Home Tags Posts tagged with "Sicherheitslücke"

Sicherheitslücke

3 828

WhatsApp

Die Universität Ulm hat zusammen mit der Hochschule Ulm das Nutzer-Verhalten von WhatsApp-Usern untersucht. Dabei sind die Spezialisten auf eine Sicherheitslücke des Messengers gestoßen. Wie sie mit Hilfe von insgesamt 19 freiwilligen Probanden herausgefunden haben ist es so, dass sich über den WhatsApp-Server der Online-Status aller Handynummern, die WhatsApp benutzen, abrufen lässt. Dies ist auch dann möglich, wenn diese die Einstellung getroffen haben, den Online-Status  nicht öffentlich sichtbar zu machen.
Somit war es möglich, bei fast allen Versuchsteilnehmern ein ziemlich genaues Nutzer-Profil zu erstellen. Die Genauigkeit hat die Probanden, wie die Universität in einer Aussendung mitteilte schockiert. Andreas Buschenscheit, der Studienleiter meint dazu: ”Mit unserem Forschungsvorhaben wollten wir die Möglichkeit der Überwachung demonstrieren und darauf hinweisen, welche Konsequenzen dies für die Privatsphäre haben kann.”
Ob WhatsApp bzw. Facebook diese Untersuchung zum Anlass nehmen, die Sicherheit des Messengers zu verbessern, bleibt abzuwarten.

1 192

iCloud

Ein Test von “heise Security” hat jetzt bezüglich des iCloud-E-Mail-Dienstes von Apple eine beunruhigende Sicherheitslücke zutage gefördert. Es ist nämlich so, dass E-Mails, die via iCloud-Konten versendet werden, unsverschlüsselt – also im Klartext – übermittelt werden. Somit bietet Apple hier eventuellen Datensammlern ein leichtes Spiel.

Wie verhält sich die Situation genau?
E-Mails von Apples iCloud Mail-Servern werden laut den Spezialisten von heise.de offenbar immer unverschlüsselt an die Empfänger versendet, selbst dann, wenn der empfangende Mail-Server Verschlüsselung angeboten hat. Die Mail-Eingangs-Server (MX), welche für die Endungen @mac.com, @me.com und @icloud.com zuständig sind, bieten überhaupt keine Verschlüsselung an – Zitat:

Wer E-Mail-Verkehr auf den Internet-Backbones einsammelt, hat bei Apples iCloud-Kunden also leichtes Spiel.

Das einzig Positive, das die Tester finden ist, dass Mails von Apple, die über den Ausgang-Server mail-out.apple.com gehen, bei der Übertragung an externe Server verschlüsselt werden. Seitens Apple hat es zu dieser Problematik noch keine Stellungnahme gegeben.

 

2 244

FRANCE-US-IT-INTERNET-SECURITY-SNAPCHAT

Zu Beginn des Jahres haben Hacker Daten von rund 4,6 Millionen Snapchat-Nutzern auf einer speziell dafür eingerichteten Website veröffentlicht und damit eine massive Sicherheitslücke der beliebten Messaging-App Snapchat offengelegt. Schlimmer war noch, dass die Entwickler von dieser Lücke gewusst und nichts dagegen unternommen haben. Nach einer Entschuldigung der Entwickler und der Beseitigung der Sicherheitslücke waren die Nutzer wieder halbwegs beruhigt. Jetzt hat allerdings der spanische Sicherheitsforscher Jaime Sanchez erneut eine Lücke aufgedeckt. Dies berichtet die LA Times.

Was kann passieren?
Durch die Lücke ist es möglich, eine DDoS-Attacke auf ein iPhone zu starten. Hierfür hat der Sicherheitsforscher Codes verwendet, welche die Identität des Users verifizieren. Dabei handelte es sich um bereits verwendete Codes, die er wiederverwendete und so – vereinfacht ausgedrückt – das Snapchat-System aushebelte. Dadurch konnte Sanchez eine große Menge an Nachrichten an einen User versenden, sodass das iPhone abgestürzt ist und nur durch einen Hard Reset wieder benutzbar wurde. Dies Lücke gibt es übrigens auch bei Android. Hier führt die Attacke aber laut dem Forscher nicht zum Absturz, sondern lediglich zu einem spürbaren Performance-Einbruch.

Was machen die Entwickler von Snapchat?
Nachdem Sanchez Snapchat noch nicht informiert hat, hat die LA Times Kontakt aufgenommen und gefragt, ob sie von der Sicherheitslücke wüssten. Dies wurde verneint und darauf hingewiesen, dass man sich per E-Mail an Snapchat wenden könnte – Zitat:

“We are interested in learning more and can be contacted at security@snapchat.com,” a Snapchat spokeswoman wrote in an email reply.

Die einzige “Gegenmaßnahme”, die Snapchat bis jetzt getroffen hat war, den Account von Jaime Sanchez zu sperren. Dies hat der Sicherheitsforscher vor wenigen Stunden via Twitter mitgeteilt.

Snapchat Twitter

 

 

1 277

T-Mobile

Derzeit warnt das CERT (Computer Emergency Response Team Austria) vor mehreren kritische Schwachstellen beim T-Mobile HOME NET Router LTE (Huawei B593u-12, Firmware-Version V100R001C54SP063). Es kursieren bereits Anleitungen zum Ausnützen mancher Sicherheitslücken im Internet, weshalb es empfehlenswert wäre, das von T-Mobile zur Verfügung gestellte Firmware-Update möglichst schnell einzuspielen.

Welche Schwachstellen gibt es konkret?

  • Zugang zu sensiblen Konfigurationsdaten aus einer Gast-Session (ohne Passwort)
  • Änderung beliebiger Einstellungen durch einen Gast-User
  • OS Command Injection
  • USB Management / FTP Directory Traversal
  • Cross Site Request Forgery

Welche Auswirkungen kann es geben?
Ein nicht authentifizierter Angreifer erhält durch Ausnützen der Schwachstellen Administrator-Zugang, kann dadurch die Einstellungen des Routers manipulieren, und – unter bestimmten Voraussetzungen – interne Clients attackieren. Besonders gefährdet sind Geräte bei denen die Original-Konfiguration verändert wurde.

Es gibt Abhilfe
Von T-Mobile steht, wie bereits erwähnt, ein Firmware-Update zur Verfügung. Nähere Informationen dazu und Anleitungen zur Aktualisierung finden sich im Blog von T-Mobile.

8 150

Find my iPad

Deutsche Experten, der in Berlin beheimateten Security Research Labs (SRL), haben laut eigenen Angaben eine Sicherheitslücke in der “Find my iPhone-App” gefunden. Bekanntlich dient diese App dazu, verlorene oder gestohlene iPhones zu orten, einen Signalton abzuspielen, eine Nachricht auf das Gerät senden, es per Fernzugriff sperren oder die Daten darauf löschen.
Demnach soll es möglich sein, diese Funktion außer Kraft zu setzen. Damit wäre es Unbefugten möglich, Zugriff auf beispielsweise E-Mail-Accounts, Nutzerdaten oder auch Zahlungsinformationen zu erhalten. Von anderen Sicherheitsexperten wurde diese Lücke allerdings noch nicht bestätigt. Bei Apple wurde angefragt, das Unternehmen lehnte jedoch eine Stellungnahme ab.

Die nächsten Tage werden zeigen, ob auch andere Sicherheitsexperten diese Lücke nachvollziehen können. Sollte dies der Fall sein, wird Apple hier sicherlich bald für Abhilfe schaffen. Wir werden euch auf jedem Fall auf dem Laufenden halten.

1 129

Wir haben am Wochenende darüber berichtet, dass bei Java 7 eine schwere Sicherheitslücke aufgetaucht ist. Die Sicherheitslücke ist deshalb so gefährlich, weil sich durch diese bei einem Besuch einer manipulierten Website Schadcode auf einen Computer einschleusen lässt. Es kann sich dabei auch um eine im allgemeinen seriöse Seite handeln, die bereits von Hackern gekapert wurde, um Schadsoftware zu verbreiten.

Oracle hat versprochen, schnell zu reagieren und hat dieses Versprechen auch gehalten. Seit heute steht das Java 7 Update 11 auf der Homepage von Oracle zum Download bereit. Über die Softwareaktualisierung von Apple ist das Update noch nicht erhältlich. Wer also Java verwendet, dem empfehlen wir das Update möglichst rasch zu machen.

SOCIAL

15,705FansLiken
0FollowersFolgen
397SubscribersAbonnieren