Trends & News | News

Root für Android

Das Tool Towelroot verschafft Android-Nutzern innerhalb weniger Sekunden Root-Rechte. Es soll alle Geräte entsperren können, deren Android-Version vor dem 3. Juni dieses Jahres kompiliert wurde. Bei einem Test von heise Security wurde ein Nexus 5 mit der derzeit aktuellen Android-Version 4.4.3 auf Anhieb gerootet.

Towelroot steht als APK-Installationspaket zum kostenlosen Download bereit. Es nutzt eine von Pinkie Pie entdeckte Sicherheitslücke im Linux-Kernel (CVE-2014-3153), die auch das erst später veröffentlichte Android 4.4.4 noch nicht schließt. Google hat Towelroot inzwischen auf die schwarze Liste gesetzt. Ist die Android-Option „Apps verifizieren“ aktiv, wird man vor dem Start gewarnt. (rei)

Tausende Android-Apps geben geheime Schlüssel preis

Drei Forscher der Columbia Universität haben Apps aus Google Play untersucht und fanden Tausende von geheimen Zugangs-Tokens für die Amazon-Web-Services-Konten (AWS) der App-Entwickler und OAuth-Zugangsdaten. In einem Fall hätten sie sogar die persönlichen Daten von Millionen von Facebook-Nutzern kompromittieren können.

Die Token sind einfach zu finden, wenn man die Apps zurückübersetzt. Das mit Open-Source-Projekten wie Ruby, Git und Elastic Search gebaute Tool PlayDrone erledigt dies sogar automatisch. Damit haben die Forscher über 880 000 Apps untersucht und fanden innerhalb eines Tages 308 gültige AWS-Zugangsdaten, 6228 OAuth-Token für Twitter und 460 für Facebook. In der Couchsurfing-App Airbnb war OAuth so miserabel konfiguriert, dass ein Angreifer mit dem erbeuteten Token die Facebook-E-Mails und Freundeslisten von Millionen von Facebook-Nutzer hätte einsehen können.

Die Forscher kommen zu dem Schluss, dass viel zu viele Entwickler es nicht schaffen, den gängigen, von den API-Dokumentationen empfohlenen Umsetzungen zu folgen. So empfiehlt Amazon den Einsatz temporärer Zugangsdaten (sogenannte IAM Roles) und Google favorisiert seit Android 2.2 den Einsatz von OAuth 2.0 mit Token, die auf dem Gerät dynamisch generiert werden.

Facebook, Twitter und Amazon haben reagiert, Zugangsdaten gesperrt und Entwickler kontaktiert. Google will an Schutzfunktionen von Google Play arbeiten, um vertrauliche Schlüssel in den Apps zu erkennen. (fab)

VoIP-Provider Sipload sperrt Auslandsgespräche

Der VoIP-Provider Sipload sperrt Auslandstelefonate für seine Kunden. Betroffen sind laut einem Rundschreiben die Tarife free, basic, flat, allnetflat, fax2mail und business. Der Anbieter begründet den Schritt mit dem „häufigen Missbrauchsszenario bei VoIP“, bei dem Benutzerdaten entwendet oder erraten werden, um sie anschließend für teure Auslandsgespräche zu missbrauchen.

Die betroffenen Kunden können die Auslandstelefonie wieder freigeben, müssen dafür aber in der Konfiguration ihres Anschlusses einen fünfstelligen PIN-Code eintragen, den sie vor dem Aufbau jeder Auslandsverbindung eingeben müssen. Auch die Übergabe des Codes per SIP-Header ist möglich. Kunden können auch Ausnahmeregeln für einzelne Länder definieren, bei denen keine Code-Eingabe erforderlich ist.

Sipload will seine Kunden vor realen Gefahren schützen: Beim Missbrauch gestohlener VoIP-Zugangsdaten können durch Auslandsverbindungen innerhalb kurzer Zeit enorme Kosten entstehen. Im Februar war eine gravierende Sicherheitslücke bei den verbreiteten Fritzboxen von AVM bekannt geworden, die auf diesem Weg ausgenutzt wurde. Viele Fritzbox-Besitzer haben immer noch kein Update vorgenommen, um das Problem zu beheben. Auch VoIP-Anlagen in Unternehmen werden immer wieder Opfer von Angriffen, bei denen SIP-Zugangsdaten ausgespäht werden. (uma)

Sicherheits-Notizen

Die Suche nach einem TrueCrypt-Nachfolger bleibt schwierig. Einer der Entwickler hat die Umstellung des Codes auf eine offenere Lizenz wie GPL, BSD oder MIT rundweg abgelehnt.

Ein Student konnte den geheimen Schlüssel des ersten Erpressungs-Trojaners namens SimpleLocker für Android extrahieren. Avast bietet Betroffenen ein kostenloses Entfernungs-Tool (siehe c’t-Link).

Artikel kostenlos herunterladen

weiterführende Links

Anzeige