Sicherheitsinfos zum 12. August 2016

Heute noch ein Sammelbeitrag zu Sicherheitsthemen dieser Woche, die liegen geblieben sind. Auch diese Woche hat es sicherheitstechnisch wieder heftig geknallt – und es kann eine partielle Entwarnung wegen des Android Qualcomm QuadRooter-Lücke gegeben werden.


Anzeige

Ich bringe die Zusammenfassung am heutigen Freitag aus zwei Gründen. Heute stehen wir vor dem “Wochenende” und morgen wäre der 13., was für aber Gläubige ganz schlecht ist.

Qualcomm QuadRooter-Lücke in Android weniger gefährlich

Zuerst einmal die halbwegs gute Nachricht. Die Woche hatte ich im Blog-Beitrag 900 Mio. Qualcomm Android-Geräte haben “QuadRooter” Schwachstelle über ein fettes Problem berichtet. Android-Geräte mit Qualcomm Chips sind über deren Treiber angreifbar und daher unsicher. Die Lücke wurde von Sicherheitsforschern aufgedeckt. Nun gibt Google Entwarnung. In einem Interview mit AndroidCentral weist Google auf ein seit Android 4.2 vorhandenes Sicherheits-Feature hin. Dieses ermöglicht es, Apps bei der Installation zu verifizieren. So kann Google Apps mit QuadCopter-Code identifizieren und blockieren. Die Lücke wird also nicht geschlossen (was ich in meinem Artikel kritisiert habe), aber Google blockt entsprechende Apps (oder gibt dies zumindest vor). Bei Interesse könnt ihr bei heise.de diesen deutschsprachigen Artikel lesen, der sich mit dem Thema (auf Basis des AndroidCentral-Beitrags befasst).

Google beerdigt Flash – noch ein bisschen mehr

Der Abschied von Adobe Flash wird kommen, fragt sich nur wann. Google hat im Chrome-Blog bekannt gegeben, dass man mit dem Chrome Browser 53 ab September 2016 Flash-Module, die hinter den Kulissen laufen, blockieren werde. Ab Dezember 2016 wird der Chrome Browser 55 Flash dann komplett blocken und auf HTML 5 setzen. Wer es lieben in Deutsch liest, heise.de hat die Infos hier zusammen gezogen.

Microsoft beerdigt RC4 – und schließ PDF-Lücke

Zum August-Patchday hat Microsoft auch die RC4-Verschlüsselung im Internet Explorer und im Edge-Browser eingestellt (siehe Microsoft Patchday: Updates August 2016). Dieser Schritt war lange angekündigt und von anderen Browser-Herstellern schon vollzogen. Bei heise.de weist man explizit im Artikel Verschlüsselung: Microsofts Edge und Internet Explorer 11 werfen RC4 über Bord auf diesen Umstand hin. Interessant fand ich die Kommentare zum heise.de-Beitrag wie diesen hier.

Im Artikel Microsoft Patchday: Updates August 2016 hatte ich darauf hingewiesen, dass Microsoft Lücken in der PDF-Bibliothek schließt und die Browser IE 11 und Edge wegen kritischer Sicherheitslücken dringend aktualisiert werden sollten. MVP Damian Dandik hat das in seinem Beitrag Sicherheitslücke bei Edge Browser: Update dringend erforderlich! separat thematisiert.

Bluetooth-Schlösser fast alle unsicher

Wer hipp ist, hat ein Smart Home. Fällt der Server aus, kommt er zwar nicht mehr aufs Klo und die Haustüre geht möglicherweise auch nicht mehr auf. Aber Server kann man ja redundant auslegen. Aber da gibt es noch die, speziell in den USA immer beliebter werdenden Bluetooth-Schlösser. Können über Bluetooth per Smartphone entsperrt werden. Nur sind die Teile extrem unsicher und laden zum “Einbruch” ein, wie auf der Def Con bekannt wurde. Der Artikel THE TERRIBLE SECURITY OF BLUETOOTH LOCKS spießt das auf: Teilweise werden Schlüssel zum Entsperren unverschlüsselt übertragen. Oder es gibt andere Lücken, die per Hack genutzt werden können. Wer sich für das Thema interessiert und das Ganze lieber in Deutsch liest, wird hier bei heise.de fündig.

Dota 2-Foren-Hack: 1,9 Millionen-Nutzerdaten abgeflossen

In diesem Artikel berichtet heise.de vom Hack des Spiele-Forum für das Spiel Dota, bei dem 1,9 Millionen Nutzerdaten abgegriffen wurden. Und angeblich sollen 80% der Kennwörter bereits geknackt worden sein. Bringt mich zur Empfehlung, sich nach Möglichkeit nirgends anzumelden (hier im Blog lasse ich zum Beispiel aus Sicherheitsgründen keine Benutzeranmeldungen zu – und sehe an Tools, wie viele Angriffsversuche es auf nicht existierende Konten gibt).

NVIDIA hat den Schuss noch nicht gehört …


Werbung

Was mich zu einer älteren Fundstelle zurückbringt, die tief in einem Ordner “aufheben und mal thematisieren” gammelte. Bereits im Juli haben die Kollegen von deskmodder.de den Beitrag NVidias Geforce benötigt in Zukunft einen Account publiziert. Heißt dann wohl, dass sich die Spieler entweder von NVIDIA verabschieden, auf Beta-Treiber verzichten, oder sich beim Hersteller anmelden. Im letztgenannten Fall verwendet ihr dann die Zugangsdaten für andere wichtige Accounts. So schlagt ihr viele Fliegen mit einer Klatsche. Ihr müsst euch nicht so viele Zugangsdaten merken – und ein Angreifer, der die Daten in die Finger bekommt, kann wenigstens was mit anfangen. Also eine Win-Win-Situation für alle Seiten.

Linux HTTP-Verbindungen gekapert

TCP-Verbindungen in Linux lassen sich wegen einer Schwachstelle im Linux-Kernel kompromittieren. Forschern ist es gelungen, sich in die Kommunikation einzuklinken und diese zu unterbinden oder zu manipulieren. Details hat z.B. heise.de in diesem Beitrag veröffentlicht.

40% der Firmen weltweit Opfer von Ransomware

Über Ransomware, also Epressungs-Trojaner hatte ich ja häufiger berichtet. Diese verschlüsseln Daten und fordern Lösegeld. Aber wie groß ist das Problem eigentlich? Einige Kliniken (siehe Hollywood-Klinik nach Ransomware-Angriff offline, Ransome-Malware legt Klinikbetrieb lahm) waren betroffen. MalwareBytes hat eine Untersuchung angestellt und ist zum Ergebnis gelangt, dass 40% der geschäftlichen Anwender weltweit bereits mit Erpressungssoftware zu tun hatten. Details lassen sich hier nachlesen.

Auto noch da, oder schon per Funkfernsteuerung geknackt?

Vor einer Woche habe ich einen Beitrag gelesen, dass das FBI in den USA zwei Hacker verhaftet habe, die Jeeps per Notebook geknackt, gestartet und dann gestohlen haben. Die teuren Exemplare wurden dann nach Mexiko vertickt. Aufgespürt wurden die Hacker durch die Überwachungskamera eines Opfers. Der “Bruch” dauerte gerade einmal 2 Minuten.

Demnächst brauchen wir viele Überwachungskameras. Was ich immer schon als “Scheiß” verflucht habe, trifft nur die ganze Branche. Keyless-Systeme, die zum Aufschließen und Entsperren der Wegfahrsperre von Autos verwendet werden, lassen sich mit einer simplen Schaltung aushebeln. Zuerst ging die Meldung, dass nur VW-Modelle betroffen wären, durch die Presse. Da habe ich noch gewitzelt, dass man seinen VW-Diesel auch offen lassen kann, den klaut doch niemand mehr. Aber zwischenzeitlich gilt es wohl als ziemlich sicher, dass sehr viele Modelle anderer Hersteller ebenfalls knackbar sind. Bei Interesse, heise.de hat hier einen Beitrag (hier gibt es einen Beitrag bei Wired). Ist wie bei Microsoft, der Scheiß wird dir als Innovation verkauft und Du zahlst auch noch kräftig für.

Sonstiges

Und noch ein paar Fundstellen für Esoteriker und Leseratten, die im Bereich Sicherheit unterwegs sind – schönes Wochenende.

Hintertür im Diffie-Hellman-Schlüsselaustausch
Datenschützer warnt vor cloudbasierten Gratis-Haushaltsbüchern
Microsoft announces new “Secure Productive Enterprise” licensing
Figures show cybercrime is a much bigger than thought before
Security software priorities shift from defence to detection and response


Anzeige

Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Ein Kommentar zu Sicherheitsinfos zum 12. August 2016

  1. sandy sagt:

    Vielen Dank für den guten und informativen Beitrag!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.