c't 3/2017
S. 32
News
Sicherheit

Skimming-Code verseucht über 1000 deutsche Online-Shops

Der Online-Dienst MageReport spürt Skimming-Code in infizierten Magento-Installationen auf und zeigt zudem Sicherheitslücken an.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt, dass Kriminelle aktuell mehr als 1000 Online-Shops in Deutschland manipulieren, um so Zahlungsinformationen abzugreifen. Als Einfallstor sollen Angreifer Sicherheitslücken in der Shop-Software Magento ausnutzen, um JavaScript-Code mit Skimming-Funktionen zu hinterlegen.

Bereits im Oktober vergangenen Jahres stieß der Sicherheitsforscher Willem de Groot auf 6000 infizierte Magento-Shops. Darunter waren 500 aus Deutschland. Das CERT-Bund des BSI bat daraufhin die zuständigen Provider darum, die Informationen weiterzuleiten, damit die Betreiber ihre Systeme absichern. Dazu sind Betreiber von Online-Shops nach § 13 Absatz 7 des Telemediengesetzes verpflichtet. Eine Absicherung hat aber offensichtlich nicht stattgefunden: Die Zahl der betroffenen deutschen Shops hat seitdem sogar stark zugenommen. Wer daran die Schuld trägt, ist derzeit unklar. Schließlich könnten die Provider die Infos auch nicht weitergeleitet haben.

Wer seinen Shop auf Magento-Basis betreibt, kann den Security-Check MageReport.com nutzen, um bekannte Sicherheitslücken und Skimming-Code ausfindig zu machen. Eine Anleitung des Magento-Hosters Hypernode zeigt, wie man diesen Code entfernt (siehe c’t-Link). (rei@ct.de)

IoT-Sicherheit: Schwere Vorwürfe gegen D-Link

Die Federal Trade Commission (FTC) hat eine Klage gegen D-Link eingereicht. Sie werfen dem Hersteller von Netzwerktechnik vor, seinen Sicherheits-Werbeversprechen nicht nachzukommen und so die Privatsphäre von Kunden zu gefährden.

In der Klageschrift bemängelt die FTC unter anderem die unzureichende Sicherheit von IP-Kameras und Routern des Herstellers. Viele Geräte von D-Link seien verwundbar und Hacker könnten sie mit vergleichsweise wenig Aufwand kapern und persönliche Informationen abziehen. Die FTC möchte vom Gericht nun einen Beschluss, nach dem D-Link künftig solche Rechtsverletzungen verhindern und außerdem die Kosten für alle vom Gericht für notwendig gehaltenen Maßnahmen tragen muss. (des@ct.de)

Vermeintliche Backdoor in WhatsApp sorgte für Wirbel

Der Sicherheitsforscher Tobias Boelter hatte bereits im April 2016 dokumentiert, dass ein Angreifer der WhatsApp-App falsche Schlüssel unterjubeln und dann Nachrichten mitlesen kann. Das könnte entweder WhatsApp selbst tun oder ein Angreifer, der den Übertragungsweg kontrolliert – also ein „Man in the Middle“ (MITM).

Dieser Sachverhalt wurde jetzt in vielen Medien zur Backdoor hochgejazzt. Dabei ist er der grundlegenden Funktionsweise der Verschlüsselung geschuldet. Problematisch ist daran lediglich, dass WhatsApp standardmäßig geänderte Schlüssel klaglos akzeptiert. Nur wenn der Anwender dies explizit in den Einstellungen aktiviert, zeigt WhatsApp eine Warnung an, wenn sich ein Schlüssel ändert; trotzdem akzeptiert es diesen Schlüssel.

Moxie Marlinspike, Krypto-Experte und Entwickler der WhatsApp-Verschlüsselung, erklärt dies als nachvollziehbare Design-Entscheidung des Herstellers zugunsten einer einfachen Benutzbarkeit. Als Überwachungs- oder Spionage-Hintertür sei dies trotzdem nicht geeignet, da die Gefahr viel zu hoch sei, dass ein solcher Angriff durch die Warnungen auffliege. (ju@ct.de)

Kommentieren