Sicherheitsinfos: CNET kompromittiert und mehr… (7.2.2020)

Publiziert am 7. Februar 2020 von Günter Born

Kurzer Überblick über Sicherheitsthemen der letzten Stunden, für die ich keinen separaten Blog-Beitrag erstelle. Die Webseiten von CNET waren möglicherweise kompromittiert und lieferten Malware aus. In Yealink VoIP-Telefonen existieren Schwachstellen. Es gibt eine Phishing-Kampagne, die unter Android Google Play Protect deaktivieren und den Anubis Trojaner ausliefern kann – und einiges mehr.

Anzeige

CNET-Seite mit Malware infiziert?

Der folgende Tweet von Bleeping Computer gibt an, dass es Cyber-Kriminellen möglicherweise gelungen ist, den CNET-Seiten Malware unterzuschieben. Der Download-Link für den VSDC Video-Editor, der über CNET verteilt wurde, sei kompromittiert worden.

Die gefälschte VSDC-Site, von der der Download erfolgen sollte, bot angeblich eine Vielzahl von RATs (Remote Access Tools) und Keyloggern statt des Video Editors an. Das Merkwürdige an der Sache: Der Link auf Dr. Web führt nun auf eine leere Seite und ich habe dort auch nichts dergleichen gefunden. Falls wer zufällig den VSDC heruntergeladen haben sollte, mal mit Virenscannern überprüfen – aber möglicherweise ist es nur ein falscher Alarm.

Phishing Angriff blockiert Google Play Protect

Sicherheitsforscher sind auf eine Phishing-Kampagne gestoßen, die unter Android den Google Play Protect-Schutzmechanismus deaktiviert und den Anubis Trojaner ausliefert.

Der Anubis-Banktrojaner kann Informationen aus mehr als 250 Bank- und Shopping-Anwendungen stehlen, wie Bleeping Computer in dem oben verlinkten Artikel erläutert. Die Phishing-Kampagne nutzt eine hinterhältige Methode, um die potenziellen Opfer dazu zu bringen, die Malware auf ihren Geräten zu installieren: Die Nutzer werden aufgefordert, Google Play Protect zu aktivieren. Geben die Nutzer diese Option nach der Erteilung von Berechtigungen für die App frei, wird Google Play in Wahrheit auf dem Gerät deaktiviert.

Nachdem der Benutzer die heruntergeladene APK installiert hat ung gefragt wurde, ob er Google Play Protect verwenden möchte, wird das Gerät des Opfers mit dem Anubis-Trojaner infiziert.

Um die Malware zuzustellen, verwenden die Angreifer einen bösartigen Link, der in die Phishing-E-Mail eingebettet ist und eine APK-Datei herunterlädt, die als Rechnung getarnt ist, wie Sicherheitsforscher von Cofense herausgefunden haben.

Anzeige

Schwere Sicherheitslücke bei Yealink VoIP-Telefonen

Keine Ahnung, ob Yealink VoIP-Telefone in Deutschland im breiten Einsatz sind. Das Sicherheitsunternehmen VTrust hat jedenfalls Sicherheitslücken im Autoprovisioning aufgedeckt. Angreifer können auf die VoIP-Zugangsdaten, Anruferlisten, Telefonbücher, Tastenbelegungen und andere spezifische Daten zugreifen. VTrust hatte heise im November 2019 auf die Schwachstellen hingewiesen – der Hersteller reagierte wohl sehr schleppend auf Meldungen von heise. Die Details lassen sich in diesem heise-Artikel nachlesen.

Kritische Bluetooth-Schwachstelle in Android

In Android gibt es eine kritische Bluetooth-Schwachstelle, die am Montag durch ein Sicherheitsupdate geschlossen wurde. Aber viele Nutzer werden kein solches Update bekommen.

Bleeping Computer weist in obigem Tweet auf die Schwachstelle hin und verlinkt auf einen Artikel mit Details. Android 10 ist von CVE-2020-0022 wohl nicht so stark betroffen, da dort ein Absturz erfolgt. Bei ZDNet gibt es einen weiteren Artikel zum Thema.

Ergänzung: Von Jonathan Knudsen, Senior Security Strategist bei Synopsys habe ich noch einen Kommentar zur Schwachstelle erhalten: Die Veröffentlichung von CVE-2020-0022 hebt drei Schlüsselaspekte der heutigen Cybersicherheitslandschaft hervor.

Erstens: Die verwendete Software ist abhängig von einer riesigen Lieferkette von Softwarekomponenten. Schwachstellen in einer Komponente haben eine weit reichende Auswirkung auf die nachgelagerte Software. Die Schwachstelle liegt hier im Bluetooth-Subsystem von Android […]. Nicht alle Versionen von Android sind davon betroffen, aber die Auswirkungen sind dennoch erschütternd.

Zweitens sind Updates von entscheidender Bedeutung. CVE-2020-0022 kann von jedem, der sich in Reichweite Ihres anfälligen Telefons befindet und Ihre Bluetooth-MAC-Adresse herausfinden kann, ausgenutzt werden. Als Benutzer ist es wichtig, über Aktualisierungen auf dem Laufenden zu bleiben und sie rechtzeitig anzuwenden. Leider gibt es für viele anfällige, etwas ältere Android-Geräte keinen kontinuierlichen Software-Aktualisierungs-Support vom Hersteller, was bedeutet, dass Benutzer mit zwei unattraktiven Optionen konfrontiert werden: entweder Bluetooth vollständig deaktivieren oder ein neueres Gerät kaufen.

Schließlich ist die Art und Weise, wie die Schwachstelle lokalisiert wurde, wichtig: Die Entdeckung erfolgte durch Fuzzing. Fuzzing ist eine Sicherheitstesttechnik, bei der absichtlich fehlerhafte Eingaben an ein Zielsystem geliefert werden, in der Hoffnung, einen Fehler zu verursachen. Es ist eine äußerst effektive Technik zur Lokalisierung von Schwachstellen in Software und als solche sowohl bei Angreifern als auch bei sicherheitsbewussten Produktteams beliebt. Wir hoffen, dass die Fuzzing-Techniken, die CVE-2020-0022 gefunden haben, in das Testschema für das Android-Bluetooth-Subsystem aufgenommen werden.

Weitere japanische Unternehmen gehackt

Nachdem der Hack von Mitsubishi bekannt wurde (siehe Mitsubishi Electric: Hack per Trend Micro OfficeScan 0-day), kristallisiert sich nun heraus, dass mindestens vier japanische Unternehmen, die im Verteidigungsbereich Aufträge abwickeln, gehackt wurden. Catalin Cimpanu listet die betreffenden Firmen nachfolgend auf.

Details finden sich bei Bleeping Computer in diesem Artikel. Und laut ZDNet warnt Malaysia vor einer einer chinesischen Hacking-Welle der APT40-Gruppe.

Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen
Dieser Beitrag wurde unter Android, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

2 Antworten zu Sicherheitsinfos: CNET kompromittiert und mehr… (7.2.2020)

  1. Joe_Gerhard sagt:
    7. Februar 2020 um 23:11 Uhr

    Yealink Telefone bekommt man z.B. bei der deutschen Telekom. Man kann sie kaufen oder mieten zu einer Cloudtelefonanlage z.B. Die Telefone funktionieren super und die Verständigung ist oft fast schon zu gut. Alle sind hier sehr zufrieden damit.
    Wir hoffen hier, dass die Telekom schnell reagiert.

    Antworten
  2. Frank M. sagt:
    8. Februar 2020 um 16:17 Uhr

    Auch in Verbindung mit NFON Cloudtelefonanlagen (z.B. Cloudya) sind Yealink Telefone beliebt.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.