Sicherheitsforscher listen über 40 Android-Smartphones auf, die einen von Angreifern modifizierbaren Trojaner an Bord haben. Dieser soll sich nicht ohne Weiteres entfernen lassen.

Wer ein günstiges Android-Smartphone besitzt oder zu kaufen plant, sollte einen Blick auf eine Liste vom Hersteller von Anti-Viren-Software Dr. Web werfen. Dort finden sich Geräte von verschiedenen, vorwiegend chinesischen Herstellern, die den Sicherheitsforschern zufolge einen vorinstallierten Trojaner mitbringen.

In dieser Liste stehen mehr als 40 von Werk aus infizierte Geräte. Dr. Web zufolge könnten aber noch mehr Smartphones mit dem Trojaner verseucht sein. Ob der Schädling ab Werk aktiv ist und was er macht, ist noch unbekannt.

Vielseitig einsetzbar

Der Android.Triada.231 getaufte Schädling soll direkt mit der Firmware verwoben sein. So lässt er sich nur mit viel Aufwand entfernen. Dafür muss man das Smartphone komplett zurücksetzen und ein neues, sauberes Android-Image installieren, erläutern die Sicherheitsforscher.

Um sein Schadenswerk zu starten, soll sich der Trojaner im Systemprozess Zygote von Android verankern. Das ist eine Art Mutterprozess, der allen Apps bestimmte Systemressourcen zur Verfügung stellt. Die dafür notwendigen Root-Rechte soll er sich auf nicht näher beschriebenen Wegen erschleichen. In dieser Position soll er laufende Apps manipulieren und zusätzliche Module für weitere Funktionen herunterladen können. So könnte der Schädling beispielsweise Banking-Apps ausspionieren, erläutert Dr. Web.

Weg auf Smartphone

Am Beispiel des im Dezember 2017 angekündigten Smartphones M9 von Leagoo zeigen die Sicherheitsforscher, wie der Trojaner auf das Gerät kommt. Ihnen zufolge bekommt der Gerätehersteller die manipulierte Firmware von einem externen Softwareentwickler. Dazu soll es noch bestimmte Anweisungen geben, um Code in Systembibliotheken zu schreiben.

Offenbar überprüft Leagoo die Software nicht und bringt die Geräte so in den Handel. Ob Hersteller und Softwarelieferant unter einer Decke stecken, ist derzeit nicht bekannt. Dr. Web gibt an, verschiedene Reseller kontaktiert zu haben.

                                                           Quelle: https://www.heise.de/security/meldung/Bei-40-guenstigen-Android-Smartphones-ist-ein-Trojaner-ab-Werk-inklusive-3986299.html

Die Überwachungsmethoden der Tracker werden immer ausgefeilter. Selbst bei Online-Apotheken bedienen sich die Datendealer. Datenschutz-Forscher Arvind Narayanan ärgert sich über die Untätigkeit der großen Browser-Hersteller.

"Ein Wettrüsten zwischen Trackern und Datenschützern", sieht Professor Arvind Narayanan von der Princeton-Universität. Er betreibt Bots, die jeden Monat die wichtigste Million Webseiten aufrufen und auf Tracking- und andere Überwachungs-Methoden untersuchen. Dabei zeigt sich, dass die Datendealer laufend neue und tiefdringendere Methoden einsetzen, um an private Daten zu gelangen. heise online hat Prof. Narayanan im Silicon Valley getroffen.

Als Schutz empfiehlt er spezielle Browser, wie zum Beispiel Brave, sowie Browser-Erweiterungen, wie Ghostery und Privacy Badger. "Ich nutze sie selbst und ermuntere jeden, sie zu installieren und auszuprobieren", sagt Narayanan. Aber sie seien nicht unbedingt für Durchschnittsuser geeignet und den Datendealern immer wieder einen Schritt hinterher.

"Browser dürfen nicht neutral sein"

Daher nimmt Narayanan die Browser-Hersteller in die Pflicht: "Die Browser-Anbieter sollten klare Richtlinien über akzeptables und inakzeptables Tracking veröffentlichen, User bei Verletzung dieser Richtlinien warnen, und einen Tracking-Schutz-Modus anbieten, ähnlichem dem bereits bestehenden Inkognito-Modus."

Entgegen weit verbreiteter Meinung schützt der Inkognito-Modus nämlich nicht gegen Tracking, sondern dagegen, dass auf dem Endgerät Spuren gespeichert werden. Das verhindert vor allem, dass andere User des selben Endgeräts die Browser-History ausweiden – nicht aber Dritte, denen ein Script die Browser-Nutzung live frei Haus liefert.

Die meisten Browser-Anbieter ergreifen bisher keine nennenswerten Gegenmaßnahmen. Sie begreifen Tracking durch Dritte nicht als klassisches Sicherheitsproblem und verweisen darauf, "neutral" zu sein. Dieser Argumentation kann Narayanan nichts abgewinnen: "Ein Browser, der gegenüber Tracking durch Dritte neutral ist, ähnelt einem E-Mail-Provider, der gegenüber Spam neutral ist."

So werden Sie getrackt

Datendealer möchten Sie über möglichst alle Webseiten hinweg identifizieren (Fingerprinting) und verfolgen, um Nutzungsprofile zu erstellen. Diese lassen sich erstaunlich leicht de-anonymisieren und damit bestimmten Personen zuordnen. Dazu reicht es schon, die aufgerufenen Webseiten mit öffentlichen Facebook- oder Twitter-Konten abzugleichen. Die Links, die Sie dort gepostet haben, haben Sie mit hoher Wahrscheinlichkeit auch aufgerufen.

Klassische Methode, um User über mehrere Webseiten hin zu tracken, sind Cookies. Datendealer gleichen diese Identifikationsdaten auch gerne untereinander ab, um ihre Reichweite zu maximieren. Dazu gesellten sich Evercookies, die besonders schwer loszuwerden sind, und sich beispielsweise im Flash-Player einnisten. Die NSA verfolgt damit seit Jahren insbesondere Tor-User, die Werbebranche jedermann. Zur Identifikation werden auch Informationen wie Betriebssystem, Browserversion, Bildschirmauflösung, installierte Schriftarten und Erweiterungen ausgelesen. [...weiterlesen]

Quelle: https://www.heise.de/newsticker/meldung/WWW-Tracking-Methoden-werden-brutaler-Browser-Hersteller-schauen-weg-3718112.html?seite=all

Per Sandbox abgeschottete macOS-Apps sind dazu in der Lage, unbemerkt im Hintergrund Screenshots anzufertigen und so persönliche Informationen wie etwa Zugangsdaten auszulesen, warnt ein Entwickler.

Apples App-Sandbox schützt nicht davor, dass Mac-Programme heimlich den Bildschirminhalt aufzeichnen können. Mac-Apps sind stets in der Lage, ohne Kenntnis des Nutzers Screenshots anzufertigen und auf “jeden Pixel” sowie alle angeschlossenen Bildschirme zuzugreifen, auch wenn sich die App im Hintergrund befindet, wie der Entwickler Felix Krause warnt.

Mit Hilfe von Texterkennungssoftware, könne vom Nutzer geöffnete Schad-Software dadurch automatisiert wichtige Daten auslesen, die per stillem Screenshot erfasst wurden – etwa Zugangsdaten aus Passwort-Managern und alle anderen persönlichen Informationen, die der Nutzer im Laufe der Zeit auf dem Computer zur Ansicht geöffnet hat.

Um den Bildschirminhalt zu erfassen, müsse ein Entwickler lediglich die Funktion “CGWindowListCreateImage” einsetzen, diese lasse sich trotz Sandbox ungehindert ausführen – eine spezielle Berechtigung ist dafür nicht erforderlich. Nutzer können sich davor derzeit nicht schützen.

Nutzer sollte über Bildschirmaufzeichnung informiert werden

Es gibt natürlich viele legitime Einsatzzwecke für die Erfassung und Aufzeichnung des Bildschirminhaltes, doch sollte der Nutzer dafür erst explizit die Erlaubnis geben und möglichst auch auf aktive Bildschirmaufzeichnungen hingewiesen werden, merkt Krause an, der einen Bugreport bei Apple eingereicht hat.

Ob der Hersteller vorhat, diesen Schwachpunkt in der App-Sandbox zu schließen, bleibt unklar, schon zur Einführung der Schutzfunktion vor über sieben Jahren wiesen Entwickler auf das Problem hin.

Sandboxing im Mac App Store Pflicht

Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel, aber auch ARM und teilweise AMD. Forscher von europäischen Universitäten und von Google haben eine Fülle von Möglichkeiten ausgetüftelt, um Speicher auszulesen, auf den ein User-Prozess gar nicht zugreifen können dürfte. Dafür verwenden sie eine Eigenschaft aller modernen Out-of-Order-Prozessoren.

Es ergeben sich mehr als ein Dutzend Angriffsszenarien, die sich nur schwer verhindern lassen. Ein Security-Supergau.

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

1. Was ist passiert?

Ein Team von Forschern hat Schwachstellen in der Hardware-Architektur von Prozessoren entdeckt. Angreifer können durch das geschickte Ausnutzen dieser Sicherheitslücken mit Schadcode alle Daten auslesen, die der jeweilige Computer im Speicher verarbeitet – also auch Passwörter und geheime Zugangscodes.

2. Heißen die Sicherheitslücken Meltdown und Spectre?

Nein – Meltdown und Spectre sind die Namen der Angriffsszenarien, durch die Schadcode die Hardware-Lücke ausnutzen kann. Insgesamt gibt es drei von Google veröffentlichte Angriffsszenarien: CVE-2017-5753 (Spectre 1, Bounds Check Bypass), CVE-2017-5715 (Spectre 2, Branch Target Injection) und CVE-2017-5754 (Meltdown, Rogue Data Cache Load).

3. Sind meine Geräte von den Sicherheitslücken betroffen?

Mit an Sicherheit grenzender Wahrscheinlichkeit: Ja! Die anfälligen Prozessoren stecken in einer Vielzahl von Geräten, von Desktop-Computern, Laptops, Smartphones, Tablets bis hin zu Streaming-Boxen.

4. Kann mich ein Anti-Virus-Programm vor möglichen Angriffen schützen?

Nein.

5. Welche Prozessoren sind genau betroffen?

Die Prozessorhersteller haben bereits ausführliche Listen mit betroffenen Prozessoren veröffentlicht. Grundsätzlich sind sowohl aktuelle als auch ältere Prozessoren für mindestens eines der drei Angriffsszenarien anfällig.

Dazu gehören etwa sämtliche Intel-Core-Prozessoren seit 2008, dazu die Serien Intel Atom C, E, A, x3 und Z sowie die Celeron- und Pentium-Serien J und N. Außerdem nahezu alle Server-Prozessoren der vergangenen Jahre sowie die Rechenkarten Xeon Phi.

ARM führt in einer umfangreichen Liste zahlreiche Prozessoren der Cortex-Serie auf, die in Smartphones und Tablets stecken und auch in anderen SoC-Kombiprozessoren stecken, etwa in Nvidias Tegra-Chips.

Ebenfalls anfällig sind manche IBM-POWER- und Fujitsu-SPARC-CPUs für Server.

Nicht betroffen ist etwa der Prozessor des Raspberry Pi.

6. Sind AMD-Prozessoren betroffen?

Ja, allerdings sind AMD-Prozessoren zum derzeitigen Kenntnisstand für zwei der drei Angriffsszenarien tatsächlich anfällig (Spectre-Varianten 1 und 2). AMD ging zunächst davon aus, dass AMD-Prozessoren aufgrund ihrer Architektur nicht über Spectre-Variante 2 angreifbar sind, musste das aber eine Woche später schließlich revidieren.   (....weiter lesen)

* Quelle: heise online & heise security

Im Zusammenhang mit den kürzlich bekannt gewordenen Sicherheitslücken "Spectre" und "Meltdown" beobachtet das BSI aktuell eine SPAM-Welle mit angeblichen Sicherheitswarnungen des BSI. Die Empfänger werden darin aufgefordert, Sicherheitsupdates durchzuführen, die unter einem in der Mail enthaltenen Link abgerufen werden können. Der Link führt zu einer gefälschten Webseite, die Ähnlichkeit mit der Bürger-Webseite (www.bsi-fuer-buerger.de) des BSI aufweist. Der Download des angeblichen Updates führt zu einer Schadsoftware-Infektion des Rechners oder Smartphones.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) ist nicht Absender dieser E-Mails. Empfänger einer solchen oder ähnlichen E-Mails sollten nicht auf Links oder ggf. angehängte Dokumente klicken, sondern die E-Mail stattdessen löschen. Anwender, die die gefälschte Webseite geöffnet haben, sollten keinesfalls das dort verlinkte angebliche Sicherheitsupdate herunterladen.

Legitime Sicherheitsupdates zur Behebung der Sicherheitslücken "Spectre" und "Meltdown" werden von den jeweiligen Herstellern zur Verfügung gestellt und nicht per E-Mail verteilt. Informationen und Handlungsempfehlungen zu "Spectre" und "Meltdown" hat das BSI unter www.bsi-fuer-buerger.de/Spectre_Meltdown veröffentlicht.

Hier finden Sie jeweils einen Screenshot der gefälschten E-Mail und der nachgestellten Webseite.

Weitere Infos finden Sie unter:

https://www.bsi.bund.de/

Die Mehrheit der IHK-Mitgliedsbetriebe in Ostwürttemberg beschäftigen keine oder wenige Mitarbeiter/-innen. Gerade diese sind jedoch Paradebeispiele für Unternehmergeist.

Sie sind auch „Einzelkämpfer“ und am Austausch mit Gleichgesinnten interessiert?
Dann sind Sie herzlich eingeladen zum Netzwerk-Treffen der IHK, dem Early-Bird-Frühstück!

In ungezwungener Atmosphäre möchten wir Sie mit Experten über verschiedene interes-sante Themen informieren und zum lockeren Austausch untereinander anregen.

Lernen Sie andere Unternehmer/-innen kennen, bauen Sie eigene Netzwerke auf und nutzen Sie unsere. 

Wir freuen uns auf Ihr Kommen!

>>> Flyer_Early-Bird-2017_Herbst.pdf

Sie wollen zwei Monitore, aber dennoch einen geräumigen, ordentlichen Arbeitsplatz?

Sie würden gerne einen schicken iMAC kaufen, dürfen aber nur Windows?

An der Rezeption wollen Sie einen repräsentativen PC mit Touchmonitor?

Dann haben wir die Lösung!

WAS IST GESCHEHEN:

Vergangenen Freitag wurden binnen 24 Stunden durch einen Hackerangriff weltweit zehntausende Rechner (mindestens 75.000 befallenen Rechner in 99 Ländern) von Behörden, Firmen und Privatpersonen mit einer Schadsoftware infiziert und die Daten verschlüsselt. Eher durch Zufall konnte der Virus gestoppt werden, indem der Betreiber des Blogs "MalwareTech" einen Web-Domainnamen im Computercode der Schadsoftware fand und ihn registrierte. Für bereits befallene Rechner änderte sich an den Folgen der Cyber Attacke allerdings nichts. 

WER IST BETROFFEN:

Betroffen sind unter anderem Unternehmensnetzwerke von der Deutschen Bahn, dem Logistikkonzern Schenker, vor allem aber das britische Gesundheitssystem, der spanische Telekomriese Telefónica, das russische Innenministerium und der spanische Energiekonzern Iberdrola.