Trends & News | News

Hersteller bekommen Android-Lücken nicht in den Griff

Die Lage um die schwerwiegenden Sicherheitslücken in Android spitzt sich zu: Während im Netz bereits detaillierte Informationen über die Anfälligkeiten des Multimedia-Frameworks Stagefright und sogar Proof-of-Concept-Dateien kursieren, welche die Lücke ausnutzen, gibt es für die meisten verwundbaren Android-Geräte nach wie vor kein Sicherheits-Update. Betroffen sind alle Android-Versionen seit 2.2.

Ferner stellte sich heraus, dass die anfangs angebotenen Patches fehlerhaft sind. Sie verhindern zwar, dass Angreifer Schadcode zum Beispiel über MMS-Nachrichten aufs Gerät schleusen, ein sogenannter Denial-of-Service-Angriff, der es lahmlegt, ist laut Forschern der Sicherheitsfirma Exodus Intelligence jedoch weiterhin möglich. Google hat bereits einen Patch nachgelegt, bis dieser jedoch über die Gerätehersteller bei den Kunden ankommt, dürften noch Monate ins Land ziehen – wenn überhaupt.

c’t hat bei den wichtigsten Herstellern angefragt, wann die Kunden mit einem Sicherheits-Update rechnen können. Zwar antworteten alle Unternehmen, dass sie an dem Problem arbeiten, konkrete Informationen zur Verfügbarkeit der Updates waren jedoch die Ausnahme. Eine Handvoll aktueller Modelle wurde bereits abgesichert. Wer überprüfen möchte, ob die eigenen Geräte vor den Lücken gefeit sind, kann dazu die Stagefright-Detector-App von Zimperium nutzen (siehe c’t-Link).

Ist das System anfällig, sollte man zumindest den MMS-Empfang in den Einstellungen deaktivieren, um Angriffe über präparierte Multimedianachrichten zu vereiteln. Zuverlässigen Schutz vor den zahlreichen möglichen Angriffsvarianten liefert jedoch nur ein Firmware-Update. Das muss nicht zwangsläufig vom Hersteller kommen: Abhilfe schaffen auch die Nightly-Builds der alternativen Android-Distribution CyanogenMod, die für viele Modelle angeboten wird. (rei@ct.de)

Hash-Verfahren SHA-3 standardisiert

Das US-Handelsministerium hat die Hash-Funktion SHA-3 unter dem Namen Federal Information Processing Standard (FIPS) 202 abgesegnet. Das Verfahren gilt nun als offizieller Standard. Es basiert auf dem Hashing-Algorithmus Keccak und spezifiziert mit SHA-3-224, SHA-3-256, SHA-3-384 und SHA-3-512 vier Varianten mit unterschiedlichen Ausgabelängen. Darüber hinaus bietet SHA-3 auch noch die Funktionen SHAKE128 und SHAKE256 für Ausgaben mit beliebiger Länge.

Während der Vollendung von SHA-3 geriet das NIST in die Kritik, weil sie den zugrunde liegenden Keccack-Algorithmus modifizieren wollten, um die Geschwindigkeit zu erhöhen. Kritiker dieser Vorgehensweise sahen dadurch jedoch die Sicherheit beeinträchtigt. Schließlich ruderte das NIST zurück. (des@ct.de)

Cyber-Einbrecher erpresst Web-Hoster 1blu

Die Webhosting-Firma 1blu ist Opfer eines Cyber-Erpressers geworden. Ein bislang unbekannter Täter ist in die Infrastruktur des Unternehmens eingedrungen und konnte dabei unter anderem auf die Daten sämtlicher Kunden zugreifen. Betroffen sind die bei 1blu gespeicherten Passwörter, persönliche Daten, Bankverbindungen und Interna. Anschließend versuchte er das Unternehmen zur Zahlung von umgerechnet 250 000 Euro in Bitcoins zu erpressen. Andernfalls wolle er die erbeuteten Daten veröffentlichen.

1blu erklärte, dass es für das Unternehmen nie eine Option gewesen sei, den geforderten Betrag zu zahlen. Stattdessen wandte sich der Hoster an das LKA Berlin. Der Erpresser hatte 1blu bereits am 1. Juli kontaktiert, auf Anraten der Ermittler hat der Hoster den Vorfall jedoch bis Mitte August unter Verschluss gehalten. Das Unternehmen hat seine Kunden per Mail über den Erpressungsversuch informiert und sie aufgefordert, die Passwörter für die Dienste E-Mail, FTP, MySQL und 1blu-Drive zu ändern. Die alten Passwörter wurden gesperrt. Nach Angaben des Hosters wurden die Kundenpasswörter zwar „verschlüsselt gespeichert“; dem Täter sei es jedoch gelungen, die Passwörter zu entschlüsseln. (rei@ct.de)

Autos im Visier der Hacker

Drei Forscher von den Universitäten Nijmegen (Niederlande) und Birmingham (UK) haben mit Megamos Crypto eines der meistgenutzten Wegfahrsperren-Transpondersysteme für Autos geknackt. Es kommt in Fahrzeugen von über 20 Herstellern zum Einsatz (siehe c’t-Link), darunter auch Audi, Opel, Porsche und Volkswagen. Die Forscher entdeckten Schwächen in der Verschlüsselung der Funktelegramme, die Autoschlüssel und Fahrzeug beim Deaktivieren der Wegfahrsperre austauschen.

So konnte das Forscherteam aus zwei mitgeschnittenen Authentifizierungsvorgängen den geheimen Crypto-Key des Autoschlüssels rekonstruieren und damit fortan die Wegfahrsperre entriegeln. Die Forscher traten mit ihren Ergebnissen bereits im Jahr 2012 an die Autohersteller heran. Volkswagen klagte daraufhin gegen die geplante Veröffentlichung, was dazu führte, dass die Forscher ihre Informationen bis vor Kurzem unter Verschluss halten mussten.

Unabhängig von dem Forscherteam entdeckte der Sicherheitsexperte Samy Kamkar auch Schwachstellen in den Smartphone-Apps mehrerer Automobilhersteller. Er fand heraus, dass bei Apps von BMW, Chrysler, General Motors und Mercedes die Kommunikation zum Server nicht ausreichend abgesichert ist. Es gelang ihm, sich als Man-in-the-Middle in den verschlüsselten Datenverkehr einzuklinken und die Zugangsdaten des Nutzers mitzuschneiden. Damit kann er sich fortan im Namen des legitimen Autobesitzers beim Herstellerserver anmelden und alle angebotenen Funktionen aus der Ferne steuern – dazu gehört in einigen Fällen das Aufsperren der Zentralverriegelung.

(Clemens Gleich/rei@ct.de)

Support für ältere PHP-Versionen läuft aus

Die Updates auf PHP 5.6.12, 5.5.28, 5.4.44 und 7.0.0 Beta 3 schließen mehrere Sicherheitslücken. Die Entwickler weisen darauf hin, dass der Support für den 5.5er-Zweig am 10. Juli ausgelaufen ist – Bugs, die nicht sicherheitsrelevant sind, werden fortan nicht mehr beseitigt. PHP 5.5 wird noch bis zum 10. Juli 2016 mit Sicherheits-Updates versorgt. Für Nutzer von PHP 5.4 wird die Luft schon am 14. September dieses Jahres dünn: Danach werden die Entwickler keine weiteren Schwachstellen in diesem Release-Zweig beseitigen. Wer kann, sollte daher auf Version 5.6 umsteigen, die noch zwei Jahre mit Sicherheits-Updates versorgt wird. PHP 7 ist ausdrücklich noch nicht für den produktiven Einsatz geeignet.

(rei@ct.de)

Artikel kostenlos herunterladen

weiterführende Links