Trends & News | News

Amazon-Produktempfehlungen manipulierbar

Die Produktempfehlungen von Amazon.de sind leicht manipulierbar: Bettet man in eine beliebige Webseite mittels IMG-Tag eine Amazon-Produktseite ein, ordnet Amazon dieses Produkt beim Öffnen der präparierten Seite dem Kundenprofil des Besuchers zu. Die ohne Zutun des Besuchers aufgerufenen Produkte werden ihm künftig etwa auf der Amazon-Startseite präsentiert – ein gefundenes Fressen für Unternehmen, die ihre Produkte kostenlos an prominenter Stelle präsentieren wollen.

Darüber hinaus ist denkbar, dass sich Teilnehmer des Amazon-Partnerprogramms für Webmaster bereichern, indem sie an eine solche Anfrage ihre individuelle Partner-ID anhängen. Dadurch würde der Amazon-Partner die Provision für die vermeintliche Vermittlung des Shopbesuchs einstreichen. Auch das internationale Amazon.com lässt sich auf diese Weise manipulieren. Auf eine hierzu von c’t gestellte Anfrage hat das Unternehmen bis Redaktionsschluss nicht reagiert. (rei)

Kreditkartendaten auf gebrauchten Spielkonsolen

Forschern von der Drexel University ist es angeblich gelungen, von der Festplatte einer gebraucht erworbenen Xbox 360 die Kreditkartendaten des Vorbesitzers zu extrahieren, wie sie gegenüber dem Spielemagazin Kotaku bekannt gaben. Mit einem gängigen Tool aus der Modding-Szene wollen sie sich zunächst Zugriff auf das Dateisystem verschafft haben. Anschließend sei es ihnen gelungen, die Kreditkarteninformationen des Vorbesitzers aufzuspüren und zu extrahieren. Weitere Details sind bislang nicht bekannt.

Nach Angaben der Forscher genügt es nicht, die Konsole auf Werkseinstellungen zurückzusetzen, wenn man sie abgibt. Wer auf Nummer sicher gehen will, solle die Festplatte an seinen Rechner anschließen und mit einem Tool wie DBAN sicher mit sinnlosen Daten überschreiben. Xbox-Sicherheitschef Jim Alkove hält es für unwahrscheinlich, dass auf diesem Weg tatsächlich Kreditkartendaten rekonstruiert wurden, weil es gar nicht vorgesehen sei, dass die Xbox Kreditkartendaten lokal speichert.

Die auf Spielkonsolen gespeicherten Nutzerdaten wecken auch bei den US-Behörden Begehrlichkeiten: Das Department of Homeland Security hat ein Unternehmen damit beauftragt, Werkzeuge zu entwickeln, um Daten von beschlagnahmten Konsolen zu sichern. (rei)

Smart Meter für dumm verkauft

In Puerto Rico sind offenbar nicht nur Smart Meter bereits selbstverständlich, sondern auch die Manipulation der angeblich intelligenten Stromzähler, wie der US-Journalist Brian Krebs berichtet. Er beruft sich dabei auf einen FBI-Bericht von 2010. Demnach haben Stichproben eines nicht näher genannten Stromversorgers ergeben, dass etwa jedes zehnte Smart Meter manipuliert ist. Den daraus entstehenden Schaden schätzt der Versorger auf bis zu 400 Millionen US-Dollar jährlich – etwa 300 Millionen Euro.

Die Stromdiebe des karibischen Inselstaats manipulieren die Stromzähler laut FBI über die Infrarot-Wartungsschnittstelle mit optischen Ausleseköpfen (Optical Probes), die sie für rund 400 US-Dollar im Internet bestellen. Die passende Software ist nur einen Download entfernt. Dabei bleibt die Hardware des Zählers unversehrt. Unter Umständen genügt es laut dem FBI jedoch auch schon, einen sehr starken Magneten an dem Smart Meter zu platzieren, um an Gratis-Strom zu kommen. Da der Zähler weiterhin in regelmäßigen Abständen seinen Zählerstand an den Versorger sendet, fällt der Schwindel nicht auf. Durch die illegalen Eingriffe sinkt die Stromrechnung laut FBI um bis zu 75 Prozent. (rei)

Internet Explorer bleibt verwundbar

Microsoft hat anlässlich seines April-Patchdays sechs Patches veröffentlicht, die elf Sicherheitslücken schließen – die meisten kritischen im Internet Explorer. Allzu sicher können sich Nutzer des Microsoft-Browsers dennoch nicht fühlen, da die im Rahmen des Hacking-Wettbewerbs Pwn2Own demonstrierten kritischen Schwachstellen nach wie vor offen sind. Durch die Lücken gelang es Sicherheitsexperten Anfang März, mit Hilfe einer speziell präparierten Webseite einen Rechner zu kompromittieren.

Unter den geschlossenen IE-Lücken befindet sich eine Schwachstelle, die bereits im Herbst 2011 zur Verbreitung von Porno-Spam bei Facebook missbraucht wurde. Darüber hinaus hat Microsoft eine als kritisch eingestufte Schwachstelle in sämtlichen Windows-Versionen geschlossen, durch die ein Angreifer an eine mittels Windows Authenticode Signature Verfication signierte Datei nachträglich Schadcode anfügen kann, ohne dass die Signatur dabei ungültig wird.

Zudem hat das Unternehmen eine kritische Lücke in der Windows-Bibliothek Mscomctl.ocx beseitigt, die sich zum Einschleusen von Code eignet. Die Bibliothek wird von Office, SQL Server, BizTalk Server und Weiteren genutzt. Eine weitere kritische Lücke wurde in Office 2007 SP2, Works 9 sowie im Works-Dateikonverter geschlossen. Außerdem hat Microsoft Schwachstellen im Forefront Unified Access Gateway (UAG) und dem .NET Framework behoben. (rei)

Sicherheits-Notizen

Adobe hat vier kritische Lücken in Acrobat und Adobe Reader für Desktop-Betriebssysteme geschlossen. Die fehlerkorrigierten Versionen heißen 10.1.3 respektive 9.5.1.

HP gab zu, einige ProCurve-Switches der Serie 5400 zl seit April 2011 mit einer verseuchten CF-Karte ausgeliefert zu haben. Der Schädling wird aktiv, wenn man die Karte mit einem Computer ausliest. Abhilfe schafft ein Reinigungsskript; alternativ bietet der Hersteller einen Hardwaretausch an.

Nvidia hat eine kritische Lücke in den proprietären Grafiktreibern für Linux, Solaris und FreeBSD beseitigt. Die Version 295.40 korrigiert dieses Problem.

Durch eine schwerwiegende Lücke in Samba kann ein Angreifer den Server aus der Ferne übernehmen (siehe Seite 40).

Artikel kostenlos herunterladen

Anzeige