Schlagwort: sicherheitsluecke

  • Android: Handy-Sperre mit Skype umgehen

    Trotz Sperrcode auf deinem Androiden, ist dein Handy angreifbar, wenn darauf der Skype-Messenger installiert ist. Das hat der Sicherheitsforscher Florian Kunushevci im Dezember 2018 herausgefunden.

    Es reicht einfach das Annehmen eines Skype-Anrufs um die Sicherheitssperren zu umgehen. Dann kann man problemlos auf Kontakte und Fotos zugreifen. Ebenso lassen sich Nachrichten versenden, der Webbrowser öffnen und so weitere Schadsoftware auf´s Handy herunterladen.

    Wie einfach so ein Angriff aussieht, kannst du dir in einem Video seines YouTube-Kanals ansehen.

    Kunushevci empfiehlt darauf zu achten, dass Skype auf aktuellen Stand upgedatet wird.

  • CryptoLocker ist wieder da. Diesmal erpresst er Geld für die Freischaltung von Spielen.

    Der Erpresser-Trojaner CryptoLocker ist seit ein paar Wochen wieder verstärkt aktiv. Diesmal erpresst die neue Variante des CryptoLocker Geld von Spielern. Er sperrt auf dem Rechner befindliche Games und fordert einen Betrag der in Bitcoin zu zahlen ist. Erst danach sollen die Spiele wieder freigegeben werden. Ob das aber wirklich geschieht, ist auch diesmal nicht sicher. Sicher ist nur, dass Online-Games ebenso betroffen sind wie Single-Player-Spiele. Aber es gibt auch schnelle Hilfe für die befallenen Computer.

    Die Dienste FireEye und Fox IT bieten die Entschlüsselung von CryptoLocker befallenen Dateien kostenlos an.

    cryptolocker-games-spiele-erpressen-geld-encrypt-decrypt-fireeye-foxit

    Du gibst auf der Webseite www.decryptcryptolocker.com deine E-Mail-Adresse ein und lädst die befallene Datei über den Button Choose File zu dem Onlinedienst hoch.

    Danach erhälst du einen Freischalt-Code, sowie einen Link zum Recovery Programm, mit denen du dann die befallenen Spiele-Dateien säubern kannst.

    Wie auch in der Vergangenheit, so ist auch in diesem Fall eine Sicherheitslücke im Flashplayer für die Verbreitung des CryptoLocker-Trojaners verantwortlich. Daher ist es immens wichtig, den Flashplayer immer auf dem aktuellsten Stand zu halten.

  • Sicherheitslücke in den meisten Samsung-Smartphones

    Im März 2014 haben haben Mitglieder des Replicant-OS-Teams eine schwerwiegende Sicherheitslücke in fast allen Samsung-Handys festgestellt. Neben allen Galaxy-Geräten sind auch Modelle betroffen, die Samsung für andere Kunden produziert (z. B. Nexus S). Die Sicherheitslücke ist eine Hintertür im Android-Betriebssystem, mit dem der Hersteller ständigen Remote-Zugriff auf jedes Gerät erhält. Auf der Replicant-Webseite wurden dazu die kompletten verfügbaren Steuerbefehle und eine Gegenmaßnahme veröffentlicht.

    Das Entwickler-Team des alternativen Replicant-Betriebssystems haben einen inoffiziellen Patch entwickelt, der diese eklatante Sicherheitslücke schließt und auf ihrer Webseite zum Download bereitgestellt.

    Wir empfehlen aber für den Fall, dass Sie die Backdoor Ihres Handys schließen wollen, Ihr Samsung-Handy von einem Fachmann kontrollieren und den Patch aufspielen zu lassen. Andernfalls ist die Gefahr der Unbrauchbarkeit Ihres Telefons sehr hoch.

  • DropBox-Sicherheitslücke: Unberechtigter Zugriff auf geteilte Dateien möglich

    Im DropBox-Blog informiert der CloudAnbieter über eine aktuelle Sicherheitslücke bei Links zu geteilten Dateien. Bei geteilten Links zu DropBox-Dateien kann normalerweise nur derjenige auf die Datei zugreifen, der über den geteilten Link verfügt. Ein Bug sorgt allerdings dafür, dass auch andere auf die Datei zugreifen können – selbst wenn diese den Link zur geteilten Datei nicht kennen.

    Kritisch: Links in der Datei

    In der DropBox können Sie zu Dateien und Ordner Links teilen und an Freunde und Bekannte weitergeben. Nur wer den Link hat, kann auf die Datei zugreifen. Problematisch wird es, wenn das Dokument einen Link zu einer anderen Webseite enthält. Wird die Datei zum Beispiel vom Freund geöffnet und klickt dieser auf den Link innerhalb des Dokuments, kann der Webseitenbetreiber (der Webseite, zu der der Link führt) im Referer Header den Link zur Dropbox-Dateien sehen – und ebenfalls auf die geteilte Webseite zugreifen.

     

    Bislang konnte Dropbox noch kein Ausnutzen der Sicherheitslücke feststellen, informiert im Blog aber vorsorglich über die Lücke. Dropbox hat bereits reagiert und die Lücke geschlossen. Für alle ab sofort neu generierten Links zu geteilten Dateien besteht die Sicherheitslücke nicht mehr. Zudem hat hat Dropbox vorsorglich alle bisher geteilten Links, die von der Lücke betroffen sind, deaktiviert. Wer den Link weiter nutzen möchte, muss einen neuen Link anlegen und teilen, der wieder wie gewohnt funktioniert, aber nicht mehr von der Sicherheitslücke betroffen ist.

  • „Nach Hause telefonieren“: Welches Gerät und welche Software kommuniziert mit dem Hersteller oder anderen Internet-Servern?

    In den letzten Monaten haben wir uns schon fast daran gewöhnt, dass jede Woche neue Abhörmethoden der Geheimdienste bekannt werden. Fakt ist, dass die NSA den Herstellern und Softwarefirmen, teilweise offiziell, wichtige Bauteile und Programme für deren Produkte liefert, die das Spionieren wesentlich erleichtert.  Das im Wesentlichen von Anwendern gestaltete Anti-Spionage-Wiki „Telefoniert-nach-Hause.de“ listet  Geräte und Programme auf, die ohne Wissen ihrer Besitzer mit Herstellern und mit anderen Internet-Servern kommunizieren.

    Es gibt ebenfalls Berichte, dass die US-Geheimdienste, amerikanische Firmen und Firmen die ihre Produkte in den USA verkaufen wollen, genötigt und „erpresst“ worden sein sollen, diese Spionagebauteile und -programme zu verwenden. Andernfalls würden die Verkaufslizenzen nicht erteilt. Aber nicht nur Geheimdienste wollen unsere Daten, auch die Hersteller und verschiedene andere Unternehmen wollen unsere persönlichen Daten abschöpfen.

    Das Antischnüffel-Wiki „www.telefoniert-nach-hause.de“ listet Geräte, Programme, Webbrowser, Rabattkarten und vieles mehr auf, die Ihre Daten verschlüsselt oder auch unverschlüsselt weiterleiten.

    Bei den meisten Einträgen wird auch eine Indikation der Schwere von Sicherheitslücken angezeigt. Dabei werden insgesamt fünf Kategorien vergeben:

    1. Unbedenklich (0/4)
    2. Leicht (1/4)
    3. Mittel (2/4)
    4. Schwer (3/4)
    5. Katastrophal (4/4)

    Teilweise werden sogar Lösungswege aufgezeigt, wie beispielsweise bei den Android System-Apps. Diese lassen sich auf normalem Wege nicht vom Smartphone entfernen.

    Apps wie Facebook, PlayStore und Google+ kontaktieren täglich mehrfach die Server um nach Updates zu suchen. Welche Daten dabei ausgetauscht werden weiß niemand so genau. Diese Apps lassen sich beispielsweise mit „Titanium Backup Root“ leicht entfernen.

    Nehmen Sie sich mal ein bisschen Zeit, auf der Webseite von „www.telefoniert-nach-hause.de“ zu stöbern. Sie werden über die Anzahl von Geräten überrascht sein, die Daten unbemerkt weiterleiten. Sogar Bügeleisen aus China sollen dabei sein. Bislang ist das aber noch ein Gerücht.

  • USB sperren: Fremde USB-Sticks am eigenen Computer nicht zulassen

    Fremde USB-Sticks sind oftmals ein Sicherheitsrisiko, wenn man deren Ursprung nicht kennt. Professionelle Cyber-Kriminelle platzieren sogar gezielt USB-Sticks vor Firmeneingängen, wo sie „zufällig gefunden“ werden sollen, um so Viren in Firmennetzwerke einzuschleusen. Und auch die eigenen Kinder können mit Viren infizierte Sticks von Freunden mitbringen und am heimischen Computer anschließen. Dies kann man recht einfach verhindern.

    Die Windows-Datei usbstor.inf ist für die Erkennung und Installation der USB-Treiber verantwortlich und muss deaktiviert werden.

    Öffnen Sie dazu den Windows-Explorer mit der Tastenkombination [Windows][E]. Navigieren Sie zum Verzeichnis „C:\Windows\Inf“. Hier finden Sie die verantwortliche Datei usbstor.inf.

    Markieren Sie diese Datei, drücken Sie die Taste [F2] oder öffnen per Rechtsklick das Kontextmenü und benennen die Datei um. Es reicht vollkommen, dem Dateinamen eine Ziffer hinzuzufügen. Das Ergebnis könnte dann wie folgt aussehen: usbstor.inf9

    Die Warnmeldung, dass die Datei unbrauchbar werden könnte, bestätigen Sie mit „Ja“.

    Ab sofort werden keine unbekannten USB-Sticks mehr zugelassen. Die in der Vergangenheit mit diesem Computer verwendeten USB-Sticks sind aber weiterhin funktionsfähig, da dessen Treiber auf Ihrem Rechner gespeichert sind.

    Wenn neue USB-Sticks in Betrieb genommen werden sollen, dann wiederholen Sie die obigen Arbeitsschritte und geben der Datei wieder ihren normalen Namen (usbstor.inf) zurück.

  • FritzBox-Sicherheitslücke: Nicht nur der Fernzugriff ist betroffen

    Bislang hat der FritzBox-Hersteller AVM immer betont, dass die Sicherheitslücke (wir berichteten) nur Router betreffen, in denen der Fernzugriff aktiviert ist. Das Sicherheitsteam von heise Security hat jedoch herausgefunden, dass es auch ohne Fernzugang möglich ist, eine FritzBox mit veralteter Firmware zu kapern. Der Aufruf einer präparierten Webseite genügt. Daher die Empfehlung an alle FritzBox-Besitzer: unbedingt die Firmware der Fritz!Box aktualisieren – auch wenn man den Fernzugang nicht nutzt.

    Sicherheitslücke betrifft alle FritzBox-Besitzer

    Das Kapern einer FritzBox ist laut heise auch mit deaktiviertem Fernzugriff möglich. Das macht das Sicherheitsleck deutlich gefährlicher als bisher angenommen. Heise hat die Lücke mit einem Sicherheitsexperten analysiert und intern bewiesen, dass die Lücke nichts mit der Fernsteuerfunktion zu tun hat. Für den Angriff reicht der Aufruf einer Webseite mit entsprechendem Schadcode. Durch den Hack können Angreifer beliebige Befehle mit Root-Rechten auf der Box ausführen.

    Zum Beweis hat heise eine Proof-of-Concept-Webseite entwickelt, über die FritzBoxen angegriffen und gekapert werden können. Wird die präparierte Webseite aufgerufen, werden auf der FritzBox automatisch Hacker-Befehle ausgeführt, die unter anderem die Konfigurationsdatei der Box auf einen externen Server kopiert – inklusive sensiblen Daten wie dem Administratorpasswort und den DSL- und DynDNS-Zugangsdaten.

    Firmware-Update schließt die Lücke

    Die gute Nachricht: ein Firmware-Update auf die aktuellste Firmware-Version schließt die Sicherheitslücke. Daher unsere Empfehlung: auch wenn in Ihrer FritzBox die Fernsteuerfunktion deaktiviert ist, sollten Sie unbedingt die Firmware der Box aktualisieren. Das geht ganz einfach. Eine genaue Schritt-für-Schritt-Anleitung finden Sie hier.

  • TIFF-Bilder transportieren den Banking-Trojaner „Citadel“

    Derzeit wird bei Microsoft vor einer gravierenden Sicherheitslücke bei TIFF-Bildern gewarnt. Die Dateien werden von Kriminellen mit dem Banking-Trojaner „Citadel“ versehen, um an die Benutzerrechte des infizierten Computers zu gelangen. Bis zur endgültigen Lösung des Problems bietet Microsoft einen Fix-it-Patch an, der das schlimmste verhindern soll.

    Im Security TechCenter werden im „Microsoft Security Bulletin MS13-096-Kritisch“ weitere Informationen über die Remotecodeausführung bereitgestellt. Ebenfalls können hier die Patches für die betroffenen Programmteile kostenlos heruntergeladen werden.

    Die Fix-it-Notlösung verhindert die Anzeige der TIFF-Bilder komplett. Bleibt nur zu hoffen, dass Microsoft die Sicherheitslücke schnell schließt.

  • FritzBox Sicherheitslücke: AVM warnt vor Telefonmissbrauch und gekaperten Fritzboxen. So schützt man sich.

    FritzBox-Benutzer? Dann aufgepasst: AVM warnt in einem aktuellen Sicherheitshinweis vor einem möglichen Missbrauch der FritzBoxen. Der Hersteller der FritzBox-Router geht derzeit einigen Dutzend Hinweisen nach, nach denen Hacker in FritzBoxen heimlich kostepflichtige Rufumleitungen eingerichtet haben. Mögliche Folgen: horrende Telefonkosten.

    Teure Rufumleitungen in der FritzBox

    Laut AVM passiert beim Angriff folgendes: Die Hacker greifen von außen auf den Router zu und richten im Telefonmodul kostenpflichtige Mehrwertdienste wie teure 0900-Rufnummern ein. Wird über die FritzBox telefoniert, wählt die Box nicht direkt die Zielrufnummer, sondern leitet sie über teure Rufnummern der Mehrwertdienste um. Der Betreiber der Mehrwertdienste macht sich die Taschen voll, während die eigene Telefonrechnung in astronomische Höhen getrieben wird.

    Der Angriff sei aber nur dann möglich, wenn der Angreifer die Kombination aus Mail-Adresse oder FritzBox-Benutzername, die IP-Adresse der FritzBox sowie die Kennwörter für den Fernzugang der FritzBox-Oberfläche verfügt. Das kann im Zusammenhang mit den 16 Millionen gestohlenen digitalen Identitäten durchaus möglich sein. Zwar ist der Zugriff von außen nur möglich, wenn der HTTPS-Fernzugriff (Port 443) oder der MyFritz-Dienst im Router aktiviert ist – allerdings haben die untersuchten Fälle anscheinend gezeigt, dass solche Zugriffe bereits erfolgt sind.

    Was kann man tun?

    Derzeit scheinen der Fernzugriff und der MyFritz-Dienst die Schwachstelle zu sein. AVM empfiehlt sicherheitshalber sofort die Passwörter für den Fernzugriff und MyFritz-Dienst zu ändern. Unsere Empfehlung: Wer auf Nummer sicher gehen möchte, sollte den Fernzugriff im Bereich „Internet | Freigaben“ der Fritz-Konfigurationsoberfläche komplett ausschalten. Hier sollte der Haken bei „Internetzugriff auf die FritzBox über HTTPS aktiviert“ entfernt werden. Dann kann garantiert niemand von außen auf die FritzBox zugreifen.

    Im nächsten Schritt sollte man sicherheitshalber die Kennwörter aller FritzBox-Benutzer ändern. Das geht ganz einfach im Bereich „System | Fritz!Box-Benutzer“. Löschen Sie hier zunächst alle unbekannten Benutzer. Danach klicken Sie auf die Bearbeiten-Schaltfläche der Benutzer und vergeben ein neues Kennwort. Wer sicher gehen möchte, dass dieser Benutzer nicht übers Internet auf die FritzBox zugreifen kann, sollte das Häkchen bei „Zugang auch aus dem Internet erlauben“ deaktivieren.

    Weitere Informationen und aktuelle Entwicklungen zur Sicherheitslücke liefert AVM auf der Seite Sicherheit mit AVM.

    Bin ich betroffen?

    Ob die eigene FritzBox bereits angegriffen und heimlich Rufnummern oder IP-Telefone installiert wurden, lässt sich in der Konfigurationsoberfläche leicht überprüfen. Dazu wechseln Sie in den Bereich „Telefonie | Telefoniegeräte“. Prüfen Sie hier, ob hier unbekannte IP-Telefone auftauchen, und löschen Sie diese umgehend.

    Danach werfen Sie einen Blick in den Bereich „Telefonie | Rufbehandlung“ und wechseln in die Registerkarte „Rufumleitung“. Wurde die FritzBox angegriffen, tauchen hier internationale Rufumleitungen auf. Löschen Sie diese über die X- bzw. Löschen-Schaltfläche. Anschließend ins Register „Callthrough“ wechseln und die Option „Callthrough aktivieren“ ausschalten.

    Wer keine Auslandstelefonate führt, kann sicherheitshalber eine Rufsperre für internationale Auslandstelefonate einrichten. Dazu in den Bereich „Telefonie | Rufbehandlung“ wechseln, auf „Neue Rufsperre klicken“, den Bereich „Ausland“ auswählen und mit OK bestätigen.

  • FileZilla mit Trojaner: Gehackte FileZilla-Version stiehlt Login-Daten

    Wer für den FTP-Versand den kostenlosen FTP-Client „FileZilla“ verwendet, muss aufpassen. Der Virenschutz-Hersteller Avast hat manipulierte FileZilla-Versionen entdeckt, die heimlich Zugangsdaten ausspionieren und unbemerkt an Hacker verschicken. Die gefälschten Versionen sind so gut gemacht, das sie kaum als Trojaner auffallen.

    Vorsicht vor Versionen 3.7.3 und 3.5.3

    Avast warnt im hauseigenen Blog vor gefälschten FileZilla-Versionen mit den Versionsnummern 3.7.3 und 3.5.3. Die trojanisierten FileZilla-Versionen werden vor allem auf dubiosen Download-Portalen angeboten, die optisch kaum von der Original-Download-Seite (https://filezilla-project.org) zu unterscheiden sind.

    Auch die gehackte Version selbst unterscheidet sich nur minimal vom Original. Unter „Hilfe | Über“ ist bei der Fälschung zum Beispiel eine ältere SQLite/GnuTLS-Version angegeben oder die Angabe fehlt gänzlich. In der Zeile „GnuTLS“ taucht in der gefälschten Version zum Beispiel die Versionsnummer 2.8.6 statt der korrekten Angabe 3.1.11 auf.

    Wer eine gefälschte FileZilla-Version verwendet, ist schnell seine Zugangsdaten los. Die gestohlenen Login-Daten werden an der Firewall vorbei per FTP an einen Server in Deutschland mit der IP-Adresse 144.76.120.243 geschickt; die zugehörigen Domains wurden in Russland bei Naunet.ru registriert, die bereits in der Vergangenheit in Sachen Spam und Malware für Aufsehen gesorgt haben.

    Was sollte man jetzt tun? Zuerst sollte man prüfen, ob auf dem eigenen Rechner eine der gefälschten Varianten mit den Versionsnummern 3.5.3 oder 3.7.3 zum Einsatz kommen. Ein Blick ins Menü „Hilfe | Über“ und auf die Zeilen „GnuTLS“ sowie „SQLite“ verschafft Gewissheit, ob es sich um eine gefälschte Version handelt. Falls die Hackerversion installiert ist, sollten Sie unbedingt diese Version deinstallieren und durch die offizielle Version von der offiziellen FileZilla-Seite https://filezilla-project.org ersetzten. Ebenfalls wichtig: Ändern Sie sämtlich FTP-Zugangsdaten, da die Hacker vermutlich bereits im Besitzt der alten Logins sind.

    FileZilla speichert Kennwörter im Klartext

    Wer FileZilla einsetzt, sollte zudem eines wissen: FileZilla speichert sämtliche Login-Daten nicht verschlüsselt, sondern im Klartext. Welche Brisanz das birgt, haben wir im Tipp „FilleZilla speichert Kennwörter unverschlüsselt“ dargestellt. Hier erfahren Sie auch, wo die Datei mit den Logins liegt wie und warum man das automatische Speichern der Kennwörter besser deaktiviert.

Die mobile Version verlassen