Sicherheit: Linux DHCP-Client und Signal-Messenger und mehr

Publiziert am 17. Mai 2018 von Günter Born

Noch einige kurze Sicherheitsinformationen, die mir die Tage unter die Augen gekommen sind. Red Hat Linux und Derivate wie Fedora haben u.U. eine kritische Code-Injection-Schwachstelle im DHCP-Client. Und im Signal-Messenger gibt es Schwachstellen in der Client App, die ein Aufbrechen der Verschlüsselung und ein Abziehen der Nachrichten im Klartext ermöglichen. Zudem gibt es einen Hack der Firma Securus (die helfen der US-Polizei Mobilgeräte in den USA zu tracken). Und in Australien ist Google mit Android wegen Datensammelei unter Druck.

Anzeige

Red Hat: Schwachstelle im Linux DHCP-Client

Felix Wilhelm vom Google-Sicherheitsteam ist auf einen Fehler im DHCP-Client von Red Hat Linux und dessen Derivaten wie Fedora gestoßen. Dies geht aus dieser Twitter-Meldung hervor.

Redhat hat hier einen Artikel zu CVE-2018-1111 veröffentlicht, der die als kritisch eingestufte Schwachstelle in Red Hat Enterprise Linux 6 and 7 beschreibt. Angreifer, mit einem bösartigen DHCP-Server oder einer Verbindung zum selben Netzwerk wie das Opfer, können einen Implementierungsfehler ausnutzen, indem sie DHCP-Antworten fälschen. Diese ermöglichen es schließlich, beliebige Befehle mit Root-Rechten auf dem System des Opfers auszuführen, auf dem der gefährdete DHCP-Client läuft.

Ein Proof of Concept existiert inzwischen ebenfalls. Redhat hat entsprechende Updates zum Schließen der Sicherheitslücken für Red Hat Enterprise Linux 6 and 7 bereitgestellt. Details sind im Redhat-Artikel sowie bei The Hacker News nachlesebar.

Probleme mit dem Signal-Messenger

Nach der eFail-Geschichte (siehe PGP und S/MIME: E-Mail-Verschlüsselung mit Sicherheitslücke) haben sich Hacker den Messenger Signal vorgenommen und geschaut, ob sich dessen Verschlüsselung aufbrechen lässt. Voriges Wochenende haben die Entwickler des Messengers Signal ein Update für den Windows- und Linux-Client herausgegeben, der eine Code-Injection-Schwachstelle in der App beheben soll. The Hacker News hatte in diesem Artikel darüber berichtet.

In diesem Blog-Post einer argentinischen Hackergruppe ist man auf das Thema eingegangen und teilt mit, dass man gleich eine neue Schwachstelle in der Verschlüsselung der App gefunden habe. The Hacker News hat dies in diesem Artikel aufgegriffen und geht in diesem Beitrag auf das Thema ein, dass die Signal Desktop-App Angreifern ermöglicht, Chats im Klartext abzuziehen. Das obige Video zeigt diesen Angriff.

Hack der Firma Securus

Zum Abschluss noch eine kurze Meldung, die keine praktische Relevanz für euch Blog-Leser hat. Die Firma Securus ermöglicht den Strafverfolgern in den USA so gut wie jedes Mobilgerät im Land zu tracken. Ein Hacker ist jetzt in die Server von Securus eingedrungen und konnte wohl Daten entwenden. Der Hacker hat Motherboard Teile dieser Daten bereitgestellt. Mit dabei: Nutzernamen, schwach abgesicherte Passwörter und tausende Adressen von staatlichen Stellen, die mit Securus zusammen arbeiten. Details lassen sich bei Interesse hier nachlesen.

Anzeige

Google: Heimliche Datensammlung von Mobilgeräten?

Vor einigen Tagen enthüllte das Medium The Australian (Site leider nur nach Registrierung abrufbar) einen Datenskandal in Australien. Von Oracle war eine Untersuchung über digitale Plattformen durchführt worden. Anlass der Untersuchung waren die Bedenken australischer Medienunternehmen hinsichtlich der Auswirkungen von Google und Facebook auf den Werbemarkt.

In einer Oracle-Präsentation vor dem ACCC (Australian Competition and Consumer Commission) wurde bekannt, dass Google jeden Monat ein Gigabyte an Daten von Geräten in Australien sammeln könnte.

Entsprechend der Oracle-Präsentation an das ACCC senden Android-Geräte detaillierte Informationen über Suchanfragen und was angezeigt wird. Sie können aber auch genaue Orte senden, selbst wenn die Ortungsdienste ausgeschaltet sind, und sie haben keine Sim-Karte oder Apps installiert. Der britische Guardian berichtete hier über den Fall.

Das ist eigentlich nichts neues und sollte eigentlich jedem Android-Nutzer bekannt sein. In Australien kocht das Thema jetzt aber wohl öffentlich hoch. Denn die Datenübermittlung für die 10 Millionen Android-Nutzer in Australien wirft nicht nur neue Datenschutzbedenken auf. Es wird auch argumentiert, dass die betreffenden Nutzer ihre Telekommunikationsanbieter für das Versenden von Daten bezahlen (ist in Deutschland auch so). Das würde bedeuten, dass die australischen Nutzer wohl Millionen an ihre Telekommunikationsanbieter zahlen, damit Google die von Oracle geschätzten Gigabyte pro Monat mobil übertragen können. Jetzt hat die australische Wettbewerbsbehörde (Australian Competition and Consumer Commission) eine formale Untersuchung des Sachverhalts eingeleitet.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter App, Linux, Sicherheit abgelegt und mit , , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.