Trends & News | News

WhatsApp plaudert Online-Status aus

Ob und wie oft man WhatsApp öffnet, will man unter Umständen lieber für sich behalten. Der Betreiber macht diese Information allerdings für jedermann zugänglich, der die Telefonnummer eines anderen kennt – selbst, wenn man das in den Datenschutzeinstellungen deaktiviert hat. Wer den Status langfristig aufzeichnet, kann mühelos auf das Nutzungsverhalten und potenziell sogar auf den Tagesablauf des Überwachten schließen. Um den Online-Status einer beliebigen Rufnummer abzurufen, muss man diese lediglich zu den Kontakten hinzufügen und ein Chat-Fenster öffnen. Der Besitzer der Rufnummer bekommt davon nichts mit und muss auch nichts bestätigen.

Bei unseren Tests hatten wir in den Datenschutzeinstellungen unter „Wer kann meine persönlichen Infos sehen“ sowohl „Zuletzt online“ als auch „Status“ auf „Niemand“ gesetzt. Unter diesen Voraussetzungen würde man eigentlich erwarten, dass der Messenger keine Informationen darüber preisgibt, ob man ihn gerade aktiv nutzt oder nicht. Trotzdem wurden wir auf einem anderen Smartphone quasi in Echtzeit über den aktuellen Status des ersten Handys informiert. Es kursiert ein Skript, mit dem man den Status auch automatisch auslesen kann. Statt direkt mit den WhatsApp-Servern zu kommunizieren, macht es in bestimmten Intervallen Screenshots vom WhatsApp-Client, der auf dem Smartphone läuft. Aus den Screenshots extrahiert es über optische Zeichenerkennung die Informationen über den Gesprächspartner. (rei)

US-Baumarktkette Home Depot gehackt

Bei einem Angriff auf das Zahlungssystem der US-Baumarktkette Home Depot haben Hacker die Daten von bis zu 56 Millionen Kreditkarten von Kunden erbeutet. Dabei handelt es sich höchstwahrscheinlich um eins der bisher größten Datenlecks dieser Art überhaupt. Angreifer hatten speziell angepasste Schadsoftware eingeschleust, die monatelang in den Filialen der Kette unentdeckt ihr Unwesen trieb und Daten kopierte. Die Kosten für die Behebung der Probleme nach dem Angriff bezifferte Home Depot auf 62 Millionen US-Dollar im laufenden Geschäftsjahr. Davon soll 27 Millionen eine Versicherung tragen. Firmenchef Frank Blake entschuldigte sich bei den Kunden.

Nach dem Bekanntwerden des Angriffs warfen ehemalige Mitarbeiter der Firma eklatante Versäumnisse bei der Absicherung der Zahlungssysteme vor. Interne Sicherheitsexperten sollen jahrelang davor gewarnt haben, dass die Zahlungssysteme angreifbar seien. Der hartnäckige Widerstand gegen diese Empfehlungen soll mehrere Mitarbeiter des Sicherheitsteams dazu gebracht haben, Home Depot zu verlassen. Auch soll die bei der Kette im Einsatz befindliche Anti-Viren-Software hoffnungslos veraltet gewesen sein; Scans seien nur unregelmäßig und nicht in allen Läden der Kette ausgeführt worden.

Darüber hinaus hatte Home Depot 2001 einen Mitarbeiter als hochrangiges Mitglied des Sicherheitsteams eingestellt, der sich der Computersabotage schuldig gemacht hatte. Nachdem er in seinem früheren Job gefeuert worden war, hatte er aus Rache das Netzwerk seiner ehemaligen Firma sabotiert und diese 30 Tage lang vom Netz genommen. Selbst als er ein Jahr später für den Vorfall angeklagt wurde, behielt er seine Position als Sicherheitschef bei Home Depot. Ihm wurde erst gekündigt, als er den Angriff auf seine alte Firma im Januar 2014 zugab. (fab)

Microsoft stellt sein Sicherheitsteam neu auf

Im Zuge der vor einigen Monaten bekannt gemachten Stellenstreichungen will Microsoft seine Trustworthy Computing Group auflösen. Noch ist nicht klar, wie viele Mitarbeiter ihren Job verlieren. Und auch die Gründe für den Umbau des in der IT-Industrie weithin geachteten Teams sind bislang nicht bekannt.

Verbleibende Mitarbeiter sollen in andere Abteilungen des Konzerns wechseln. Wichtige Funktionen des Teams, wie das Microsoft Security Response Center, das für alle Vorgänge rund um das Schließen von Sicherheitslücken verantwortlich ist, sollen erhalten bleiben. Auch sollen die Personen, die Microsofts Leitfaden zum Entwickeln von sicherer Software (Security Development Lifecycle, SDL) betreuen, weiterhin bei der Firma bleiben. Zusätzlich will man die interne Hacker-Konferenz Blue Hat weiterhin ausrichten.

Die Trustworthy Computing Group wurde 2002 von Bill Gates aus der Taufe gehoben. Sie gilt für viele als die Keimzelle der heute gängigen IT-Sicherheitsmechanismen. Microsoft hatte damals – nicht ganz freiwillig – als erstes privates Unternehmen einen regelmäßigen Updatezyklus und das automatische Verteilen der Patches eingeführt. Auch der frei verfügbare SDL dient bis heute vielen anderen Entwicklern als Blaupause. (Uli Ries/fab)

Im Oktober in Nürnberg: Security-Messe it-sa

Auch in diesem Jahr findet in Nürnberg wieder die Security-Fachmesse it-sa statt. Vom 7. bis zum 9. Oktober treffen sich auf der Messe und dem angeschlossenen Kongress Sicherheitsbeauftragte von Firmen, Hersteller von Security-Produkten und Software-Entwickler. Die Themen reichen von Cloud-Computing über Datenschutz und Datensicherung bis hin zu Computer-Forensik. Wie im letzten Jahr kostet eine Tageskarte 24 Euro, für 55 Euro kann man an allen drei Tagen teilnehmen. Die Veranstalter erwarten in diesem Jahr 380 Aussteller – was einem neuen Rekord für die Messe entsprechen würde. Unter anderem haben die parlamentarische Staatssekretärin Brigitte Zypries und Martin Schallbruch, der IT-Direktor der Bundesregierung, ihren Besuch angekündigt. Im letzten Jahr konnten die Veranstalter über 6900 Fachbesucher zählen. (fab)

ShellShock: Gravierende Lücken in der Unix-Shell Bash

Die Entdeckung einer Sicherheitslücke durch Stéphane Chazelas ist eingeschlagen wie eine Bombe: Der Entwickler hatte herausgefunden, dass Bash beliebigen Schadcode ausführt, welchen man der Shell beim Start in einer Umgebungsvariablen übergibt. Damit kann ein Angreifer Befehle auf einem System ausführen, auf das er eigentlich keinen direkten Zugriff haben sollte, und hat somit einen Fuß in der Tür, um es im schlimmsten Fall unter seine Kontrolle zu bringen. Besonders brisant macht die Lücke, dass Bash die de facto Standard-Shell auf vielen Linux-Systemen und auf Apples Mac OS ist. Und da bei Unix-ähnlichen Betriebssystemen viele Prozesse über die Shell ausgeführt werden, ist es schwer abzusehen, wie die Lücke in Zukunft missbraucht werden könnte. Wohl auch um diese Brisanz zu verdeutlichen, wurde das Problem in Anlehnung an das Kriegstrauma der Grabenkämpfe im Ersten Weltkrieg auf den Namen ShellShock getauft. Mehrere konkrete Angriffsvektoren wurden bereits identifiziert und beziehen sich hauptsächlich auf Webserver. So kann man über CGI-Skripte, die Bash verwenden, unter Umständen aus dem Netz Schadcode zur Ausführung bringen. In der Regel hätte der Exploit dann die gleichen Nutzerrechte wie der Webserver-Dienst – die lassen sich aber eventuell durch andere Lücken in der Konfiguration des Systems ausweiten. Für die meisten Desktop-Nutzer hält sich das Gefahrenpotenzial allerdings nach derzeitigem Kenntnisstand in Grenzen.

Trotzdem sollten Updates, ob der kritischen Funktion von Bash auf viele Systemen, so schnell wie möglich eingespielt werden. Ein erster Patch hatte zwar das Hauptproblem behoben, ließ sich aber mit ein paar Tricks umgehen. Ein zweiter Patch, der beide Lücken schließt, wurde daraufhin entwickelt und wurde von den großen Linux-Distributionen mit Updates verteilt. Allerdings könnten noch mehr Updates nötig werden, da viele Sicherheitsforscher nun auf die Bash schauen und weitere Probleme identifiziert haben. Auch Apple will eine aktualisierte Bash für Mac OS bereitstellen, äußerte sich bis Redaktionsschluss allerdings nicht zu einem konkreten Datum.

Einige Forscher bezeichneten die ShellShock-Lücken als „genauso schlimm wie Heartbleed“. Inzwischen werden diese von Angreifern eingesetzt, die massenweise das Netz abscannen und versuchen, Rechner zu kompromittieren, um diese dann in Botnetze einzuspannen. Einen Lichtblick bringt der Umstand, dass Minimal-Linuxe mit Busybox nicht angreifbar sind – das heißt, dass viele Embedded-Systeme wie Router von der Lücke verschont bleiben, wenn sie nicht explizit Bash als Shell mitbringen. (fab)

Sicherheits-Notizen

Das Werbenetzwerk Zedo und die Google-Tochter Doubleclick sollen fast einen Monat lang Schadcode ausgeliefert haben – unter anderem auf bekannten Webseiten wie dem Musikdienst Last.fm. Vor allem Windows-XP-Rechner waren Ziel der Trojaner-Kampagne.

Eine gravierende Browser-Lücke, die es erlaubt, RSA-Zertifikate für SSL-Verbindungen zu fälschen, wurde in Googles Chrome-Browser und in Firefox geschlossen. Die Lücke geht auf Mozillas Sicherheitsbibliothek Network Security Services (NSS) zurück.

Artikel kostenlos herunterladen

Infos zum Artikel

Anzeige

Anzeige

Anzeige