sie im Fenster »Aktion durchführen mit« den Haken neben »Immer für diese Aktion verwenden« und tippen Sie dann auf das Icon des Browsers. Sollte sich statt des Dialogfensters ein Browser öffnen, lesen Sie Schritt 4.

4 Selbst updaten

Wer einen sicheren Browser nutzt, kann zwar die gravierendsten Probleme umgehen, die durch die WebView-Lücke entstehen. Das Problem, dass Werbebanner in Apps dadurch zum potenziellen Einfallstor für Angreifer werden, wir jedoch nicht gelöst, denn die Lücke selbst bleibt bestehen. Sie verschwindet erst durch das Update des Betriebssystems auf Android 4.4 oder höher. Stellt ein Gerätehersteller kein offizielles Update bereit, bleibt noch die Möglichkeit, ein alternatives Android-System – eine sogenanntes Custom-ROM (CR) – auf dem Gerät zu installieren.

Beim Rooten ist Vorsicht geboten. Da CRs permanent von der Entwickler-Community weiterentwickelt werden, sind sie quasi immer auf dem neuesten Stand. Die Installation einer alternativen Android-Version ist jedoch keinesfalls trivial: Der Nutzer braucht dazu volle Administratoren-, also Root-Rechte für sein Gerät. Die Hersteller räumen ihren Kunden diese Rechte jedoch nicht ein – aus gutem Grund: Ein gerootetes Gerät kann von Grund auf modifiziert werden, was im schlimmsten Fall dazu führt, dass das Smartphone oder Tablet nicht mehr funktioniert. Aus diesem Grund verlieren gerootete Geräte auch die Herstellergarantie. In manchen Fällen, wie der WebView-Lücke, bleibt dem Nutzer jedoch keine andere Möglichkeit. Die größte Hürde dabei: Je nach Hersteller und Gerät unterscheiden sich die Rootvorgänge voneinander. Manche Hersteller wie HTC und Sony erleichtern es der Entwickler- Community, andere wie Samsung erschweren das Prozedere enorm, was den Einsatz von Spezialsoftware wie Odin nötig macht. Entwicklerforen bieten Rooting-Hilfe Holen Sie sich am besten Rat in einem Entwicklerforum wie androidhilfe.de oder xda-developers.com. Hier finden sich für die meisten Geräte aktuelle Schritt-für-Schritt-Anleitungen.

Hilfreiche Software wie Rootkits und Backup-Tools finden Sie auf unserer Heft-DVD. Hat man einmal vollen Zugriff, muss im Anschluss eine Custom- Recovery-Software installiert werden, über die letztendlich das CR aufgespielt wird. Aber Vorsicht: Nicht jedes ROM funktioniert mit jeder Recovery. Lesen Sie am besten auch hier in den entsprechenden Foren nach. Da das Gerät bei der Installation eines CRs – oft auch schon beim Rooten – auf den Werkszustand zurückgesetzt wird, sollte man davor unbedingt ein Backup aller wichtigen Daten vornehmen. In der Regel müssen die meisten Schritte bis zur vollständigen Installation eines CRs von Hand durchgeführt werden. Das ist oft langwierig und kompliziert.

 

Für die CR CyanogenMod gibt es jedoch einen Installer, der alle notwendigen Schritte automatisch ausführt – quasi ein Rootkit für jedermann. Das Problem: Der Installer funktioniert nur bei Smartphones aus der Galaxy-Reihe, den Nexus-Geräten und dem HTC One. Wer ein anderes Modell besitzt, muss sich unter wiki. cyanogenmod.org die Installationsanleitung dafür besorgen. Der CyanogenMod empfiehlt sich wegen seiner Benutzerfreundlichkeit besonders für User, die zum ersten Mal ein CR installieren.

iOS-Apps lesen mit

Apple möchte Nutzer gerne glauben machen, dass sein mobiles Betriebssystem iOS keine Sicherheitsrisiken birgt. Deshalb verbannte der iPhone-Hersteller im März alle Antiviren-Apps aus dem App- Store. Begründung: Solche Apps könnten User zu der Vermutung drängen, es gäbe Viren für iOS. Da Apple Anwendungen viel strenger als Google prüft, bevor sie in den App Store gelangen, gibt es zwar fast keine schädlichen Apps für iPhone und iPad. Doch frei von Fehlern ist iOS keineswegs: Mit dem Update auf die neueste Version 8.3 veröffentlichte Apple eine Liste mit knapp 60 Sicherheitslücken, die darin geschlossen wurden – darunter Bugs in der Browser-Engine WebKit, die Angriffe per Remote Code Execution ermöglichen (siehe rechts). Anders als Google verteilt Apple Updates immerhin an die meisten Geräte – auch an ältere: iOS 8.3 läuft auf allen iPhones bis zurück zum dreieinhalb Jahre alten 4S.

Das bedeutet aber auch: Wer kein Update mehr bekommt, muss mit den Sicherheitslücken leben, oder sich ein neues Modell kaufen. Es ist zwar möglich, ein iPhone zu rooten – bei Apple-Geräten wird dieser Vorgang Jailbreak genannt. Das ermöglicht es aber lediglich, Apps zu installieren, die nicht über den offiziellen Store vertrieben werden. Weil solche Apps jedoch nicht von Apple überprüft werden, ist gerade hier die Gefahr groß, sich eine gefährliche Anwendung auf das Telefon zu holen. Doch auch legitime Apps können ein Risiko darstellen, wie der iOS-Entwickler Craig Hockenberry herausgefunden hat. Ähnlich wie bei Android macht auch bei iOS WebView Probleme, eine Systemkomponente, über die Apps Webinhalte anzeigen. Apple nutzt jedoch eine weniger gefährdete Version der dahinterliegenden Engine WebKit als Google. Bei der Darstellung von Webseiten erhalten Apps über WebView Zugriff auf Formulardaten wie Benutzername und Passwort und können diese theoretisch auch weitergeben. Hockenberry empfiehlt deshalb, sensible Daten nur in Safari einzugeben.

Windows mobil sicher

Zur Sicherheit bei Windows Phone gibt es im Grunde wenig zu sagen. Nur so viel: Bislang bekannte Lücken werden praktisch nicht ausgenutzt. Der Hauptgrund dafür ist die geringe Verbreitung des Betriebssystems: In Deutschland kommt Windows Phone nur auf einen Marktanteil von knapp 2,5 Prozent, weltweit noch weniger. Das macht dieses System für Hacker schlichtweg uninteressant. Ein anderer Grund liegt in den hohen Sicherheitsauflagen, die an Anwendungen gestellt werden: „Microsoft kontrolliert Apps sogar strenger als Apple“, erklärt Sicherheitsexperte Mike Morgenstern von AV-Test. Hinzu kommt, dass anders als auf dem Desktop Prozesse bei Windows Phone sehr eingeschränkt laufen: „Auch wenn jemand Zugriff auf eine App bekäme, könnte er noch lange nicht das System selbst angreifen“, so Morgenstern. Da Microsoft seine Mobilgeräte zudem regelmäßig mit Updates versorgt, ist Windows Phone für sicherheitsbewusste Smartphone-Nutzer eine gute Wahl.

Quelle:

http://www.focus.de/digital/handy/

June 8th 2015
by

Smartphone-Sicherheit – Smartphone-Lücken selbst stopfen

In vielen Smartphones verstecken sich gefährliche Sicherheitslücken, nicht alle werden von den Herstellern geschlossen. Wir geben Hilfe zur Selbsthilfe

  • Gravierende Sicherheitslücke bei Android können Sie selbst schließen.
  • Auch bei Apples iOS ist Vorsicht geboten.
  • Microsoft-Lücken werden kaum genutzt.

In mehr als der Hälfte aller Android-Geräte klafft eine gravierende Sicherheitslücke. Sie ermöglicht es Hackern unter anderem, E-Mails mitzulesen oder Mobiltelefone mit Googles Betriebssystem sogar fernzusteuern. In Deutschland sind rund 18 Millionen Smartphone-Nutzer von diesem Sicherheitsproblem betroffen.

Und das Schlimmste: Sie werden von Google und den meisten Geräteherstellern im Stich gelassen. Die gefährliche Schwachstelle in Android wird durch WebView verursacht, das in den Versionen 4.3 und älter zum Einsatz kommt. Zahlreiche Apps sowie der Android-Werksbrowser nutzen WebView, um Webseiten oder Werbebanner anzuzeigen.

Die Schnittstelle ist jedoch anfällig für das sogenannte Universal Cross Site Scripting: Eine manipulierte Webseite könnte so etwa die E-Mails des Users mitlesen, wenn dieser bei einem Webmailer eingeloggt ist. Dazu muss er nur auf die Seite des Angreifers surfen. Der Sicherheitsexperte Tod Beardsley hat zudem festgestellt, dass ein Hacker über die Lücke auch vollen Zugriff auf das Gerät bekommen und beispielsweise das Mikrofon oder die Kamera heimlich einschalten könnte. Die Sicherheitslücke, die sich immerhin in knapp 60 Prozent aller aktiven Android-Geräte befindet, lässt sich zwar beheben oder umgehen, aber von Google können die User diesbezüglich keine Hilfe erwarten.

So schützen Sie ihr Smartphone vor dem BKA-Trojaner

Der Konzern argumentiert, man habe das Problem in den Android-Versionen 4.4 und 5.0 behoben und sieht seine Schuldigkeit damit getan. Doch viele ältere Geräte werden nicht mit Updates auf diese Versionen versorgt – auch weil die Hersteller nicht mitziehen. Sie verkaufen lieber neue Smartphones, als alte Geräte mit Updates zu versorgen. Deshalb muss jeder selbst tätig werden. Auch im oft als virenfrei beschriebenen iOS verbergen sich Lücken. Die Sicherheitslage ist zwar nicht so bedenklich wie bei Googles mobilem Betriebssystem, doch auch hier können Nutzer selbst einiges zu ihrer Sicherheit beitragen. Wir geben Hilfe zur Selbsthilfe.

Browser austauschen

Ob Sie beim Surfen mit Ihrem Smartphone gefährdet sind, hängt neben der Version Ihres Betriebssystems auch davon ab, welchen Browser Sie verwenden. In allen Android-Versionen bis 4.3 nutzt der Werksbrowser das lückenhafte WebView, um Seiten darzustellen – und öffnet damit Hackern Tür und Tor.

1 Android-Version checken

Zunächst sollten Sie überprüfen, ob eine der gefährdeten Android- Versionen auf Ihrem Smartphone installiert ist. Unsicher sind alle Versionen von Android 2.2 alias Froyo bis einschließlich 4.3 alias Jelly Bean. In ihnen kommt die anfällige WebView-Komponente WebKit zum Einsatz, auf die unter anderem der Android-Werksbrowser zurückgreift. Erst ab Android 4.4 ist die sichere WebView-Variante Blink verbaut, die Engine des Chrome-Browsers. Sie sollten also auf keinen Fall mit dem Werksbrowser surfen, wenn Sie eine Android-Version bis 4.3 verwenden. Falls Sie nicht auswendig wissen, welche Version auf Ihrem Gerät installiert ist, wechseln Sie in die Systemeinstellungen und tippen auf »Über das Telefon« . Sollte unter dem Eintrag »Android-Version »4.4« oder »5.0« stehen, können. Sie hier zu lesen aufhören: Sie sind sicher. In allen anderen Fällen sollten Sie weiter unserer Anleitung folgen.

2 Hersteller-Update überprüfen

Als Nächstes sollten Sie überprüfen, ob Ihr Gerätehersteller ein Update auf eine sichere Android-Version anbietet. Bleiben Sie dazu im Menü »Über das Telefon« und tippen Sie auf »Online-Aktualisierung «. Sollte das Smartphone keine Aktualisierung finden oder eine Version unter 4.4 als aktuellstes Update verfügbar sein, bleiben Ihnen zwei Optionen, um Ihr System abzusichern: Entweder Sie installieren einen alternativen Browser oder Sie aktualisieren Ihr Gerät manuell mit einem alternativen Betriebssystem. Letzteres ist zwar sicherer, weil es das Problem löst und nicht nur umgeht, aber nicht trivial und für

Anfänger eher ungeeignet. Leichter ist es in jedem Fall, einen Browser zu verwenden, der nicht für die eingangs genannten Sicherheitslücken anfällig ist.

3 Alternativen Browser installieren

Im Prinzip eignet sich jeder Browser mit eigener Engine zur Umgehung der WebView-Lücke. Dazu gehören unter anderem Chrome, Firefox, Opera und Dolphin. Für Chrome gibt es jedoch eine Einschränkung: Google stellt für den Browser keine Updates mehr bereit, wenn er auf Android 4.0.4 oder noch älteren Systemen läuft. Auch Sicherheitsupdates gibt es dann nicht mehr. Wir empfehlen deshalb Firefox, da dieser Browser regelmäßig aktualisiert wird. Installieren können Sie Firefox wie andere Apps über den Google Play Store. Nach der Installation müssen Sie den neuen Browser als Standard definieren, damit Webinhalte künftig immer damit angezeigt werden. Öffnen Sie dazu einen Link, zum Beispiel aus einer E-Mail, setzen Sie im Fenster »Aktion durchführen mit« den Haken neben »Immer für diese Aktion verwenden« und tippen Sie dann auf das Icon des Browsers. Sollte sich statt des Dialogfensters ein Browser öffnen, lesen Sie Schritt 4.

4 Selbst updaten

Wer einen sicheren Browser nutzt, kann zwar die gravierendsten Probleme umgehen, die durch die WebView-Lücke entstehen. Das Problem, dass Werbebanner in Apps dadurch zum potenziellen Einfallstor für Angreifer werden, wir jedoch nicht gelöst, denn die Lücke selbst bleibt bestehen. Sie verschwindet erst durch das Update des Betriebssystems auf Android 4.4 oder höher. Stellt ein Gerätehersteller kein offizielles Update bereit, bleibt noch die Möglichkeit, ein alternatives Android-System – eine sogenanntes Custom-ROM (CR) – auf dem Gerät zu installieren.

Beim Rooten ist Vorsicht geboten. Da CRs permanent von der Entwickler-Community weiterentwickelt werden, sind sie quasi immer auf dem neuesten Stand. Die Installation einer alternativen Android-Version ist jedoch keinesfalls trivial: Der Nutzer braucht dazu volle Administratoren-, also Root-Rechte für sein Gerät. Die Hersteller räumen ihren Kunden diese Rechte jedoch nicht ein – aus gutem Grund: Ein gerootetes Gerät kann von Grund auf modifiziert werden, was im schlimmsten Fall dazu führt, dass das Smartphone oder Tablet nicht mehr funktioniert. Aus diesem Grund verlieren gerootete Geräte auch die Herstellergarantie. In manchen Fällen, wie der WebView-Lücke, bleibt dem Nutzer jedoch keine andere Möglichkeit. Die größte Hürde dabei: Je nach Hersteller und Gerät unterscheiden sich die Rootvorgänge voneinander. Manche Hersteller wie HTC und Sony erleichtern es der Entwickler- Community, andere wie Samsung erschweren das Prozedere enorm, was den Einsatz von Spezialsoftware wie Odin nötig macht. Entwicklerforen bieten Rooting-Hilfe Holen Sie sich am besten Rat in einem Entwicklerforum wie androidhilfe.de oder xda-developers.com. Hier finden sich für die meisten Geräte aktuelle Schritt-für-Schritt-Anleitungen.

Hilfreiche Software wie Rootkits und Backup-Tools finden Sie auf unserer Heft-DVD. Hat man einmal vollen Zugriff, muss im Anschluss eine Custom- Recovery-Software installiert werden, über die letztendlich das CR aufgespielt wird. Aber Vorsicht: Nicht jedes ROM funktioniert mit jeder Recovery. Lesen Sie am besten auch hier in den entsprechenden Foren nach. Da das Gerät bei der Installation eines CRs – oft auch schon beim Rooten – auf den Werkszustand zurückgesetzt wird, sollte man davor unbedingt ein Backup aller wichtigen Daten vornehmen. In der Regel müssen die meisten Schritte bis zur vollständigen Installation eines CRs von Hand durchgeführt werden. Das ist oft langwierig und kompliziert.

 

Für die CR CyanogenMod gibt es jedoch einen Installer, der alle notwendigen Schritte automatisch ausführt – quasi ein Rootkit für jedermann. Das Problem: Der Installer funktioniert nur bei Smartphones aus der Galaxy-Reihe, den Nexus-Geräten und dem HTC One. Wer ein anderes Modell besitzt, muss sich unter wiki. cyanogenmod.org die Installationsanleitung dafür besorgen. Der CyanogenMod empfiehlt sich wegen seiner Benutzerfreundlichkeit besonders für User, die zum ersten Mal ein CR installieren.

iOS-Apps lesen mit

Apple möchte Nutzer gerne glauben machen, dass sein mobiles Betriebssystem iOS keine Sicherheitsrisiken birgt. Deshalb verbannte der iPhone-Hersteller im März alle Antiviren-Apps aus dem App- Store. Begründung: Solche Apps könnten User zu der Vermutung drängen, es gäbe Viren für iOS. Da Apple Anwendungen viel strenger als Google prüft, bevor sie in den App Store gelangen, gibt es zwar fast keine schädlichen Apps für iPhone und iPad. Doch frei von Fehlern ist iOS keineswegs: Mit dem Update auf die neueste Version 8.3 veröffentlichte Apple eine Liste mit knapp 60 Sicherheitslücken, die darin geschlossen wurden – darunter Bugs in der Browser-Engine WebKit, die Angriffe per Remote Code Execution ermöglichen (siehe rechts). Anders als Google verteilt Apple Updates immerhin an die meisten Geräte – auch an ältere: iOS 8.3 läuft auf allen iPhones bis zurück zum dreieinhalb Jahre alten 4S.

Das bedeutet aber auch: Wer kein Update mehr bekommt, muss mit den Sicherheitslücken leben, oder sich ein neues Modell kaufen. Es ist zwar möglich, ein iPhone zu rooten – bei Apple-Geräten wird dieser Vorgang Jailbreak genannt. Das ermöglicht es aber lediglich, Apps zu installieren, die nicht über den offiziellen Store vertrieben werden. Weil solche Apps jedoch nicht von Apple überprüft werden, ist gerade hier die Gefahr groß, sich eine gefährliche Anwendung auf das Telefon zu holen. Doch auch legitime Apps können ein Risiko darstellen, wie der iOS-Entwickler Craig Hockenberry herausgefunden hat. Ähnlich wie bei Android macht auch bei iOS WebView Probleme, eine Systemkomponente, über die Apps Webinhalte anzeigen. Apple nutzt jedoch eine weniger gefährdete Version der dahinterliegenden Engine WebKit als Google. Bei der Darstellung von Webseiten erhalten Apps über WebView Zugriff auf Formulardaten wie Benutzername und Passwort und können diese theoretisch auch weitergeben. Hockenberry empfiehlt deshalb, sensible Daten nur in Safari einzugeben.

Windows mobil sicher

Zur Sicherheit bei Windows Phone gibt es im Grunde wenig zu sagen. Nur so viel: Bislang bekannte Lücken werden praktisch nicht ausgenutzt. Der Hauptgrund dafür ist die geringe Verbreitung des Betriebssystems: In Deutschland kommt Windows Phone nur auf einen Marktanteil von knapp 2,5 Prozent, weltweit noch weniger. Das macht dieses System für Hacker schlichtweg uninteressant. Ein anderer Grund liegt in den hohen Sicherheitsauflagen, die an Anwendungen gestellt werden: „Microsoft kontrolliert Apps sogar strenger als Apple“, erklärt Sicherheitsexperte Mike Morgenstern von AV-Test. Hinzu kommt, dass anders als auf dem Desktop Prozesse bei Windows Phone sehr eingeschränkt laufen: „Auch wenn jemand Zugriff auf eine App bekäme, könnte er noch lange nicht das System selbst angreifen“, so Morgenstern. Da Microsoft seine Mobilgeräte zudem regelmäßig mit Updates versorgt, ist Windows Phone für sicherheitsbewusste Smartphone-Nutzer eine gute Wahl.

Quelle:

http://www.focus.de/digital/handy/

February 4th 2015
by

Sicherheit – Freemail-Dienste getestet: Kein Anbieter überzeugt voll

Sicherheit im Internet war noch nie ein so wichtiges und viel diskutiertes Thema wie heute. Bei Messaging-Apps gab es in den vergangenen Monaten einen Boom von Diensten, die mehr Sicherheit und Anonymität versprechen. Auch bei E-Mail-Diensten steht Sicherheit seit den Enthüllungen Whistleblower Edward Snowden stärker im Fokus. Das deutsche Internet-Security-Unternehmen PSW Group hat populäre Freemail-Angebote getestet, sieht jedoch noch keinen Anlass für Jubel. “Bei keinem können sich Nutzer wirklich sicher fühlen”, so das Unternehmen in einer Aussendung.

Verschlüsselung

Getestet wurden zunächst Gmail, Yahoo, GMX, Web.de und T-Online vor allem in Hinblick auf die Sicherheit. Wieso die Angebote von Microsoft und Apple nicht berücksichtigt wurden, meldeten die Tester auf Nachfrage des Webstandard nicht zurück. Allen Anbietern mangle es derzeit noch an effizienter Verschlüsselung, bei einigen würden sogar ordentliche Passwortkontrollen fehlen.

Keiner der Anbieter verschickt die E-Mails mit einer End-to-End-Verschlüsselung. Die Anbieter beschränken sich auf eine reine Transportverschlüsselung. Für die Tester ist das zwar ein Anfang, sei für die komplette Sicherheit einer E-Mail jedoch nicht ausreichend. Einige Anbieter haben sich zur Initiative “E-Mail made in Germany” zusammengeschlossen. Die Mitglieder würden jedoch umso mehr enttäuschen. Denn die Transportverschlüsselung von GMX, Web.de und T-Online finde nur mit anderen Teilnehmern der Initiative statt.

Zumindest unterstützten alle getesteten Anbieter laut der PSW Group Perfect Forward Secrecy. Dadurch wird verhindert, dass Daten nachträglich entschlüsselt werden können, wenn ein geheimer Schlüssel geknackt wird.

Alternative Anbieter

Alternativ zu den großen Anbietern hat sich PWS auch die weniger bekannten Dienste Posteo, mailbox.org, MyKolab.com, Secure-Mail.biz, eclipso und aikQ Mail angesehen, von denen einige jedoch kostenpflichtig sind. Alle würden sich durch starke Webseiten- und Backend-Verschlüsselung, Perfect Forward Secrecy eine effiziente Transportverschlüsselung auszeichnen.

Die Server befänden sich alle in der Schweiz oder Deutschland mit Ausnahme von Secure-Maik.biz mit einem Hauptserver in Russland. Besonders hervorgehoben wird mailbox.org, da der Anbieter erst gar keine unverschlüsselten E-Mails zustellt. Nutzer könnten auch einstellen, ob ihre Mails entweder verschlüsselt oder gar nicht versendet werden.

Passwortsicherheit

“Desaströse Sicherheitsmängel” orten die Tester bei der Passwortsicherheitsprüfung von GMX und Web.de. Einfachste Passwörter würden bereits als sicher angesehen. “Eigentlich war die Passwortsicherheit keines unserer geplanten Kriterien. Angesichts der Tatsache, dass wir schon im ersten Test mit ‘Passwort’ und ‘12345678’ durchgekommen wären, haben wir diesen Punkt nachträglich ergänzt. Und wir waren schockiert, was Anbieter, die das Thema Sicherheit offenbar in ihrer Marketing-Strategie mit aufgenommen haben, hier machen”, so Heutger.

Nur T-Online und mailbox.org schnitten hier gut ab. Bei letzterem sei auch eine Buchstaben-/Zahlenkombination verpflichtend und ein Passwort dürfe nicht im Duden stehen.

Die Angebote wurden auch hinsichtlich Usability, Werbung und Auffindbarkeit sowie Formulierung der Geschäfts- und Datenschutzbedingungen getestet. Alle Ergebnisse im Detail sind im Blog der PWS Group auffindbar.

Fazit und Ausblick

Testsieger für die PWS Group ist mailbox.org aufgrund seiner Verschlüsselung und Passwortsicherheit. Allerdings handelt es sich dabei nicht um einen Freemail-Anbieter. “Bei den US-Anbietern wäre sogar vieles stimmig, sowohl in Sachen Verschlüsselung als auch in der Usability. Wären da nicht Punkte in den Datenschutzvereinbarungen, die das jeweilige Testergebnis wieder zunichtemachten”, so PSW-Geschäftsführer Christian Heutger. “Das Safe Harbor-Abkommen, das derzeit wieder rege diskutiert wird, gibt ihnen die Erlaubnis, Nutzerdaten in die USA zu transferieren. Und was dort mit den Daten geschieht, bleibt Unternehmensgeheimnis.”

Die großen Anbieter arbeiten jedoch an mehr Verschlüsselung für ihre Dienste. Google hat für seinen Browser Chrome etwa die Erweiterung “End-to-End” zur Verschlüsselung von Gmail via PGP entwickelt. Das Tool steht über GitHub zur Verfügung, eine Veröffentlichung über den Chrome Store ist für 2015 anvisiert. Auch Yahoo und kürzlich die deutschen Dienste Web.de und GMX haben angekündigt bis Ende 2015 Verschlüsselung mittels PGP einzuführen. (br, derStandard.at, 18.1.2015)

Zuerst veröffentlicht auf:

http://derstandard.at/

July 9th 2014
by

Gestohlene Kreditkartendaten: Hacker werben auf YouTube

Dass im Internet mit gestohlenen Kreditkartendaten gehandelt wird, ist ein altbekanntes Problem. Interessant ist allerdings, welchen Weg Kriminelle mittlerweile wählen, um ihr Geschäft zu bewerben. Die amerikanische Verbraucherschutzorganisation Digital Citizens Alliance (DCA) macht in einem neuen Bericht darauf aufmerksam, dass die Händler häufig YouTube nutzen, um auf ihre Angebote aufmerksam zu machen. Auf Anfragen wie “How to get credit card numbers that work 2014” liefere das Videoportal jeweils mehrere Tausend Suchergebnisse.

Ein Teil dieser Ergebnisse scheint tatsächlich zu echten Angeboten zu führen. Auf eine Videoanzeige hin hat die DCA Kontakt zu einem mutmaßlichen Händler aufgenommen, das zugehörige Telefongespräch wurde mitgeschnitten. Der Gesprächspartner gibt darin bereitwillig Auskunft: über die Art der Daten, über Rabatte und Preise – je nach Abnahmemenge soll es bei zehn Dollar pro Datensatz losgehen. Erläutert wird auch, wo ein Käufer die Karten einsetzen kann und wo nicht. So rät der mutmaßliche Händler, mit den Daten keine Einkäufe bei Amazon zu tätigen, da das Unternehmen effiziente Prüfmechanismen einsetze.

Der Bericht weist darauf hin, dass YouTube bei besonders häufig geklickten Videos auch Werbung schaltet und so an den dubiosen Clips mitverdient. In einem Fall hat die DCA angeblich sogar Werbung der Kreditkartenfirma Amex entdeckt.

Strenge Reglementierung des Internets als Ziel

Die DCA gilt als konservative Einrichtung, die eine strenge Reglementierung des Internets vorantreiben will. Wer die Organisation finanziert, ist zudem unbekannt. In mehreren ähnlichen Berichten warf sie Google vor, Anzeigen für illegalen Handel nicht hinreichend zu bekämpfen – etwa wenn es um nicht zugelassene Medikamente, Drogen oder Hehlerware geht.

Doch auch abseits der DCA beschäftigt man sich mit dem Thema: Im Juli hatten die Generalstaatsanwälte der US-Bundesstaaten Nebraska und Oklahoma Google angefragt, wie hoch die Werbeumsätze durch Videoanzeigen seien, die vor Clips zu Produkten wie den genannten geschaltet werden. “Äußerst gering”, antwortete Google damals.

Völlige Untätigkeit kann man dem Unternehmen auch im Fall der Kreditkartendatenvideos nicht vorwerfen, manche Clips werden schnell wieder entfernt. Eine Google-Sprecherin sagte der US-Webseite “Re/code”, ihr Unternehmen würde jährlich Millionen Videos sperren, die gegen die Nutzungsbedingungen verstoßen: “Unsere Richtlinien verbieten die Förderung illegaler Aktivitäten, dazu zählen Videos, die für den Verkauf illegaler Waren werben. Wir haben außerdem strenge Werberichtlinien und arbeiten daran, zu verhindern, dass Anzeigen bei einem Video, einem Kanal oder einer Seite erscheinen, sobald wir festgestellt haben, dass dieser Inhalt nicht zu unseren Werbepartnern passt.”

 

Von:

http://www.spiegel.de/netzwelt

April 16th 2014
by

Sicherheit: Einbruch in FreeBSD-Infrastruktur

 

Angreifer hatten Zugriff auf zwei Maschinen des FreeBSD-Projekts. Anwender sollten von dem Vorgang nicht betroffen sein, eventuell aber ihre Rechner überprüfen und notfalls neu installieren.

Vor etwas mehr als einer Woche sei dem FreeBSD-Team ein Einbruch in seine Infrastruktur aufgefallen, wie es nun mitteilt. Die Beteiligten gehen davon aus, dass die zwei betroffenen Systeme bereits seit dem 19. September dieses Jahres kompromittiert waren. read more »

April 15th 2014
by

Studie: Onliner im Passwort-Chaos

Hamburg (ots) – Fast jeder Internetnutzer (94 Prozent) loggt sich täglich in ein bis fünf Nutzerkonten ein, am häufigsten in Social Communitys, Onlineshops sowie E-Mail- und Messenger-Programme. Das Merken der Passwörter für die verschiedenen Seiten fällt jedoch nicht leicht. Knapp ein Drittel der Internetnutzer (30 Prozent) hat bereits wichtige Passwörter vergessen. Dies sind Ergebnisse aus der Studie “Social Media Impact 2012 – Social Sharing und Social Login im Web”, die die allyve GmbH & Co. KG durchgeführt hat. Wer sein Passwort nicht im Kopf hat, notiert es am häufigsten auf Papier (38 Prozent) oder speichert es in seinem Browser (20 Prozent). Dass die eigenen Methoden zur Speicherung von Passwörtern jedoch unsicher sind, gibt jeder Dritte (31 Prozent) zu. read more »

April 15th 2014
by

Natalya Kasperskaya steigt bei G Data ein

Natalya Kasperskaya hat von einer Venture-Capital-Gesellschaft aus Berlin und anderen Anteilseignern 16,8 Prozent an der G Data Software AG erworben. Am 23. Oktober 2012 wird sie als neues Mitglied in den Aufsichtsrat des Security-Herstellers gewählt werden. Das hat das Bochumer Unternehmen heute bekannt gegeben.

Natalya Ivanovna Kasperskaya hat 16,8 Prozent von G Data erworben und bekommt nun einen Sitz im Aufsichtsrat des Bochumer Unternehmens.

G-Data-Mitgründer Kai Figge kommentiert: “Ich kenne Natalya Kasperskaya seit 1996. Sie ist eine herausragende Persönlichkeit und Managerin einer einzigartigen Erfolgsgeschichte. Ich freue mich auf eine zuverlässige, erfahrene und intelligente Partnerin. Die Zusammenarbeit mit Natalaya ist für uns eine Traumkonstellation.” read more »

April 15th 2014
by

Wikileaks – Assange: Anonymous ist vom FBI unterwandert

Julian Assange, der nach wie vor in der ecuadorianischen Botschaft in London festsitzt, hat sich gegen die Anschuldigungen von Anonymous zur Wehr gesetzt. In einem Statement bezichtigt er die Hacker-Gruppierung, vom FBI unterwandert zu sein.

Solidaritäts-Abhandlung

“Grundsätzliche Solidarität bei Wikileaks und Anonymous” heißt das auf Twitlonger einsehbare Dokument. “Gruppierungen, die als Einheit arbeiten, florieren und jene, die das nicht tun, werden zerstört und ersetzt”, leitet Assange den Brief ein. Nach einer Abhandlung über Solidarität verweist er schließlich auf den Fall “Sabu”. read more »

April 14th 2014
by

IT-Security, Hacker, Virus:

von Christoph Witte (IT-Publizist in München)

Die COMPUTERWOCHE sprach mit dem CSC-Chef für Cyber Security Carlos Solari und dem Ex-FBI-Agenten Joseph Pistone, alias Donnie Brasco.

CW: Die Unsicherheit in der digitalen Welt scheint ständig zuzunehmen. Oder schwillt nur der Lärm der Warnungen an, die von Security-Providern verbreitet werden?

Carlos Solari, CSC, sieht drei grundsätzliche Ursachen für die kritische Security-Lage. read more »