Trends & News | News

Google Drive mit Hintertür zum Mailkonto

Wer den Desktop-Client zum Speicherdienst „Google Drive“ installiert, öffnet damit eine dauerhafte Hintertür zum Google-Account. Klickt man auf die Verknüpfung „Google Drive Online besuchen“, startet Googles Webseite im Standard-Browser; dabei wird der Drive-Nutzer ohne vorherige Passwortabfrage eingeloggt.

Anschließend kann man sich beliebig zu weiteren Google-Diensten wie Gmail, Google+, Kalender und Kontakten weiterhangeln. Das funktioniert selbst dann, wenn sich der Drive-Nutzer zuvor explizit über die Webseite ausgeloggt hat. Wer seinen Windows-Account mit mehreren Nutzern teilt oder nicht mit einem Passwort abgesichert hat, riskiert, dass neugierige Zeitgenossen seine Google-Identität durchstöbern. Betroffen sind sowohl die Windows- als auch die Mac-OS-Ausgabe des Clients. (rei)

Krypto-Schlüssel schließt Playstation 3 auf

Im Netz ist ein Krypto-Schlüssel aufgetaucht, mit dem man angeblich dauerhaft sämtliche Schutzfunktionen der PlayStation 3 aushebeln kann. Mit dem Key soll man den Startprozess der Konsole entscheidend manipulieren können, indem man damit modifizierte Versionen des sogenannten lv0 signiert. Dabei handelt es sich um eine Systemkomponente, die beim Hochfahren sehr früh ausgeführt wird. Sony verliert dadurch die Kontrolle über den Bootvorgang.

Ein manipulierter lv0 kann dafür sorgen, dass der Kopierschutz ausgeschaltet oder unsignierter Code, etwa eine Linux-Distribution, ausgeführt wird. Bislang klappte das nur auf Basis der veralteten Firmware 3.55, unter der neuere Spiele normalerweise nicht laufen. Auch der Beitritt zum PlayStation Network bleibt damit verwehrt.

Der lv0 ist das erste nachträglich veränderbare Modul beim Start – nur der fest in Silikon gegossene Bootloader startet früher. Das bedeutet, dass Sony im Nachhinein bei den betroffenen Konsolen nichts gegen die Manipulation unternehmen kann. Bei neueren Ausgaben der PS3 Slim sowie bei der Super-Slim-Version hat der Hersteller den Bootvorgang bereits verändert, wodurch sich diese trotz lv0-Schlüssel nicht knacken lassen. (rei)

BSI-Sicherheitstipps für Mac OS X und Linux

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) nimmt nun auch Nutzer von Mac OS X und Ubuntu bei der Absicherung ihrer Systeme an die Hand. Die jüngst veröffentlichten Sicherheitsleitfäden (siehe c’t-Link) richten sich gleichermaßen an Privatkunden wie Kleinunternehmen. Die Empfehlungen ähneln den Tipps, die das BSI im Frühjahr der Windows-Fraktion gegeben hat. Im Mittelpunkt der Schutzkonzepte steht die Aktualität des Betriebssystems und der installierten Anwendungen.

Anders als unter Windows kann man unter Mac OS X und Ubuntu nach Einschätzung des BSI auf die Installation eines Virenwächters verzichten. Auch die Installation einer Firewall ist laut den Empfehlungen überflüssig. Mac-Anwender sollen allerdings die Firewall des Berglöwen in den Systemeinstellungen aktivieren.

Das BSI rät, neben dem Admin noch zwei einfache Benutzerkonten anzulegen: einen für die alltägliche Nutzung und einen für Online-Banking sowie zum Versand kritischer Daten. Wie schon im Windows-Leitfaden wird die Nutzung von Google Chrome empfohlen. Java soll man nur installieren, wenn man es unbedingt benötigt; in diesem Fall rät das Bundesamt dazu, die entsprechenden Browser-Plug-ins abzuschalten. In puncto Backups und Verschlüsselung kann man sich im Wesentlichen auf die Betriebssystemfunktionen verlassen. (rei)

Super-Spion Flame hat Verwandtschaft

Der AV-Hersteller Kaspersky hat mit miniFlame den kleinen Bruder des professionellen Spionagewerkzeugs Flame entdeckt. Das Schnüffelprogramm arbeitet laut den Experten Hand in Hand mit seinem Verwandten: Während Flame zunächst nur ausspäht, was es auf dem System zu holen gibt, soll der kleine Bruder im zweiten Schritt gezielt Dateien abtransportieren. MiniFlame soll aus der gleichen Virenschmiede stammen, in der neben Flame auch der Profi-Trojaner Gauss entwickelt wurde. Hierzulande geht keine Gefahr von der Neuentdeckung aus: Bisher wurde sie nur auf ein paar Dutzend Rechnern in Westasien nachgewiesen. (kbe)

Unsicher trotz SSL

Wenn ein Programm den verschlüsselten Verbindungsstandard Secure Socket Layer (SSL) nutzt, heißt das nicht unbedingt, dass die Datenübertragung sicher ist. Forscher aus Deutschland und den USA fanden unabhängig voneinander heraus, dass SSL häufig mangelhaft implementiert wird.

Die Forscher aus Deutschland haben sich bei ihrer Untersuchung auf Android-Apps konzentriert und wurden dabei zahlreich fündig: Mehr als 1000 der 13 500 populärsten Apps zeigten Anzeichen für eine unsichere SSL-Implementierung. Tests mit 100 ausgewählten Apps bestätigten, dass davon immerhin 41 anfällig für konkrete Angriffe waren. Dabei fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände.

Das US-Forscherteam entdeckte Fehler in nahezu allen Arten von Anwendungen: von Banking-Apps für Smartphones über Messaging-Clients für Windows bis hin zu kritischen Geschäftsanwendungen. Die Forscher führten Man-in-the-Middle-Angriffe durch und setzten Applikationen dabei unter anderem ein Zertifikat vor, das zwar von einem Herausgeber signiert, aber auf die Domain AllYourSSLAreBelongto.us ausgestellt war – also kaum das gewünschte Ziel der Verbindung repräsentieren konnte. Vertrauensselige Abnehmer fanden sie trotzdem.

Für die Patzer machen die US-Forscher vor allem die verwendeten Bibliotheken verantwortlich: „Die Überprüfung von Zertifikaten ist in vielen wichtigen Programmen und Bibliotheken komplett kaputt“, lautet das Fazit ihrer Untersuchung. (kbe)

Sicherheits-Notizen

Adobe schließt mit Shockwave 11.6.8.638 für Windows und Mac OS zahlreiche kritische Lücken.

Laut einer Sicherheitsfirma kann man Nutzern der Spieleplattform Steam durch spezielle URLs Malware unterschieben. Auch wenn es bislang noch keinen Patch gibt, sollte man Ruhe bewahren: Aktive Angriffe sind bislang nicht bekannt.

Der eingebaute Virenscanner von Windows 8 aktualisiert seine Signaturen nach Systemeinrichtung unter Umständen erst nach mehreren Tagen, weshalb man das Update einmalig manuell anstoßen sollte (siehe S. 158).

Ein französischer Hacker hat angeblich über eine halbe Million Euro mit Android-Trojaner-Apps, die Premium-SMS verschicken, erbeutet.

Mozilla behebt mit Firefox 16.0.2, Thunderbird 16.0.2 und SeaMokey 2.13.2 mehrere kritische Schwachstellen. Die ESR-Versionen wurden ebenfalls gepatcht.

Artikel kostenlos herunterladen

weiterführende Links

Infos zum Artikel

Anzeige

Anzeige

weiterführende Links
  1. Zu diesem Artikel hat die Redaktion noch folgendes zusammengestellt:

    Links (2)

Anzeige