Thema
Man-in-the-Middle
HTTP Strict Transport Security als Internet-Standard
Das neue RFC 6797 beschreibt die HTTPS-Sicherung HTTP Strict Transport Security (HSTS), das Angriffe auf verschlüsselte HTTP-Verbindungen erschwert. Gegen einige der im RFC beschriebenen Attacken braucht es aber trotz HSTS noch weitere Maßnahmen.
Android-Trojaner greift mTANs ab
Eine neue Android-Malware kombiniert zwei Angriffsmethoden: Ein Banking-Trojaner gaukelt dem Anwender einen Token-Generator vor, um an Authentisierungsdaten zu kommen, greift eintreffende TAN-SMS ab und schickt sie dann dem Angreifer.
Forensiker erforschen Google Wallet
Eine erste Sicherheitsanalyse von Googles NFC-Bezahlsoftware Wallet scheitert zwar mit Man-in-the-Middle-Attacks, findet aber unverschlüsselte persönliche Daten auf dem Smartphone.
Erste Lösungen für SSL/TLS-Schwachstelle
Sicherheitsspezialisten schlagen vor, Webserver auf Stromchiffrieralgorithmen umzustellen. Google arbeitet derweil an einem Fix für Chrome.
Apples iOS anfällig für neun Jahre alte SSL-Schwachstelle
Nur zehn Tage nach dem Erscheinen von iOS 4.3.4 muss Apple erneut nachbessern und einen Fehler bei der Validierung von SSL-Zertifikaten ausbügeln.
PayPal schließt kritische Lücke in iPhone-App
Aufgrund eines Fehlers waren Phishing- und Man-in-the-Middle-Attacken in WLANs möglich. Ein Update ist bereits auf dem Weg.
Authentifizierung unter Windows: Ein schwelendes Sicherheitsproblem
Schwächen in der NTLMv2-Authentifizierung lassen sich zum unbefugten Zugriff auf Systeme ausnutzen. Microsoft hat das Problem zwar teilweise in eigenen Produkten gelöst, unbehandelt bleiben jedoch Implementierungen anderer Hersteller.
Sky: iPad-App übertrug Zugangsdaten unverschlüsselt
Wer den Netzwerkverkehr etwa an einem öffentlichen Hotspot belauschte, fand darin unter Umständen die Sky-Kundennummer und PIN, die die gerade veröffentlichte Streaming-App fürs iPad unverschlüsselt an den Server geschickt hatte.
chipTAN-Verfahren der Sparkassen ausgetrickst
Ein Sicherheitsdienstleister hat Wege aufgezeigt, wie sich das derzeit von der Sparkasse eingesetzte "chipTAN comfort"-Verfahren angreifen lässt, sodass Kriminelle betrügerische Überweisungen vom Opfer legitimieren lassen könnten.
TLS-Renegotiation-Schwachstelle erklärt 
Anhand einfacher Grafiken zeigt Thierry Zoller, wie sich die TLS-Renegotiation-Schwachstelle ausnutzen lässt.
Passwortklau durch Schwachstelle im SSL/TLS-Protokoll
Die Anfang des Monats bekannt gewordene Schwachstelle im Design des SSL/TLS-Protokolls lässt sich offenkundig doch schon für praktische Angriffe ausnutzen - beispielsweise um Zugangsdaten für Twitter auszuspähen.
Im Chat mit dem Phisher
Nach Man-in-the-Middle kommt nun Chat-in-the-Middle bei Angriffen auf Online-Banking-Kunden. Im Browser öffnet sich ein Chat-Fenster, in denen sich Phisher als Mitarbeiter der Bank ausgeben - und neugierige Fragen stellen.
Lücke betrifft alle gängigen Browser [Update]
Eine bereits Mitte Juni entdeckte Lücke, die Man-in-the-Middle-Angriffe ermöglicht, betrifft offenbar nahezu alle gängigen Browser.
Studie: Warnmeldungen bei SSL-Zertfikaten so gut wie nutzlos
Je nach Browser ignorierten 55 bis 100 Prozent der Anwender in einem Test die Warnmeldung bei Unstimmigkeiten von SSL-Zertifikaten. Ursache sei laut Bericht ein fundamentales Missverständnis des Sinns von Zertifikaten.
heise online Themen