Und wieder eine Sicherheitslücke. Diesmal betroffen: WhatsApp. Im App-Store Google Play gab es eine zeitlang den „WhatsApp Sniffer“, mit dem Sie im lokalen WLAN alle WhatsApp-Nachrichten anderer WhatsApp-Nutzer mitlesen können. In Google Play ist der WhatsApp Sniffer zwar verschwunden – über die Google-Suche gibt’s ihn aber immer noch.
Whats-App-Nachrichten unverschlüsselt mitlesen und abhören
Das Sicherheitsunternehmen G Data macht in einer aktuellen Pressemitteilung auf die WhatsApp-Sicherheitslücke aufmerksam. Die Sicherheitslücke ist allerdings nur auf das lokale WLAN beschränkt. Zuhause ist es kaum kritisch; anders sieht es in öffentlichen WLANs an Flughäfen oder in Restaurants. Eine Handvoll frei zugänglicher Werkzeuge reichen, um alle WhatsApp-Nachrichten aus diesem WLAN mitzulesen.
Der Hacker braucht dazu nur ein Smartphone mit Root-Rechten (Jailbreak), die Busybox und den WhatsApp Sniffer bzw. die WhatsApp-Sniffer-APK-Datei – alles eine simple Google-Suche frei erhältlich. Mit einem so ausgestatteten Schnüffel-Smartphone lassen sich alle Informationen mitlesen, die über WhatsApp innerhalb des WLANs über den Äther gehen: Chats, Fotos und Videos. Die Betroffenen bekommen davon nichts mit.
Anleitung für WhatsApp-Spionage? Nicht mit Google
Mittlerweile ist Google aktiv geworden und hat den WhatsApp Sniffer aus dem Google Play Store entfernt. Die APK-Datei gibt’s per Google-Suche aber weiterhin.
Was kann man tun? Bis WhatsApp eine neue Version mit gestopfter Sicherheitslücke herausbringt, sollten WhatsApp-User keine öffentlichen WLAN-Netzwerke nutzen, sondern die Datenverbindung ausschließlich über das Mobilfunknetz laufen lassen.
Update 2014: Mittlerweile hat WhatsApp die Sicherheitslücke geschlossen.
Die New York Times hat es vorgemacht, jetzt legen einige deutsche Nachrichtenmagazine nach: Erst zahlen, dass lesen lautet die neue Devise. Wie die NYT gibt es auch beim Hamburger Abendblatt eine Bezahlschranke. Das bedeutet: Wer online einen Artikel in voller Länge lesen möchte, muss ein kostenpflichtiges Abonnement abschließen. Allerdings gibt es einen simplen Trick, wie man auch ohne Abo kostenlos jeden Artikel in voller Länge lesen kann. Bleibt nur die Frage, ob es sich um eine absichtliche Lücke oder schlicht um einen Programmierfehler handelt.
Ohne Abo alles lesen
Darum geht’s: Wenn Sie auf den Webseite des Hamburger Abendblatts einen Artikel anklicken, erscheint bei vielen Artikel eine Bezahlschranke. Zu sehen gibt es nur die Überschrift. Zum Weiterlesen müssen Sie zuerst ein Abonnement für 5 bis 8 Euro im Monat abschließen. Die Bezahlschranke hat jedoch eine Lücke. Absicht oder Kalkül?
So funktioniert’s: Um ohne Abo den kompletten Abendblatt-Artikel zu lesen, ersetzen Sie in der Adresszeile das „www.“ einfach durch „m.“ oder „mobil.“. Ein Beispiel: Aus der Adresse
und laden ihn erneut. Und schon erscheint die ungekürzte Mobil-Version des jeweiligen Artikel. Der sieht zwar nicht mehr so schön aus, enthält aber den kompletten Text. Bleibt nur die Frage, wie lange der Trick noch funktioniert. Da es sich aus unserer Sicht um eine fehlerhafte Programmierung seitens des Axel Springer-Verlags handelt, könnte diese Sicherheitslücke möglicherweise bald geschlossen werden.
Demnächst: „Die Welt“ mit Bezahlschranke
Nicht nur das Hamburger Abendblatt, auch das Online-Magazin „Die Welt“ wird demnächst eine Bezahlschranke erhalten. Mal schauen: Da beide Publikationen aus dem Hause Axel Springer stammen, wird bei der Welt vermutlich die identische technische Lösung zum Einsatz kommen – eventuell mit derselben Lücke?
Spätestens seit der letzten Datenpanne bei Dropbox (alle Dateien waren für vier Stunden für jedermann zugänglich), fragen sich Dropbox-Anhänger, wie sicher die Daten in der Dropbox-Cloud sind. Schließlich werden die meisten Daten dort unverschlüsselt gespeichert. Es geht auch sicherer. Dropbox-Dateien lassen sich mit TrueCrypt automatisch verschlüsseln und wieder entschlüsseln. Wir zeigen Schritt für Schritt, wie’s geht.
Wenn Sie eine Datei in den Dropbox-Container legen, wird diese sofort mit den Dropbox-Servern synchronisiert. Und zwar unverschlüsselt. Das bedeutet: Jeder, der Zugang zur Dropbox hat, kann die Dateien öffnen und lesen. Zudem weiß man nie, wer von den Dropbox-Mitarbeitern Zugang zu den gespeicherten Dateien hat.
Die Dropbox verschlüsseln – automatisch
Wer dabei ein mulmiges Gefühl hat, kann sich zusätzlich absichern und alle Dateien bombensicher und knacksicher verschlüsseln. Selbst wenn das Dropbox-Konto geknackt wird, Mitarbeiter auf die Dateien zugreifen oder mal wieder eine Dropbox-Datenpanne passiert (siehe Dropbox-Blog), kann niemand die Dateien lesen.
Möglich macht’s die kostenlose Verschlüsselungssoftware „TrueCrypt“, die automatisch und ohne weiteres Zutun alle Dropbox-Dateien verschlüsselt. Da die Daten dann nur in verschlüsselter Form zu Dropbox übertragen werden, kommt niemand an den Dateiinhalt. Das Gute an Truecrypt: bislang ist es noch niemandem gelungen, die TrueCrypt-Verschlüsselung zu knacken.
Schritt 1: TrueCrypt vorbereiten
Damit die automatische Dropbox-Verschlüsselung funktioniert, müssen Sie zuerst TrueCrypt einrichten und konfigurieren. Das geht folgendermaßen:
1. Installieren Sie die kostenlose Verschlüsselungssoftware TrueCrypt. Den Download finden Sie hier: http://www.truecrypt.org/downloads.
Zusätzlich sollten Sie das deutsche Sprachpaket herunterladen und in den TrueCrypt-Ordner (C:ProgrammeTrueCrypt) kopieren: http://www.truecrypt.org/localizations.
2. Starten Sie TrueCrypt, und wechseln Sie mit „Settings | Language“ zur deutschen Bedienoberfläche.
3. Klicken Sie auf „Volumen erstellen“.
4. Im ersten Fenster des Assistenten wählen Sie „Eine verschlüsselten Datei-Container erstellen“ und bestätigen mit „Weiter“.
5. Wählen Sie „Standard TrueCrypt-Volumen“, und klicken Sie auf „Weiter“.
6. Um den Speicherort für den Truecrypt-Container anzugeben, klicken Sie auf die Schaltfläche „Datei“. Dann wechseln Sie in Ihren Dropbox-Ordner und geben einen Dateinamen für den Truecrypt-Container ein, zum Beispiel „dropbox-verschluesselt“. Bestätigen Sie Eingabe per Klick auf „Speichern“ und „Weiter“.
7. Im nächsten Schritt lassen Sie die Standard-Verschlüsselungseinstellungen unverändert und klicken auf „Weiter“.
8. Dann geben Sie die gewünschte Maximalgröße des Dateicontainers an. Die Volumengröße gibt an, wie groß das virtuelle Truecrypt-Laufwerk werden darf. Dort können Sie dann so viele Dateien verschlüsselt speichern (egal wie viele), bis die Maximalgröße erreicht ist.
9. Eines der wichtigsten Schritte: Vergeben Sie ein Kennwort, mit der Truecrypt-Container (also alle Dateien) verschlüsselt werden.
Achten Sie bei der Wahl des Passworts darauf, dass es nicht zu leicht zu erraten ist. Aus Bequemlichkeit werden oft der Name des Partners bzw. des Haustiers, das eigene Geburtsdatum oder Standardwörter aus dem alltäglichen Sprachgebrauch verwendet. Die lassen sich zwar einfach merken, macht es Hackern aber zu einfach. Erfahrene Angreifer können einfache Kennwörter blitzschnell ermitteln. Eine beliebte Variante ist die Brute-Force-Methode. Dabei werden einfach alle Worte und Wortkombinationen durchprobiert, die im Duden oder anderen Wörterbüchern stehen. Früher oder später sind Standardkennwörter wie „Gartenschlauch“ ermittelt.
Daher sollten Sie ein möglichst kompliziertes Kennwort verwenden. Je komplizierter, desto besser. Eine Methode besteht beispielsweise darin, ein einfaches Wort durch wechselnde Groß- und Kleinschreibung komplizierter zu machen, etwa „gARtenSCHere“ statt einfach nur „Gartenschere“. Oder Sie ersetzen einzelne Buchstaben durch Ziffern und Sonderzeichen, zum Beispiel „G@rten5ch3r3“.
Besonders sicher sind Kennwörter, die und ausschließlich aus zufällig gewählten Buchstaben und Ziffern bestehen, etwa „MLhTdVv1967“. Mit einer Eselsbrücke lässt sich sowas auch leicht merken. Das obige Beispiel ist zusammengesetzt aus den Anfangsbuchstaben des Satzes „Mein Lieblingsfilm heißt Tanz der Vampire von 1967“ – darauf kommt garantiert kein Hacker.
10. Klicken Sie auf „Formatieren“, um den Truecrypt-Container zu anzulegen. Den Assistenten mit „Beenden“ schließen und danach das Truecrypt-Programm beenden. Das war’s. Da der Truecrypt-Container in der Dropbox liegt, wird er automatisch mit Dropbox synchronisiert. Das kann je nach Containergröße mehrere Stunden dauern.
Schritt 2: Truecrypt-Container als Laufwerk einbinden
Sobald das Hochladen abgeschlossen ist, sollten Sie dem Truecrypt-Container einen Laufwerksbuchstaben zuweisen, um Dateien besonders einfach speichern zu können. Sie können dann Dateien einfach in das Laufwerk ziehen, diese werden dann automatisch verschlüsselt. Zudem müssen Sie Truecrypt so konfigurieren, dass nicht immer der gesamte Truecrypt-Container, sondern nur die Änderungen synchronisiert werden. So geht’s:
1. Starten Sie Truecrypt, und rufen Sie den Befehl „Einstellungen | Voreinstellungen“ auf.
2. Kreuzen Sie die Option „Änderungszeiten con Containerdateien erhalten“ an. Damit verhindern Sie, dass bei Änderungen immer der ganze Container synchronisiert wird (was sonst mitunter mehrere Stunden dauern würde). Stattdessen werden nur die Änderungen synchronisiert. Bestätigen Sie die Änderung mit OK.
3. Um dem Container einen Laufwerksbuchstaben zuzuweisen,wählen Sie im TrueCrypt-Fenster den gewünschten Buchstaben. Dann klicken Sie auf „Datei“ klicken und wählen den Truecrypt-Container im Dropbox-Ordner aus. Bestätigen Sie die Auswahl mit „Öffnen“.
4. Anschließend klicken Sie auf „Einbinden“, geben das Verschlüsselungskennwort ein und klicken auf OK. Damit steht der Truecrypt-Container als Laufwerk im Windows Explorer zur Verfügung.
Sobald Sie dorthin eine Datei kopieren oder verschieben, wird diese automatisch per Truecrypt verschlüsselt.
Leider wird der Container nicht automatisch mit Dropbox synchronisiert. Die Synchronisierung findet erst statt, wenn Sie im Truecrypt-Fenster auf „Trennen“ und danach wieder auf „Einbinden“ klicken und damit die Laufwerkszuordnung einmal kurz zu unterbrechen. Erst dann synchronisiert Dropbox die Truecrypt-Volumendatei.
Wenn Sie auf einem anderen Rechner die Dateien bearbeiten möchten, müssen Sie dort ebenfalls Dropbox und Truecrypt installieren. Nur mit dem richtigen Truecrypt-Kennwort kommen Sie dann wieder an die Daten ran.
Alternative Wuala mit integrierter Verschlüsselung
Falls Ihnen die ganze Prozedur zu kompliziert ist, können Sie auch auf die Cloud-Festplatte von „Wuala“ zurückgreifen. Auch hier erhalten Sie kostenlos 1 GB Speicherplatz. Mit einem großen Unterschied: auf Wunsch werden die Dateien standardmäßig auf dem eigenen Rechner verschlüsselt und erst dann in der Cloud zur Verfügung gestellt. Die Verschlüsselung ist praktisch in den Cloudservice integriert und fester Bestandteil des Angebots.
Alle weiteren Informationen zur Verschlüsselungs-Cloud-Festplatte „Wuala“ finden Sie hier:
Seit 2007 gab es bei Facebook eine eklatante Datenpanne – die erst jetzt entdeckt wurde. Über das Datenleck können externe Facebook-Applikationen auf alle persönlichen Daten, Chats und Statusmeldungen zugreifen. Und das bereits seit mehreren Jahren. Zum Glück lässt sich das Datenleck mit wenigen Schritten stopfen.
Das Facebook-Datenleck stopfen und Facebook wieder sicher machen
Darum geht es: Seit 2007 gibt es bei Facebook Mini-App für Spiele wie Farmville, Umfragen oder andere Spaß- und Mitmachangebote. Rund 20 Millionen Facebook-Apps werden täglich installiert. Wer die Facebook-Apps nutzen möchte, muss zustimmen. Bislang wurde bei der Zustimmung dem App-Entwickler der Zugangs-Schlüssel (access token) zum eigenen Facebook-Account übergeben. Und der funktioniert wie ein Ersatzschlüssel zu den kompletten Facebook-Daten eines Users. Wer den Zugangs-Schlüssel hat, kommt mitunter ohne Kennwort ans komplette Facebook-Profil.
Leck gestopft – aber das reicht nicht
Inzwischen hat Facebook die Sicherheitslücke gestopft und übergibt keine neuen Access-Tokens mit umfangreichen Zugangsberechtigungen mehr. Damit ist die Sache aber nicht erledigt. Denn alle alten Zugangsschlüssel behalten ihre Gültigkeit – und erlauben weiterhin den Zugriff auf sämtliche Profildaten.
Sicher ist sicher: Kennwort ändern
Um auch diese letzte Lücke zu schließen, gibt es eine einfache Möglichkeit: Ändern Sie Ihr Facebook-Kennwort, um damit gleichzeitig die alten Access-Tokens ungültig zu machen. Um das Facebook-Kennwort zu ändern, klicken Sie oben rechts auf „Konto | Kontoeinstellungen“. Anschließend klicken Sie in der Zeile „Passwort“ auf „Ändern“ und vergeben ein neues Kennwort. Das Access-Token-Datenleck ist damit vollständig geschlossen.
Update: Mittlerweile hat Facebook das Datenleck gestopft. Die Sicherheitslücke gibt es nicht mehr.
Cookie-Zustimmung verwalten
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
Funktional Immer aktiv
Die technische Speicherung oder der Zugang ist unbedingt erforderlich für den rechtmäßigen Zweck, die Nutzung eines bestimmten Dienstes zu ermöglichen, der vom Teilnehmer oder Nutzer ausdrücklich gewünscht wird, oder für den alleinigen Zweck, die Übertragung einer Nachricht über ein elektronisches Kommunikationsnetz durchzuführen.
Vorlieben
Die technische Speicherung oder der Zugriff ist für den rechtmäßigen Zweck der Speicherung von Präferenzen erforderlich, die nicht vom Abonnenten oder Benutzer angefordert wurden.
Statistiken
Die technische Speicherung oder der Zugriff, der ausschließlich zu statistischen Zwecken erfolgt.Die technische Speicherung oder der Zugriff, der ausschließlich zu anonymen statistischen Zwecken verwendet wird. Ohne eine Vorladung, die freiwillige Zustimmung deines Internetdienstanbieters oder zusätzliche Aufzeichnungen von Dritten können die zu diesem Zweck gespeicherten oder abgerufenen Informationen allein in der Regel nicht dazu verwendet werden, dich zu identifizieren.
Marketing
Die technische Speicherung oder der Zugriff ist erforderlich, um Nutzerprofile zu erstellen, um Werbung zu versenden oder um den Nutzer auf einer Website oder über mehrere Websites hinweg zu ähnlichen Marketingzwecken zu verfolgen.
Um dir ein optimales Erlebnis zu bieten, verwenden wir Technologien wie Cookies, um Geräteinformationen zu speichern und/oder darauf zuzugreifen. Wenn du diesen Technologien zustimmst, können wir Daten wie das Surfverhalten oder eindeutige IDs auf dieser Website verarbeiten. Wenn du deine Zustimmung nicht erteilst oder zurückziehst, können bestimmte Merkmale und Funktionen beeinträchtigt werden.
