Trends & News | News

F-Secure speichert Passwörter in der EU

Der Passwortsafe F-Secure Key speichert die ihm anvertrauten Zugangsdaten nicht nur lokal, sondern synchronisiert sie auf Wunsch auch mit mehreren Rechnern, Smartphones und Tablets (Windows, Mac OS X, Android oder iOS). Der finnische Hersteller verspricht, dabei europäische Server zu nutzen, was den Zugriff durch US-Behörden zumindest erschweren dürfte.

Darüber hinaus generiert die Key-App beliebig komplexe Passwörter und soll den Nutzer auf den meisten Plattformen automatisch einloggen können. Die gespeicherten Zugangsdaten werden mit einem Masterpasswort geschützt. Der Hersteller hat nach eigenen Angaben keine Möglichkeiten, die verschlüsselten Daten zu entschlüsseln. Als Verschlüsselungsverfahren kommt AES-256 im CCM-Mode zum Einsatz. Wer Passwörter nur lokal speichert, kann den Safe gratis nutzen. Für die Cloud-Anbindung verlangt F-Secure 14,50 Euro im Jahr. (rei)

Telekom verschlüsselt GSM besser

Die Deutsche Telekom will ihre GSM-Basisstationen bis zum Erscheinen dieses Hefts mit dem Verschlüsselungsalgorithmus A5/3 ausgerüstet haben. Das ist ein wichtiger Fortschritt, schließlich kann man das bislang eingesetzte A5/1-Verfahren mit günstiger Hardware und frei verfügbarer Software nahezu in Echtzeit knacken, um Mobilfunkgespräche zu entschlüsseln. So ist es vermutlich auch der NSA gelungen, das Parteihandy der Bundeskanzlerin anzuzapfen.

Eine ganze Reihe von Endgeräten unterstützen den neu eingeführten Kryptostandard bereits, darunter viele Smartphones mit den Betriebssystemen Android, iOS und Windows Phone (siehe c’t-Link). Geräte, die mit A5/3 nichts anfangen können, verschlüsseln weiter über A5/1. Die Einführung von A5/3 verzögerte sich, da rund 50 000 Mobiltelefone Probleme mit der Umstellung hatten. Die Geräte gaben gegenüber dem Netz an, die A5/3-Verschlüsselung zu beherrschen, was allerdings nicht zutraf. Für die betroffenen Handys musste die Telekom erst eine Spezialsoftware entwickeln.

Vodafone, E-Plus und O2 werden A5/3 voraussichtlich erst in den kommenden Jahren in der Fläche einführen. Vodafone wollte hier ursprünglich eine Vorreiterrolle einnehmen, hat bislang aber nur eine Funkstation in der Nähe von Reichstag und Bundeskanzleramt entsprechend umgerüstet. (Stefan Krempl/rei)

Verschlüsselte Kurznachrichten mit CyanogenMod

Wer die Android-Distribution CyanogenMod auf seinem Smartphone installiert, kann künftig ohne Zuhilfenahme spezieller Tools verschlüsselte Kurznachrichten senden und empfangen. Das Entwicklerteam implementiert das Verschlüsselungssystem TextSecure, das von dem Krypto-Experten Moxie Marlinspike konzipiert wurde. TextSecure wurde direkt in die SMS-Schnittstelle des Systems integriert, weshalb alle SMS-Apps unter CyanogenMod automatisch verschlüsseln. Dabei kommt eine Ende-zu-Ende-Verschlüsselung zum Einsatz. Die Krypto-Nachrichten werden nicht als unverschlüsselte SMS verschickt, sondern über die Datenverbindung, wodurch keine SMS-Gebühren anfallen.

Ähnlich wie bei Apples iMessage soll das System automatisch erkennen, ob das Gegenüber über den Dienst erreichbar ist – andernfalls gehen die Texte wie bisher als unverschlüsselte SMS raus. CyanogenMod nutzt für das Versenden der Krypto-Nachrichten das WhisperPush-Protokoll mit einem eigenen Server. Dieser kann sich allerdings mit dem Server von Whisper Systems austauschen, sodass man mit allen TextSecure-Nutzern kommunizieren kann. (fab)

Google erwischt Frankreich beim Schnüffeln

Mit einem Herausgeber-Zertifikat stellte eine französische Behörde Zertifikate aus, mit denen sie verschlüsselten Datenverkehr mitlesen konnte. Es war von der französischen Sicherheitsbehörde ANSSI ausgestellt worden. Google entdeckte die Nutzung von gefälschten Google-Zertifikaten wahrscheinlich durch spezielle Anti-Spionage-Techniken in Chrome und sperrte das Herausgeber-Zertifikat. Kurz darauf haben auch Microsoft und Mozilla dem Zertifikat das Vertrauen entzogen. Laut der ANSSI soll es sich bei der Schnüffelei um eine Sicherheitsmaßnahme gehandelt haben, bei der mit Wissen der Angestellten verschlüsselter SSL-Datenverkehr automatisiert überwacht wurde. (ju)

Unsichere und neugierige Android-Apps

Zahlreiche Smartphones-Apps kommunizieren zwar verschlüsselt, lassen sich aufgrund von Programmierfehlern aber trotzdem belauschen. Eine weitere, äußerst verbreitete App lauscht selbst.

Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat 2000 Android-Apps systematisch getestet und konnte bei mehr als 30 die SSL-Verschlüsselung knacken. Die Forscher schleusten den Datenverkehr der Apps durch einen Analyseproxy, der den Apps ein selbst signiertes Zertifikat vorsetzte, wie es auch Angreifer leicht erstellen können. Einige der Apps akzeptierten das Zertifikat kommentarlos, wodurch sich das Analysesystem in die Verbindung einklinken und zum Beispiel Login-Daten im Klartext mitschneiden konnte.

Fraunhofer hat die Entwickler der Apps informiert, jedoch nur von rund der Hälfte eine Antwort erhalten. Anfällig waren etwa Amazons MP3-App, die Banking-App von Volkswagen Financial Services, Flickr, Samsungs Chatdienst ChatON sowie Yahoo Mail. Diese Apps stehen bereits in abgesicherten Versionen bei Google Play zum Download bereit. Eine Liste findet man bei Fraunhofer. Diese enthält allerdings nur die bereits abgesicherten Apps.

Die US-Handelsbehörde FTC warnt unterdessen vor der Taschenlampen-App „Brightest Flashlight“ von Goldenshores Technologies, die dabei ertappt wurde, wie sie den Aufenthaltsort des Nutzers an Anzeigennetzwerke weitergibt. Die Android-App wurde allein bei Google Play über 50 Millionen Mal heruntergeladen. (fab)

Sicherheits-Notizen

Samsung hat das in c’t 1/14 auf S. 32 beschriebene Datenleck in seinen Android-Geräten kurz nach Erscheinen des Hefts abgedichtet.

LG-Fernseher wurden dabei ertappt, wie sie unter anderem die Namen von Filmdateien der Nutzer an den Hersteller übertrugen (siehe c’t 26/13, S. 54). Die Firmware-Version 04.20.29 stellt dies ab.

Artikel kostenlos herunterladen

weiterführende Links

Anzeige
Anzeige