-
Nach einem Hinweis des Projekts "Android Police" hat Google 21 Apps aus dem Android Market entfernt, die einen Exploit für Systemzugriffe auf Geräte enthielten und ausgelesene Daten an einen Server sendeten. Bei den Anwendungen handelte es sich laut Bericht um Modifikationen bereits im Market verfügbarer Apps, die unter anderem Namen des Publishers Myournet wieder eingestellt wurden. [Update] Nach Angaben (http://blog.mylookout.com/2011/03/security-alert-malware-found-in-official-android-market-droiddream/) des Herstellers Lookout hat Google mehr als 50 infizierte Apps aus dem Android Market entfernt.[/Update]
Die Apps trugen etwa Namen wie Falling Down, Super Guitar Solo, Super History Eraser, Photo Editor, Super Ringtone Maker und Super Sex Positions. Schätzungen zufolge wurde sie mehrere zehntausendmal heruntergeladen und installiert.
Bei dem Exploit handelt es sich Analysen der "Android Police" zufolge um den seit längerem bekannten RageAgainstTheCage-Exploit, der einen Fehler im Android-Debugging-Bridge-Dienst (adbd) ausnutzt, um diesen mit Root-Rechten auf einem Android-Smartphone zu starten und darüber selbst an Root-Rechte zu gelangen. Mit diesen Rechten können die Apps auch beliebigen Code nachladen und installieren – ohne Nachfrage beim Anwender. Verwundbar sind Gerät mit Android 1.x, 2.1 und vermutlich 2.2.
Laut Bericht hat Google kurze Zeit nach dem Hinweis der Android Police auf die bösartigen Apps reagiert und diese aus dem Market entfernt. Ob Google auch von der Remote-Remove-Funktion, also der Deinstallation von Apps aus der Ferne, Gebrauch gemacht hat, ist derzeit nicht bekannt. [Update] Laut Lookout hat Google bislang noch keinen Gebrauch gemacht, weil der Vorfall noch untersucht werde.[/Update]
Quelle : www.heise.de
-
Mit seiner "Remote-Removal-Funktion" entfernt Google zurzeit Schadsoftware von Geräten mit Android-Versionen vor 2.2.2. Die Apps waren vor wenigen Tagen im Android-Market entdeckt und aus ihm entfernt worden. Gleichzeitig hat Google, wie das Unternehmen jetzt in einem Blog-Eintrag schreibt, die Accounts der jeweiligen Entwickler abgeschaltet und strafrechtliche Schritte eingeleitet.
Auf den "betroffenen" Geräten werde innerhalb von 72 Stunden ein Patch eingespielt, der den "Exploit rückgängig" mache. Unklar ist, ob damit alle Geräte mit den anfälligen Android-Versionen gemeint sind, oder lediglich die, auf denen die Schadsoftware installiert war. Außerdem werde Google Maßnahmen ergreifen, damit Apps nicht mehr über den Android-Market verteilt werden können, die ähnliche Lücken ausnutzen.
Die Software nutzt nach Erkenntnissen von Kaspersky dieselbe Lücke, die auch für das "Rooten" von Android-Geräten verwendet wird. Allerdings sei der Fehler erst in Android 2.3 behoben. Das Programm stehle zunächst nur Gerätedaten wie die eindeutige IMEI-Nummer und übermittle sie per HTTP-POST in einer XML-Datenstruktur an einen Server. Anschließend setzt sie ein Flag, das ein erneutes Hochladen verhindert, und installiert die Datei sqlite.db in das Paket DownloadProvidersManager.apk. Das so untergeschobene Modul liest eine Liste mit Dateinamen vom Server. Kaspersky vermutet, dass der Autor mit seinem Trojaner Geld verdienen wollte, indem er auf diesem Wege Adware auf dem Gerät installiert.
Quelle : www.heise.de
-
Google hat eine Cross-Site-Scripting-Lücke im Android Market geschlossen, die Angreifern die unbefugte Installation von Apps auf Android-Geräte ermöglichte – ohne physischen Zugriff auf das Gerät. Erst am Wochenende hatte Google mit Sicherheitsproblemen im Android Market zu kämpfen, nachdem Kriminelle 52 infizierte Apps eingestellt und verbreitet hatten.
Nach Angaben des Entdeckers der Lücke, dem Android-Sicherheitsspezialisten Jon Oberheide, fand sich die (persistente) XSS-Lücke im Beschreibungsfeld von Apps im Webstore des Android Market. Dort ließ sich JavaScript-Code hinterlegen, der beim Aufruf im Browser ausgeführt wurde. Ein bösartiges Skript hätte die Ferninstallation einer bösartigen App anstoßen können – vorausgesetzt, der Anwender wäre im Webstore angemeldet gewesen.
Nach der Installation wird eine App zwar nicht automatisch gestartet, es gibt aber Wege, um den Start aus der Ferne trotzdem zu veranlassen. Dazu muss die App im Manifest der Installationsdatei bekannt geben, auf welche Ereignisse im System sie reagieren kann, beispielsweise auf weitere Installationen (PACKAGE_ADDED) oder das Aufwachen aus dem Standby (ACTION_USER_PRESENT). Die Installation einer weiteren App über die nun geschlossene Lücke wäre nur eine Frage der geschickten Programmierung gewesen.
Dass die Ferninstallation von Apps über den Webstore Risiken birgt, hatten bereits AV-Hersteller kritisiert. Problematisch ist insbesondere, dass auf dem Zielgerät keine weitere Nachfrage erfolgt, ob die Installation erlaubt ist. Einen Hinweis auf eine (unbefugte) Installation erhält ein Opfer allein durch die Anzeige in der oberen Statuszeile, dass ein Download und eine Installation erfolgreich waren.
Kurios am Rande: Oberheide will zwar am kommenden Pwn2Own-Wettbwerb teilnehmen, hatte die XSS-Lücke an Google aber bereits im Vorfeld gemeldet, weil er dachte, sie würde nicht unter die Teilnahmebedingungen fallen. Dort hätten für das Übernehmen eines Android-Gerätes 15.000 US-Dollar gewinkt. Stattdessen erhält er nun im Rahmen des Bug-Bounty-Programms 1.337 US-Dollar.
Quelle : www.heise.de
-
Ganz schön dreist: Kriminelle haben sich das von Google verteilte “Android Market Security Tool” zum Löschen der kürzlich im Android Market aufgetauchten Malware-Apps geschnappt und es ebenfalls mit einem Trojaner versehen. Bislang soll die trojanisierte Version des Tools jedoch nur in "nicht-regulierten, chinesischen Marktplätzen" kursieren.
Der Trojaner nimmt Kontakt mit einem Steuerserver auf und soll ersten Analysen von Symantec zufolge in der Lage sein, auf Befehl SMS zu versenden. Laut F-Secure versendet der BGServ genannte Schädling nach der Installation zudem Nutzderdaten an den Server.
Apps aus anderen Quellen als dem Android Market lassen sich jedoch nicht unbeabsichtigt installieren. Dazu muss der Anwender die Option "Unbekannte Quellen" explizit aktivieren. Das trojanisierte "Android Market Security Tool" fordert zudem bei der Installation das Recht zum Versenden von SMS an – was von Android deutlich mit dem Hinweis versehen ist, das dies Geld kosten kann.
Quelle : www.heise.de
-
Google hat nach eigenen Angaben damit begonnen, "die potenzielle Sicherheitsschwachstelle zu schließen, die einem Dritten unter bestimmten Umständen Zugang zu Daten aus Kalender und Kontakten ermöglichte". Die Fehlerbehebung werde global über die nächsten Tage ausgeführt, so Google-Sprecher Kay Oberbeck laut einer Mitteilung. Die Nutzer müssten nicht aktiv handeln, damit die Sicherheitslücke geschlossen wird.
Der Internetdienstleister machte jedoch keine konkreten Angaben, wie er das Problem lösen will. US-Medien zufolge will Google wohl seine Server so konfigurieren, dass bei der Synchronisierung der Kalender und der Kontakte eine verschlüsselte Kommunikation via HTTPS erzwungen wird.
Bei der Picasa-App soll das nicht funktionieren; dort arbeitet Google noch an einer Lösung. Auch in Android selbst hat Google das Picasa-Problem offenbar noch nicht behoben. Auch in Version 2.3.4, in der Google Calendar und Contacts bereits nicht mehr unverschlüsselt synchronisieren, sendet die Picasa-App das Authentifizierungstoken weiter im Klartext.
Forscher der Uni Ulm hatte eine Schwachstelle in der Datenübertragung von Android entdeckt, die Angreifer ausnutzen können, um unbefugt Inhalte von Google Calendar, Picasa-Gallerien und Google Contact anderer Anwender zu manipulieren. Ursache des Problems ist, dass einige Anwendungen ein bei der Anmeldung am Google-Server erhaltenes AuthentifizierungsToken (AutheToken) später im Klartext senden. In unverschlüsselten WLANs oder solchen, bei denen alle Anwender den gleichen Schlüssel benutzen, kann ein Angreifer das Token mit Wireshark mitlesen und für eigene Zwecke verwenden.
Quelle : www.heise.de
-
Die Sicherheitslage bei Android erinnert mehr und mehr an die Sicherheitslage bei Windows. Zu diesem Ergebnis kommen die Sicherheitsexperten von Kaspersky in ihrem Malware-Report für das erste Quartal dieses Jahres. Der Antivirenhersteller kritisiert, dass die Anwender die Sicherheitsrückfragen des mobilen Betriebssystems nicht ernst nehmen und etwa die Frage nach Rechten wie dem SMS-Versand meistens einfach abnicken, ohne sich über die Folgen im Klaren zu sein.
Auch die nachlässige Updatepolitik der Gerätehersteller, durch die Unmengen von Geräten noch veraltete, verwundbare Android-Versionen einsetzen, bemängelt der Hersteller: "Kann in dieser Situation von Sicherheit denn überhaupt die Rede sein?", fragt Kaspersky. Nach Angaben von Google nutzen noch knapp 96 Prozent aller Android-Nutzer Versionen, die älter als das im Dezember erschienene Android 2.3 sind.
Zudem gefährdet der Umstand, dass Android-Nutzer beliebige Software am Market vorbei nachinstallieren können, laut Kaspersky die Systemsicherheit. Selbst wenn man aus dem Android-Market installieren würde, könnten die Virenautoren die Fernlöschoption rauspatchen und Google damit die Möglichkeit zum Desinfizieren nehmen, schreibt Kaspersky.
Laut Kaspersky ist abzusehen, dass sich in diesem Jahr die Zahl der neu entdeckten Schädlinge, die es auf mobile Endgeräte abgesehen haben, verdoppeln: Der Antivirenhersteller rechnet 2011 mit über 1000 neuen Virensignaturen. Im Vergleich zur Windows-Welt ist dies allerdings noch eine überschaubare Menge.
Quelle : www.heise.de
-
Google hat 34 mit Schadcode infizierte Android-Apps aus seinem Market entfernt, wie Lookout Security berichtet. Die Zahl der möglichen Opfer schätzt Lookout auf 30.000 bis 120.000. Bei der Malware handelt es sich in einigen Fällen um Modifikationen bereits seit längerer Zeit im Market verfügbarer Apps. Die Kriminellen haben sie ohne Wissen der App-Entwickler mit Schadcode garniert und ein weiteres Mal in den Market eingestellt. Die Apps sind mit Droid Dream Light (DDLight) infiziert, einer Variante des Schädlings DroidDream, der sich im März dieses Jahres in über 50 Apps eingenistet hatte.
Anders als bei dem vorherigen Befall ist der Schädling nun nicht mehr darauf angewiesen, dass der Nutzer die infizierte App startet. DDLight trägt sich als sogenannter BroadcastReceiver für eingehende Anrufe ein, wodurch der Schadcode beim nächsten eingehenden Anruf ausgeführt wird. Laut einer Analyse von F-Secure reagiert der Schädling auch auf eingehende SMS. Anschließend übermittelt die Malware Geräteinformationen (Modell, IMEI, IMSI und SDK-Version) sowie Informationen über installierte Apps an die Kriminellen. Laut Lookout kann DDLight auch Code auf dem Gerät nachinstallieren, jedoch nicht ohne ein Eingreifen des Opfers.
(http://www.heise.de/imgs/18/6/7/1/5/0/1/757a369469a01164.png)
Die Palette der infizierten Apps reicht von Systemtools bis hin zu Programmen, die Fotos von leicht bekleideten Mädchen versprechen. Eine Liste hat Lookout in seinem Blog veröffentlicht. Für ihre Malware-Uploads nutzten die Kriminellen nach derzeitigem Stand die Entwickler-Accounts Magic Photo Studio, Mango Studio, E.T. Tean, BeeGo, DroidPlus und GluMobi.
Unklar ist, ob man den Schädling durch die Deinstallation der App vollständig vom Gerät entfernen kann. Auch ob Google die Apps von infizierten Geräten mit der Remote-Remove-Funktion aus der Ferne gelöscht hat, ist nicht bekannt. Eine Anfrage an Google, wie das Unternehmen die Android-Nutzer künftig vor Malware aus dem Market schützen will, ist bislang noch offen. Um DroidDream von den Smartphones der Opfer zu entfernen, installierte Google im März ungefragt das "Android Market Security Tool March 2011" auf den Geräten, das zunächst mit Root-Rechten den Schädling löschte und anschließend sich selbst.
Ein weiterer Android-Schädling treibt vor allem in China sein Unwesen, wie F-Secure berichtet. Die Kriminellen preisen ihn in einer vermeintlich vom Netzbetreiber stammenden SMS als Update für eine Sicherheitslücke an. Öffnet der Empfänger den Link in der Nachricht, wird der Trojaner AdSMS auf dem System installiert. Die Malware installiert unter anderem Software nach und kann SMS sowohl empfangen als auch senden – möglicherweise um weitere Befehle zum empfangen oder sich weiter zu verbreiten.
Quelle : www.heise.de
-
Mehrere AV-Hersteller berichten von einer Variante des Online-Banking-Trojaners ZeuS, die nach Symbian, BlackBerry und Windows Mobile nun auch Android-Smartphones infiziert – und dort per SMS eingehende TANs auf einen Server hochlädt. Betrüger können auf diese Weise das mobile TAN-Verfahren aushebeln, wenn sie sowohl den PC als auch das Smartphone eines Opfers unter ihre Kontrolle gebracht haben. Damit lassen sich betrügerische Überweisungen vom Konto des Opfers vornehmen.
Die Android-Variante von ZeuS-in-the-Mobile (ZitMo) ist laut Kaspersky simpler gestrickt, als die zuerst im September 2010 aufgetauchte Version für Symbian und später die Windows-Variante. ZitMo für Android muss keine digitalen Zertifikate mitbringen und gelangt als angebliche Sicherheitserweiterung des Herstellers Trusteer per manuellem Download auf das Gerät. Nach der Installation tarnt sich der Trojaner als Aktivierungs-App für Online-Banking.
Damit gibt es zwar für alle modernen mobilen und offenen Plattformen ZeuS-Trojaner, dennoch müssen Anwender nicht in Panik geraten. In keinem der Fälle gelangte der Schädling durch eine Sicherheitslücke etwa beim Besuch einer Webseite auf das Gerät. Immer wurde der Anwender mehr oder minder leicht dazu gebracht, eine vorgebliche Datei auf sein Smartphone manuell herunterzuladen und zu installieren. Wer sich sicher ist, auf solche Tricks nicht hereinzufallen, benötigt auch weiterhin keinen Virenscanner für sein Smartphone.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/6/9/5/4/6/0/a816ad405ee04cb4.jpeg)
Die Sicherheitsexperten von CA haben einen neuen Schädling für Googles Mobilbetriebssystem Android entdeckt, der heimlich Telefongespräche mitschneidet. Hat man die App mit dem Tarnnamen "Android System Message" auf seinem Smartphone installiert, legt sie Mitschnitte aller ausgehenden Telefonate in einem Unterordner der Speicherkarte an.
Zwar fordert die App bei ihrer Installation unter anderem das Recht zur Audioaufzeichnung an, allerdings dürften die meisten Android-Nutzer diesen Abfrage kaum noch zur Kenntnis nehmen, da zahlreiche Apps mehr Rechte anfordern, als sie für den beschriebenen Funktionsumfang eigentlich bräuchten.
In der Konfigurationdatei der App ist laut CA ein Server angegeben, zu dem ein Dienst der App die Aufzeichnungen theoretisch übermitteln könnte – gegenüber Ars Technica gaben die Sicherheitsexperten allerdings an, dass diese Stelle des Codes aufgrund eines Tippfehlers derzeit nicht aktiv sei. Zudem soll der Trojaner weitere Schadroutinen enthalten, auf die CA nicht näher eingeht.
Quelle : www.heise.de
-
IBM-Forscher haben zwei Sicherheitslücken im Webbrowser von Android entdeckt, durch die bösartige Apps Cookies stehlen können. So könnte eine App etwa das Facebook-Cookie auslesen und an einen fremden Server übermitteln, womit der Angreifer Zugriff auf das Facebook-Konto hätte. Normalerweise ist es im Rechtemodell von Android nicht vorgesehen, dass Apps Browsercookies auslesen können.
Bei der ersten Lücke öffnet die App so viele Browsertabs im Android-Browser, bis die maximale Anzahl erreicht ist. Öffnet die App nun noch eine javascript://-URL, wird der darin enthaltene JavaScript-Code im Kontext der zuletzt geöffneten Seite ausgeführt. Das Prinzip ist der zweiten Lücke ist ähnlich, allerdings beruht sie auf geschicktem Timing: Öffnet die App mit geringem zeitlichen Abstand die Zielseite und die javascript://-URL, wird der JavaScript-Code noch im Kontext der zuvor geöffneten Seite ausgeführt. Die Forscher haben in ihrem Paper einen Proof-Of-Concept veröffentlicht, der das Problem demonstriert.
Nur solche Nutzer sind gefährdet, die eine App installiert haben, die die beschrieben Schwachstellen ausnutzt. Dazu müsste der Angreifer seine App an Googles Kontrollen vorbei in den Android Market schleusen oder sie Android-Nutzern als APK-Datei am Market vorbei anbieten. Laut den Forschern sind die Android-Versionen 2.3.4 und 3.1 anfällig, allerdings sei nicht auszuschließen, dass auch ältere Versionen die Schwachstellen aufweisen. Google hat bereits reagiert und die Lücken mit Android 2.3.5 und 3.2 geschlossen. Man sollte seine Geräte daher umgehend auf den neuesten Stand bringen – sofern der Hersteller ein Update anbietet.
Update: Die Sicherheitsexperten Prof. Dr. Michael Backes, Sebastian Gerling, Philipp von Styp-Rekowsky haben am 20. Juni ein sehr ähnliches Problem an Google gemeldet, das die gleiche CVE-Nummer erhalten hat. In ihrem Paper weisen Sie darauf hin, dass ein Angreifer auf diese Weise auch das Cookie des Android Market ausspionieren und zur Installation weiterer Apps missbrauchen kann.
Quelle : www.heise.de
-
Das Handy-Betriebssystem Android von Google wird nach Einschätzung von Sicherheitsexperten mit zunehmender Popularität vermehrt zur Zielscheibe von Viren-Attacken. Bereits 500 Varianten von Schadsoftware aus 56 Familien seien für die beliebte Plattform in Umlauf, so der Virenanalyst Kaspersky . Vor genau einem Jahr sei der erste Schädling aufgetreten. Heute zielten bereits über 20 Prozent aller mobilen Malware speziell auf Android. Grund dafür sei die wachsende Popularität der Plattform, die auch auf Tablet-Computern wie dem Samsung Galaxy Tab oder Motorolas Xoom eingesetzt wird.
Am meisten verbreitet seien heute sogenannte SMS-Trojaner, die sich per Kurznachricht einen Zugang zum Handy verschaffen und dann Schad- oder Spionagesoftware einschleusen oder teure SMS-Dienste anwählen, so der Virenanalyst Christian Funk. Erstmals seien auch Trojaner gefunden worden, die speziell auf das mobile Banking zielen und versuchen, sensible Bankdaten der Handy-Nutzer abzugreifen.
Hersteller von Antivirensoftware warnen seit geraumer Zeit vor der potenziellen Gefahr von Angriffen auf mobile Geräte. Über Jahre hatten sich die Funde allerdings auf wenige Schädlinge beschränkt, die sich zudem allenfalls mit aktiver Hilfe des Nutzer Zugriff auf ein Handy verschaffen konnten.
Quelle : www.heise.de
-
Nachdem erste Infektionen von Android-Handys mit dem Trojaner ZeuS gesichtet wurden, gibt es nun Berichte, dass auch dessen Konkurrent SpyEye den Sprung auf die Smartphone-Plattform geschafft hat. Nach Angaben (http://www.trusteer.com/blog/first-spyeye-attack-android-mobile-platform-now-wild) des AV-Herstellers Trusteer tarnt sich der Schädling als Sicherheits-App und liest unter anderem ankommende SMS mit. Damit ist er in der Lage, das mobile TAN-Verfahren auszuhebeln .
Ähnlich geht auch ZeuS bei der Infektion von Smartphones vor. Bisherige Varianten von ZeuS und SpyEye waren bereits in der Lage, Systeme mit Symbian und Windows Mobile zu infizieren. Anwender müssen jedoch weiterhin nicht in Panik verfallen. Die Schädlinge nutzen keine Schwachstelle im Gerät, sondern eine davor: den Anwender. Der muss die App manuell herunterladen und installieren. Wer einigermaßen achtsam ist, sollte auf den Trick nicht hereinfallen.
Quelle : www.heise.de
-
Ein Anfang September beschriebenes Verfahren (http://kaoticoneutral.blogspot.com/2011/09/using-qr-tags-to-attack-smartphones_10.html), Smartphones via QR-Code anzugreifen ("Attagging"), wird jetzt benutzt, um einen Trojaner auf Android-Geräten zu installieren. Das berichtet (http://www.securelist.com/en/blog/208193145/Its_time_for_malicious_QR_codes) der Securelist-Blog der Antivirus-Firma Kasperky. So gebe es einen QR-Code, der vorgeblich das Paket jimm.apk herunterlädt.
Hinter der mit dem Code angegebenen URL stecke jedoch eine Umleitung auf eine weitere Website, von der das Smartphone die Android-Software herunterlädt. Diese Version des ICQ-Clients Jimm sei mit dem Trojaner Trojan-SMS.AndroidOS.Jifake.f infiziert, der mehrere jeweils 6 US-Dollar teure SMS an einen russischen Premium-Dienst versende. Andere Websites, so der Kaspersky-Bericht, böten in Java geschriebene Trojaner ebenfalls per QR-Code an.
Quelle : www.heise.de
-
Googles Gesichtserkennung zur Entsperrung von Android-4.0-Geräten soll sich mit einem Foto überlisten lassen. Dies will ein Blogger herausgefunden haben und demonstriert es in einem Video. Er zeigt, wie er das Samsung Galaxy Nexus entsperrt, indem er ein Bild von sich auf einem anderen Smartphone vor das Nexus hält.
Ice Cream Sandwich Face Unlock Feature wird durch ein Foto überlistet.
Schon im Oktober ist Koushik Dutta, eine Entwickler der alternativen Android-Firmware CyanogenMod, zum gleichen Ergebnis gekommen. Er twitterte: "Das Gesichtserkennungs-Entsperr-Ding ist wirklich einfach hackbar. Zeig ihm ein Foto". Google-Entwickler Tim Bray wies das mit einer Twitter-Antwort zurück: „Nope. Give us some credit“ (Nein. Vertrau uns ein wenig).
Ein Google-Sprecher betonte gegenüber dem Newsdienst CNet, dass diese Funktion als experimentell angesehen werde und nur wenig Sicherheit biete. Auch die Anwendung weist den Benutzer darauf hin, dass die Entsperrung per Gesichtserkennung unsicherer ist als ein Muster, eine Pin oder ein Passwort: "Jemand, der Ihnen ähnlich sieht, könnte Ihr Telefon entsperren."
Solche Probleme von Gesichtserkennungssoftware sind nicht ganz neu. Bereits 2002 trickste c’t für einen Test die biometrische Zugangssicherung mit einem Foto aus. In dem Artikel "Biometrische Zugangssicherungen auf die Probe gestellt" werden verschiedene Produkte und Verfahren geprüft. Bislang scheinen zumindest die Verfahren, wie sie sich mit Produkten für private Verbraucher realisieren lassen, nicht viel zuverlässiger geworden zu sein.
Quelle: www.heise.de
-
Im Android-Market wächst die Zahl der aufgefallenen Malware-Apps nach Angaben von Sicherheitsexperten in den vergangenen Wochen stark an. Einem Bericht (http://globalthreatcenter.com/?p=2492) des Sicherheitszentrums des US-Netzwerkausrüsters Juniper zufolge ist die Zahl der bekannten Viren, Würmer oder Trojaner für Android im September um ein knappes Drittel gewachsen. Im Oktober habe sich der Bestand dann mehr als verdoppelt, teilte das Juniper Global Threat Center mit.
Die Schadprogramme werden nach Erkenntnissen der Juniper-Experten auch technisch immer ausgereifter. So sei erstmals im Frühjahr Malware aufgefallen, die sich über eine Sicherheitslücke Root-Zugriff auf das Gerät verschafft und so heimlich zusätzliche Programme nachladen kann. Inzwischen weise nahezu jede aufgefallene App diese Möglichkeit auf. Angreifer könnten so die Funktionen ihrer Schadprogramme erweitern.
Die starke Zunahme erklären die Forscher einerseits mit der Sicherheits-Philosophie. Der Android-Market unterliegt anders als Apples AppStore keiner strengen Kontrolle. Zudem wächst die Zahl der Android-Nutzer derzeit sehr stark. Für das iPhone sei zwar relativ wenig Malware bekannt, doch gebe es Apps, die heimlich Benutzerdaten sammeln und übermitteln.
Quelle : www.heise.de
-
Im Android-Market wächst die Zahl der aufgefallenen Malware-Apps...
BUSTED! Secret app on millions of phones logs key taps. :pirate
Posted in Security, 30th November 2011
---> http://www.theregister.co.uk/2011/11/30/smartphone_spying_app/ (http://www.theregister.co.uk/2011/11/30/smartphone_spying_app/)
-
Forscher der North Carolina State University haben mehrere Sicherheitslücken in einigen weitverbreiteten Android-Smartphones entdeckt, durch die Angreifer etwa Daten abgreifen oder löschen, SMS-Nachrichten versenden, die Kommunikation abhören oder eine Standortbestimmung vornehmen können. Verursacht wird diese Schwachstelle durch vorinstallierte Apps einiger Smartphone-Anbieter, die sich nicht an das Android-Sicherheitskonzept halten.
Die Forscher hatten acht Smartphones von vier Herstellern untersucht: Wildfire S, Legend und EVO 4G von HTC, das Motorola Droid und Droid X, Samsungs Epic 4G sowie Googles Modelle Nexus One und Nexus S. Während die Wissenschaftler in ihrer Studie "Systematic Detection of Capability Leaks in Stock Android Smartphones (http://www.csc.ncsu.edu/faculty/jiang/pubs/NDSS12_WOODPECKER.pdf)" an Googles Referenzimplementierungen auf den Nexus-Modellen wenig zu beanstanden hatten, waren sie nach eigenen Angaben überrascht darüber, dass sich die herstellereigenen Implementierungen nicht an das rechtebasierte Sicherheitsmodell von Android hielten.
Die Schwachstellen entstehen vor allem dadurch, dass installierte Apps ihre Rechte wie den Zugriff auf lokale Daten, GPS- oder Mobile-Netze an andere weiterreichen können. Indem die Hersteller ihre vorinstallierten Apps derart konfiguriert haben, können andere Apps diese Rechte nutzen, ohne dass der Benutzer ihnen diese Rechte zugebilligt hat. Von Google und Motorola haben die Forscher inzwischen eine Bestätigung der Schwachstellen erhalten, bei HTC und Samsung stießen sie dagegen auf Schwierigkeiten, die Erkenntnisse weiterzureichen.
Quelle : www.heise.de
-
Googles Bezahlsystem für Android-Smartphones, Wallet, speichert die Daten über Kontostände und Bezahlvorgänge unverschlüsselt ab. Das haben Forscher von Viaforensics herausgefunden.
Wallet ist Googles Einstieg ins mobile Bezahlen. Die im Frühjahr dieses Jahres vorgestellte App soll das bequeme und sichere Bezahlen mit dem Smartphone erlauben, hatte Google versprochen. Bis dahin scheint es allerdings noch ein längerer Weg zu sein. Lediglich die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden bisher sicher abgespeichert. Praktisch alle anderen bei der Nutzung von Wallet anfallenden Daten landen unverschlüsselt auf dem Smartphone und können prinzipiell ausgelesen werden. Das berichtet Andrew Hoog, leitender Forscher des Sicherheitsunternehmens Viaforensics, in einem Blogbeitrag auf der Homepage des Unternehmens.
In dem Beitrag (http://viaforensics.com/mobile-security/forensics-security-analysis-google-wallet.html) heißt es: "Während Google Wallet bei der sicheren Speicherung Ihrer vollständigen Kreditkarte einen ordentlichen Job macht [...], ist die Menge von Daten, die Google Wallet unverschlüsselt speichert, beträchtlich."
Die vollständige Kreditkartennummer und der zugehörige Sicherheitscode werden auf dem NXP-Chip der für Wallet geeigneten Smartphone-Modelle gespeichert. Bisher gilt der verwendete Chip PN65 als sicher. Die übrigen Daten zu Konten und Bezahlvorgängen werden laut Viaforensics unverschlüsselt "in verschiedenen SQLite-Datenbanken" auf dem Smartphone gespeichert.
Darin sieht Hoog ein erhebliches Sicherheitsrisiko: "Die Gelegenheit, diese Daten für einen Social-Engineering-Angriff auf Verbraucher zu nutzen, ist ziemlich groß. Wenn ich zum Beispiel Ihren Namen weiß, wann Sie Ihre Kreditkarte zuletzt benutzt haben, die letzten vier Ziffern und das Gültigkeitsdatum der Karte, so bin ich ziemlich optimistisch, dass ich diese Daten zu meinem Vorteil nutzen könnte."
Google hat die Ergebnisse der Viaforensics-Forscher nicht bestritten. Gegenüber NFC World erklärte Google dazu: "Die Viaforensics-Studie widerlegt die Effektivität der mehrschichtigen Sicherheitsmechanismen in Android OS und Google Wallet nicht. Der Bericht bezieht sich auf ein gerootetes Handy. Aber selbst in diesem Fall schützt das sichere Element die Bezahlungsinstrumente, einschließlich Kreditkartennummer und Sicherheitscode. [...] Auf der Grundlage der Befunde im Bericht haben wir die App geändert, um zu verhindern, dass gelöschte Daten auf gerooteten Geräten wiederhergestellt werden können."
Quelle : www.golem.de
-
Nach Angeben von Symantec sind 13 Android-Apps (http://www.symantec.com/connect/fr/blogs/androidcounterclank-found-official-android-market) mit einem Trojaner verseucht. Anhand der Download-Zahlen lässt sich abschätzen, dass mehrere Hunderttausend Smartphones und Tablets betroffen sind. Bei den Anwendungen handelt es sich hauptsächlich um Spiele der Anbieter iApps7 Inc, Ogre Games und redmicapps, die mit dem Trojaner Counterclank (http://www.symantec.com/security_response/writeup.jsp?docid=2012-012709-4046-99) infiziert sind. Die Apps verlangen bei der Installation nach ungewöhnlich weitreichenden Berechtigungen, wie dem Zugriff auf Bookmark-Liste und den Browser-Verlauf sowie Standort-Daten und Telefonstatus.
(http://www.heise.de/imgs/18/7/6/3/6/6/0/976b3489e1b4cd1b.png)
Statt CounterStrike holt man sich den Trojaner
Counterclank auf's Smartphone.
Betroffene Geräte erkennt man daran, dass ein Dienst namens apperhand läuft und in einigen Fällen auf einem der Startbildschirme ein Search-Icon auftaucht. Der Trojaner liest nach Angaben von Symantec unter anderem Daten wie Bookmarks, Geräteinformationen, IMEI- und SIM-Kartennummer aus und modifiziert die Browser-Homepage. Mit unerwünschten Werbeeinblendungen profitierten die Anbieter. Mit der Deinstallation der App unter "Einstellungen > Anwendungen > Anwendungen verwalten" lässt sich der Trojaner vergleichsweise einfach entfernen. Einige der infizierten Programme befinden sich derzeit immer noch im Angebot des Google Android Market.
Quelle : www.heise.de
-
Die von Symantec als Schadsoftware eingestuften Apps seien gar keine Malware, kritisiert der Android-Sicherheitsspezialist Lookout. Vielmehr handele es sich bei dem vermeintlichen Schadcode-Paket "Apperhand" um die Integration eines aggressiven Anzeigennetzwerks. Lookout bietet wie Symantec selbst Antiviren-Software für Android an.
Symantec hatte 13 Apps, die ein Werbemodul des Apperhand-Netzwerks enthalten, als bösartig eingestuft und davor gewarnt, dass sich bereits bis zu 5 Millionen Android-Nutzer damit infiziert hätten. Apperhand übermittelt einen Hash der Geräte-IMEI an einen Server, um den Benutzer eindeutig identifizieren zu können. Zudem öffnet das Werbemodul das Gerät für den Empfang von Werbung mittels Push-Nachrichten, fügt dem Programm-Launcher eine Verknüpfung zur Apperhand-Suchmaschine hinzu und kann Einträge zur Favoritenliste des Browsers hinzufügen. Im Internet gibt es zudem Berichte von Anwendern, nach denen die Apps auch die Standardsuchmaschine und die Startseite des Browsers manipulieren.
Diese Aktivitäten rechtfertigen jedoch nach Meinung von Lookout die Einstufung als Malware nicht: "In die Kategorie Malware gehören Programme, die dazu entworfen wurden, bösartige Aktivitäten auf dem Gerät durchzuführen. Sie kann etwa dazu genutzt werden, persönliche Informationen zu stehlen, durch die Identitätsdiebstahl oder finanzieller Schaden möglich ist", erläutert das Unternehmen. Dass normale Anwender die Adware-Aktivitäten nicht auf ihren Smartphones haben möchten, genüge dafür nicht.
Die Apps fordern bei der Installation alle nötigen Rechte an, wie ein Nutzer des heise-Forums dokumentiert hat. Es steht jedoch außer Frage, dass viele Nutzer die Rechteabfrage des Android-Betriebssystems bestenfalls flüchtig überfliegen und sich nicht nur über die Konsequenzen ihrer Entscheidung im Klaren sind. Nach wie vor ist es im Auslieferungszustand nicht möglich, einer App gezielt einzelne Rechte zu entziehen.
Inzwischen hat Google einige der von Symantec als Malware klassifizierten Apps aus dem Market entfernt. Mit den aufdringlichen Werbemaßnahmen scheint dies jedoch nicht in Verbindung zu stehen: Die entfernten Apps haben offenbar widerrechtlich bekannte Spielenamen wie CounterStrike genutzt, um Nutzer in die Werbefalle zu locken. Andere Spiele mit Apperhand-Code, etwa die Apps von Ogre Games, kann man nach wie vor im Android Market finden.
Quelle : www.heise.de
-
Vergangene Woche warnte das Sicherheitsunternehmen Symantec vor einer als "Android.Counterclank" bezeichneten Malware, die bis zu fünf Millionen Systeme infiziert haben soll. Nun gaben die Sicherheitsexperten wieder Entwarnung.
Die "Entwarnung" kann man allerdings auch als Rückzieher verstehen. Wie 'The Verge' berichtet hat Symantec den Begriff "Malware" nämlich aus der Beschreibung von "Android.Counterclank" wieder entfernt.
Symantec schreibt, dass "die Situation, in der wir uns im Moment wiederfinden mit jener vergleichbar ist, als Adware, Spyware und ähnliches erstmals auf Windows aufgetaucht sind", so das US-Unternehmen. "Viele Anbieter von Sicherheitssoftware haben damals diese Anwendungen nicht als das erkannt, was sie waren." Erst mit der allgemeinen Zustimmung (bzw. dem Bewusstsein) von Computer-Nutzern hätten Sicherheitsfirmen begonnen, auf diese Art der Gefahr hinzuweisen, so Symantec.
Anders gesagt: Bei Anwendungen mit "Android.Counterclank" handelt es sich zweifellos um eine dubiose Software, als Malware kann sie aber auch nicht bezeichnet werden. Bereits kurz nach der Symantec-Warnung hatte der auf Android-Sicherheit spezialisierte Konkurrent 'Lookout Mobile Security' der Warnung der Symantec-Kollegen widersprochen und gemeint, dass Counterclank keine Malware im eigentlichen Sinne sei. Es sei vielmehr eine "aggressive" Werbe-Software, die viele Funktionen habe, die Nutzer als "unangenehm" empfinden würden.
Als Malware könne die Software aber nicht bezeichnet werden, weil sie nicht dazu diene, Nutzerdaten zu stehlen oder das Gerät in irgendeiner Weise zu gefährden. Lookout betonte allerdings auch, dass man sie dennoch ernstnehmen sollte.
Symantec schreibt im aktuellsten 'Blogeintrag', dass man Google auf die Software hingewiesen habe, der Android-(Market-)Betreiber die umstrittenen 13 Apps aber im Angebot gelassen hat, weil man keinen Verstoß gegen die Nutzungsbedingungen erkennen konnte. Die "überzogene" Symantec-Warnung wurde auch wegen angeblicher "Panikmache" kritisiert, da Anbieter von Sicherheitssoftware direkt von einem gesteigerten Schutzbedürfnis der Nutzer profitieren.
Quelle: www.winfuture.de
-
In einer Reihe von Android-Smartphones von HTC ist eine Sicherheitslücke gefunden worden, über die Angreifer WLAN-Zugangsdaten samt Kennwörtern ausspähen können. HTC ist gerade dabei, die betroffenen Geräte mit einem Patch zu versorgen.
In verschiedenen Android-Smartphones von HTC wurde im September 2011 eine Sicherheitslücke entdeckt, über die Angreifer Zugriff auf WLAN-Zugangsdaten erhalten können. In einer mit HTC koordinierten Aktion hat das US-Cert das Sicherheitsleck nun bekanntgemacht. Der Fehler kann von Angreifern dazu missbraucht werden, auch WLAN-Kennwörter auszuspähen.
Für einen Angriff ist lediglich eine Android-Anwendung erforderlich, die Zugriff auf die WLAN-Funktionen des Android-Geräts erhält. Wenn diese Anwendung dann auch noch die Befugnis hat, Daten zu versenden, könnten Angreifer so etwa Zugangsdaten zu Firmennetzwerken erhalten.
Von dem Sicherheitsloch sind unter anderem die HTC-Modelle Desire S, Desire HD und Evo 3D betroffen. Das Nexus One soll den Fehler nicht haben. Ansonsten nennt das entsprechende Sicherheitsdokument (http://www.kb.cert.org/vuls/id/763355) weitere HTC-Modelle, die aber nicht in Deutschland vermarktet werden. Derzeit liegen keine Informationen dazu vor, ob noch weitere in Deutschland angebotene HTC-Smartphones von dem Problem betroffen sind.
Nach Angaben von HTC haben einige der betroffenen Modelle bereits ein Update erhalten, für die übrigen Modelle wird mit der Patch-Verteilung gerade begonnen. Google hatte den Android Market nach Anwendungen durchsucht, die das Sicherheitsloch ausnutzen, wurde aber nicht fündig. Demnach gibt es derzeit im Android Market keine Anwendung, die diesen Fehler ausnutzt.
Im Rahmen des Fehlers hat Google Optimierungen am Android-Code vorgenommen, um solche Attacken besser abwehren zu können. Prinzipiell gibt es den Fehler wohl nur in Android-Smartphones von HTC, während Android-Smartphones anderer Hersteller das Problem nicht kennen.
Quelle : www.golem.de
-
Seit einiger Zeit richtet sich der Blick der Android-Nutzer verstärkt auf das Thema Malware. Immer häufiger heißt es, dass das Google-Betriebssystem von schädlicher Software betroffen sei. Nun hat Google das Gegenmittel namens Bouncer vorgestellt.
"Bouncer" heißt im Englischen Türsteher und das ist auch schon die beste Beschreibung für den gerade auf dem 'Google Mobile Blog' vorgestellten Dienst für das Android-Betriebssystem. Seine Aufgabe ist vor allem das automatische Scannen des Android Markets.
Der Nutzer soll von Bouncer nichts mitbekommen, da der Service nicht auf dem Gerät selbst installiert wird, sondern seine Arbeit intern im Android Market verrichtet. Auch für (legitime) Entwickler, die keinerlei Schadsoftware in ihre Anwendungen einbauen, bedeutet das keinen zusätzlichen Zulassungsprozess. Bouncer arbeitet versteckt im Hintergrund.
Die neue Sicherheitsfunktion im Android Market scannt neue Apps und Anwendungen, die bereits im Android Market sind, sowie Entwickler-Accounts. Sobald eine App im Android Market hochgeladen wurde, beginnt Bouncer mit einer Analyse auf Malware, Spyware und Trojaner.
Außerdem wird das Verhalten einer jeweiligen App untersucht und mit anderen, zuvor gescannten Anwendungen verglichen, um mögliche Bedrohungen festzustellen. Die Untersuchung von Entwicklerkonten dient dazu, um "Wiederholungstäter" auszusieben und sie von einem "Comeback" über einen alternativen Account abzuhalten.
Nach Google-eigenen Angaben verrichtet Bouncer schon seit geraumer Zeit seine Dienste im Android Market. Zwischen der ersten und der zweiten Jahreshälfte 2011 habe man auf diese Weise die Anzahl von potenziell bedrohlicher Downloads um 40 Prozent reduzieren können. Im Blog-Beitrag widerspricht Google auch diversen Meldungen von Softaware-Sicherheitsfirmen: Der Rückgang habe sich laut dem Android-Entwickler gerade zu dem Zeitpunkt ereignet, als die externen Unternehmen einen markanten Anstieg von Malware im Market gemeldet haben.
Quelle: www.winfuture.de
-
Nur sieben Produkte mit einer Erkennungsrate von über 95 Prozent, aber dafür ganze 24 mit weniger als 65 Prozent – ein von AV-Test (http://www.av-test.org/tests/android/) durchgeführter Test zeigt, dass Virenschutz-Apps für Android-Handys noch längst nicht die Zuverlässigkeit der Desktop-Programme erreicht haben.
(http://www.heise.de/imgs/18/7/8/1/6/3/1/78ce9fec877efcb5.png)
Parallel zur explodierenden Anzahl der verfügbaren Apps steigt auch die Zahl der Schädlinge für Android-Smartphones. Vom Online-Banking-Trojaner über Premium-Dialer bis hin zu Spionageprogrammen reicht das Spektrum der Schadprogramme. AV-Test hat mit insgesamt 618 Schädlingen die Erkennungsleistung von 41 Virenscanner für Android-Smartphones getestet.
Dabei haben die Programme der bekannten AV-Hersteller Avast, Dr. Web, F-Secure, Ikarus und Kaspersky über 95 Prozent aller Schädlinge erkannt; auch die auf Mobil-Plattformen spezialisierten Scanner von Lookout und Zoner landeten in dieser Spitzengruppe. Weitere zehn Produkte erkannten noch mehr als 65 Prozent. Doch mit BullGuard, Commodo, G Data und McAfee landeten auch einige aus der PC-Welt bekannte Namen im Feld mit schlechten Erkennungsraten von weniger als zwei Dritteln. Bei insgesamt sechs Proukten wie Android Antivirus und Android Defender konnten die Tester überhaupt keine Erkennungsfunktionen ausmachen.
Die Aussagekraft des Tests muss man allerdings ein wenig relativieren, weil die insgesamt 618 Schädlinge Variationen von nur etwa 20 Basisversionen wie Rooter, Opfake und FakeInst waren. Das gaukelt eine Vielfalt vor, die so eigentlich gar nicht vorhanden ist. Man darf davon ausgehen, dass auch die insgesamt knapp 12.000 Malware-Exemplare für die Android-Plattform im AV-Test-Zoo auf sehr viel weniger Grundformen zurückzuführen sind.
Die Scanner erkennen Schädlinge vor allem mit Hilfe passender Signaturen; erweiterte Erkennungsmethoden wie ausgefeilte Heuristiken oder gar Verhaltenserkennung darf man nicht erwarten. Das reduziert die Schutzfunktion der AV-Software auf bekannte Malware; vor bislang unbekannter Schadsoftware, von der es noch keine Signaturen gibt, kann sie somit nicht schützen.
Google hingegen durchforstet den eigenen App-Store nach heuristischen Kriterien auf Malware, die auch auf unbekannte Schädlinge ansprechen können. Allerdings gibt es mittlerweile auch bereits Trojaner, die den eigentlichen Schadcode erst nachträglich aus dem Netz nachladen, was eine präventive Erkennung im Store fast unmöglich macht. Diese Gefahr ist ein direktes Resultat der Tatsache, dass bei Android – anders als etwa bei iOS – auszuführender Code nicht digital signiert sein muss.
Quelle : www.heise.de
Nutze selber sowohl auf Smartphone und Tablet als auch auf dem PC seit einiger Zeit die kostenlose Lösung von Avast ... und bin sehr zufrieden damit ...
-
Die Malware-Labors von McAfee melden einen neuen Android-Trojaner, der sich als von der Bank bereitgestellter Generator für Transaktions-Tokens ausgibt. Android/FakeToken.A fragt den Authentisierungs-Code des Anwenders ab und generiert ein angebliches Token, das in Wirklichkeit eine wertlose Zufallszahl ist.
Der Trojaner sendet den Authentisierungs-Code sowie Geräte-Informationen wie IMEI und IMSI sowohl an eine Rufnummer als auch an Kontroll-Server im Internet. Die Angreifer können sich dann mit dem Authentisierungs-Code auf dem Konto des Opfers anmelden und eine SMS mit mTAN-Kennungen bestellen. Trifft die angeforderte SMS auf dem Smartphone ein, fängt der Android-Trojaner sie im Hintergrund ab und leitet die mTANs an die Urheber der Malware weiter. Damit hat der Angreifer alle Informationen zum Zugriff auf das Konto des Opfers.
Darüber hinaus hält sich Android/FakeToken.A ständig auf dem neuesten Stand. Über einen Eintrag im Android-Scheduler überprüft der Trojaner in regelmäßigen Abständen, ob sich die Rufnummern und Kontroll-Server-URLs geändert haben und aktualisiert bei Bedarf seine Konfiguration. Zusätzlich kann die Malware dem Angreifer alle Einträge des Smartphone-Adressbuchs senden.
Der Trojaner wird den Anwendern mutmaßlich über SMS-Nachrichten oder Phishing-Mails untergeschoben, die angeblich von der Bank stammen. Carlos Castillo von McAfee zufolge beschränkt sich die Verbreitung derzeit auf den spanischsprachigen Raum.
Quelle: www.heise.de
-
Kriminelle nutzen gehackte Webseiten, um Android-Nutzern "im Vorbeisurfen" (Drive-By-Download) Malware unterzujubeln. Besucht ein Android-Nutzer eine der infizierten Seiten, beginnt ohne sein Zutun der Download der Installationsdatei Update.apk. Startet der Nutzer den Installer daraufhin, gibt er sich als Sicherheitsupdate "com.Security.Update" aus.
Statt das System abzusichern, kontaktiert die auf den Namen NotCompatible getaufte Malware jedoch einen Kommandoserver im Internet und öffnet dem Angreifer eine Art eine Hintertür in das lokale Netz, wie die Antivirenfirma Lookout berichtet (http://blog.mylookout.com/blog/2012/05/02/security-alert-hacked-websites-serve-suspicious-android-apps-noncompatible/#comments). Auf diese Weise könnte der Angreifer etwa auf Webserver oder Netzwerkfreigaben zugreifen, die eigentlich vom Internet abgeschirmt und dadurch nicht öffentlich erreichbar sind. Ob derartige Zugriffe tatsächlich stattgefunden haben, geht aus dem Bericht nicht hervor.
Laut Lookout ist dies der erste bekannte Fall, in dem gehackte Webseiten zur Verbreitung von Android-Malware missbraucht wurden. Der Drive-By-Code wurde auf dem Server androidonlinefix.info gehostet und als iFrame in die geknackten Seiten eingebettet. Den bekamen aber nur Android-Nutzer zu sehen, da der Code den User Agent des Besuchers ausgewertet hat. Schädlinge, die es auf Desktop-Betriebssysteme abgesehen haben, werden schon seit geraumer Zeit auf diese Weise verbreitet.
Sicherheitslücken haben die Kriminellen nicht ausgenutzt, sodass der Nutzer die Datei noch manuell ausführen muss. Darüber hinaus muss die Option "Installation von Nicht-Market-Apps zulassen" aktiv sein, damit man die Schadsoftware überhaupt installieren kann. Laut Lookout sind die infizierten Seiten nicht besonders gut besucht, der Schaden soll sich daher in Grenzen halten.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/8/3/9/3/2/6/77cef4720fbad09f.png)
Das Schnüffelprogramm WhatsApp Sniffer zeigt Nachrichten von WhatsApp-Nutzern im gleichen Netzwerk an. Das Tool leitet den gesamten Datenverkehr zum Beispiel in einem WLAN durch das Smartphone und sucht nach Whatsapp-Nachrichten, die im Klartext übertragen werden. Es genügt ein Android-Smartphone, auf dem man den Root-Zugang freigeschaltet hat.
Der Messaging-Dienst WhatsApp hat sich bei Smartphone-Nutzern inzwischen als SMS-Ersatz etabliert, weil man anders als beim SMS-Versand nur den entstehenden Datentraffic zahlen muss – in der Nähe eines WLAN-Hotspots ist die Nutzung somit in der Regel kostenlos.
Allerdings ist es gerade in solchen öffentlichen Netzen eine denkbar schlechte Idee, WhatsApp zu benutzen: Denn wie schon der c't-Artikel Gut App-geschaut (http://www.heise.de/ct/inhalt/2012/07/120/) gezeigt hat, gehen anders als etwa bei iMessage die WhatsApp-Nachrichten im Klartext über die Leitung, wodurch sie ein neugieriger Datenlauscher leicht mitlesen kann.
Was bislang den Einsatz verschiedener Tools und rudimentäre Netzwerkkenntnisse erfordert hat, erledigt das WhatsApp Sniffer nun bequem per Fingertap auf dem Smartphone. Wer WhatsApp installiert hat kann sich eigentlich nur schützen, indem er auf die Nutzung in einem WLAN verzichtet, in dem er nicht jedem einzelnen Mitbenutzer vertraut.
Das Tool leitet den gesamten Netzwerkverkehr im lokalen Netz mittels ARP-Spoofing durch das Smartphone. Entdeckt es im durchgeleiteten Verkehr WhatsApps-Nachrichten, zeigt es diese in Form einer komfortablen Konversationsansicht an. Es zeigt sowohl ein- als auch ausgehende Nachrichten an und macht auch vor übertragenen Fotos und Videos nicht Halt. Bei einem kurzen Test von heise Security hielt das Tool, was es verspricht.
Ursprünglich wurde WhatsApp Sniffer über den Downloadmarkt Google Play angeboten, allerdings hat es Google dort vor wenigen Tagen entfernt. Das wird seine Verbreitung jedoch bestenfalls bremsen, aber nicht stoppen. Eine Google-Suche fördert schnell die APK-Installationsdatei zu Tage. Auch die App DroidSheep, mit der man Sitzungen von Facebook und anderen Webdiensten kapern kann, wurde vor einiger Zeit aus dem Google-Shop verbannt – und erfreut sich bei Kids immer noch großer Beliebtheit.
Quelle : www.heise.de
-
Jon Oberheide und Charlie Miller ist es offenbar gelungen, Googles Bouncer zu kapern, der Android-Apps auf mögliche Schadfunktionen untersuchen soll. In einem Vortrag Ende der Woche wollen sie dann auch offenlegen, wie sie Software mit Schadfunktionen an Googles Tests vorbei in den Market Google Play geschmuggelt haben.
Bereits seit 2011 durchforstet Google den hauseigenen App-Store nach möglicherweise schädlichen Programmen. Dazu werden die Apps in einer virtuellen Umgebung ausgeführt und beobachtet. Das jetzt vorab veröffentlichte Video zeigt, wie eine App während sie in der virtuellen Bouncer-Umgebung läuft, eine Verbindung nach Hause öffnet und den beiden Forschern dort eine Linux-Kommandozeilen-Shell bereitstellt. Innerhalb dieser Virtuellen Maschine können sie sich dann frei bewegen und sehen unter anderem, dass es sich um eine Qemu-Instanz handelt. Ein Trojaner könnte dies ebenfalls feststellen – etwa an der Existenz des Verzeichnisses /sys/qemu_trace – und sich daraufhin nur noch von seiner guten Seite zeigen.
[ Invalid YouTube link ]
Jon Oberheide demonstriert eine interaktive Shell in der Bouncer-VM.
Das Ganze ist als Werbung für ihren Vortrag gegen Ende der Woche auf der Summercon in New York gedacht. Die Experten wollen zeigen, wie Betrüger Schadsoftware in Google Play unterbringen können, ohne eine Entdeckung durch Googles Bouncer fürchten zu müssen. Dass sich eine automatisierte Überprüfung von Apps in Virtuellen Maschinen umgehen lässt, ist allerdings keine echte Überraschung. Windows-Trojaner suchen häufig gezielt nach Anzeichen für VMware oder andere Virtualisierungtechniken und stellen sich dann tot, um eine Analyse zu erschweren. Außerdem stellten die Hersteller von Antirviren-Software erst kürzlich fest, dass sie bereits seit Jahren Exemplare des Superspions Flame in ihren Software-Pools hatten, ihre Testprogramme darauf jedoch nicht angesprungen waren.
Quelle: www.heise.de
-
(http://www.golem.de/1207/sp_92923-38764-i.jpg)
Forscher demonstrieren ihr Clickjacking-
Rootkit für Android. (Bild: NC State University)
Sicherheitsforscher der US-Universität North Carolina State haben ein funktionsfähiges Clickjacking-Rootkit für Android entwickelt. Sie nutzen dazu eine Schwäche im Android-Framework.
Xuxian Jiang und Kollegen von der North Carolina State University haben ein Clickjacking-Rootkit für Android entwickelt. Die Sicherheitsforscher wollen damit belegen, dass es möglich ist, mit einer infizierten App ein Smartphone stärker zu manipulieren, als es bisher der Fall war.
Dazu nutzen sie ein von ihnen entdecktes Sicherheitsproblem in Android 4.0.4 alias Ice Cream Sandwich und früheren Versionen des Betriebssystems. Welche genau das sind, wurde nicht angegeben, ebenso wenig ob auch das neue Android 4.1 Jelly Bean betroffen ist. Das Rootkit greift nicht über den Kernel, sondern über das Android-Framework an. Das bedeutet, dass keine aufwendigen Manipulationen der Firmware nötig sind.
So könnte das Rootkit etwa den Standardbrowser durch einen Browser ersetzen, der genauso aussieht und sich ebenso verhält - aber alle eingegebenen Informationen wie etwa Konto- und Kreditkartendaten unbemerkt an Dritte weiterleitet.
Video: (http://www.golem.de/news/clickjacking-rootkit-forscher-zeigen-ausgekluegelten-angriff-auf-android-1207-92923.html) Proof-of-Concept von der UC State University
Weitreichende Angriffsmöglichkeiten
Zudem könnte das Rootkit genutzt werden, einige oder alle Apps auf dem Smartphone zu verstecken oder zu ersetzen. In einem Demonstrationsvideo zeigen die Forscher das Rootkit in Aktion.
"Diese Art des Angriffs wäre viel ausgeklügelter als das, was wir bisher gesehen haben, spezifisch angepasst auf Smartphone-Plattformen", so Jiang in einer Pressemitteilung der NC State. "Das Rootkit war nicht so schwer zu entwickeln, und keine existierende mobile Sicherheitssoftware kann es erkennen."
Jiang und seine Kollegen wollen nun daran arbeiten, Smartphones gegen solche Attacken besser zu schützen. Ihr Ziel ist es, Black-Hat-Hackern zuvorzukommen und Systeme sicherer zu machen.
Erfahrung hat Jiang damit bereits: Er ist Gründer des im Mai 2012 angekündigten Android Malware Genome Project, einem gemeinschaftlichen Forschungsprojekt zum besseren Verständnis existierender Android-Malware.
Quelle: www.golem.de
-
Diese Woche sorgte der Bericht eines Antispam-Spezialisten von Microsoft für einiges an Aufregung: Terry Zink will Hinweise auf ein Android-Botnetz gefunden haben, was Google nun aber entschieden bestreitet. Auch Zink ruderte inzwischen zurück.
Wie das US-Technik-Blog 'The Verge' berichtet, hat Google dem Bericht bzw. der Einschätzung von Terry Zink, Programm-Manager für Antispam-Maßnahmen im ForeFront-Security-Team von Microsoft, widersprochen: Die eigenen Analysen der Sachlage hätten das Suchmaschinenunternehmen in einer andere Richtung geführt, so Google.
"Die Beweislage stützt die Android-Botnetz-Behauptung nicht", schreibt Google. "Unsere Untersuchung weist darauf hin, dass Spammer infizierte Rechner und gefälschte mobile Signaturen verwenden, um Anti-Spam-Mechanismen der E-Mail-Plattform, die sie verwenden, zu umgehen."
Auch Zink, der die Botnetz-Behauptung am Mittwoch in seinem Blog aufgestellt hat, ist sich seiner Sache inzwischen nicht mehr ganz so sicher: In einem zweiten 'Blog-Eintrag' schreibt der Sicherheitsexperte, dass tatsächlich keine echten Beweise für die Existenz eines derartigen Botnetzes existierten.
Zink gibt zu, dass die Hinweise darauf auch irreführend sein könnten: Die Message-ID im Header einer jeweiligen Nachricht lasse sich fälschen, ebenso der Hinweis "Sent from Yahoo! Mail on Android" am Ende der Spam-Mail. Der Microsoft-Mann räumt ein, dass er diese Möglichkeit von Anfang an in Betracht gezogen habe, sich aber entscheiden habe, dass ein Android-Botnetz mehr Sinn ergeben habe.
Auch andere Sicherheitsexperten, darunter von Sophos, sagten, dass die derzeitige Faktenlage kein endgültiges Urteil zulasse. Gegenüber 'The Register' sagte Sophos-Experte Chet Wisniewski, dass es lediglich "kleine Beweise-Teile gibt, aber keinen endgültigen ('Smoking Gun')." Auch Yahoo hat inzwischen angekündigt, die Sache näher untersuchen zu wollen.
Quelle: www.winfuture.de
-
(http://www.heise.de/imgs/18/8/9/3/6/4/8/3ad619844e0dddee.png)
Auf einem Google
Nexus mit Ice
Cream Sandwich
wird X-Ray nicht
fündig.
Das kostenlose Sicherheitstool X-Ray (http://www.xray.io/) klopft ein Android-Smartphone auf eine Reihe von Sicherheitslücken ab, durch die Malware an höhere Rechte gelangen kann (Privilege Escalation). Dass solche Lücken vorhanden sind, ist dabei sehr wahrscheinlich: Laut Google ist nur auf rund 10 Prozent aller Geräte eine halbwegs aktuelle und sichere Betriebssystemversion (4.0 und höher) installiert. Entwickelt wurde das Tool der Firma Duo Security, die Smartphone-Sicherheitsexperte Jon Oberheide mitbegründet hat.
Nach einem Tap auf "X-Ray my device!" ("Röntge mein Gerät!") überprüft das Tool, ob und welche Exploits auf dem Smartphone erfolgreich wären. In einem ersten Test wurde der Schwachstellenscanner auf einem brandneuen Samsung Galaxy beam mit Android 2.3.6 auch prompt fündig; mit dem Gingerbreak-Exploit kann sich hier laut X-Ray jede beliebige App Root-Rechte verschaffen. Ändern kann man in einem solchen Fall jedoch nichts daran, da der Hersteller derzeit kein Update auf eine aktuelle Android-Version anbietet.
Aus diesem Grund sollte man X-Ray auch nicht als Sicherheitstool für Endanwender oder gar als Alternative zum Virenscanner verstehen. Vielmehr ist es ein Wachrüttler für Smartphone-Hersteller und -käufer, der auf ein nicht mehr ganz neues Problem aufmerksam macht: das Fehlen sicherheitsrelevanter Betriebssystemupdates. Die Entwickler der App fertigen nach eigenen Angaben anonymisierte Statistiken über die auf den Smartphone-Modellen gefundenen Schwachstellen an. Mit deren Hilfe wollen sie in Zukunft Druck auf die Netzbetreiber ausüben, damit sich diese eine Lösung für das zugrunde liegende Problem einfallen lassen.
Anders als in der Windows-Welt setzen die Programmierer von Android-Malware bislang vor allem noch darauf, dass die Smartphone-Besitzer die Schadsoftware selbst installieren. Dazu wird der Schädling etwa als bekanntes Spiel wie Angry Birds getarnt und über alternative Download-Portale oder Warez-Foren verteilt. Der Exploit kommt erst anschließend zum Einsatz, um etwa mit Root-Rechte tief greifende Änderungen am System durchzuführen. Unter Windows werden Exploits auch zur initialen Infektion des Systems genutzt; etwa wenn das potenzielle Opfer eine speziell präparierte Webseite besucht (Drive-by).
Quelle: www.heise.de
-
Ja, Samsung und Co lassen sich SEHR viel Zeit mit neuen Betriebssystemen! Zum Glück gibt es Cyanogenmod etc. ... aber halt leider eben nur für die ganz teuren oder für schon etwas ältere Handys.
Mit meinem Ace 2 sitzte ich im Moment auf Gingerbread 2.3.6 festgenagelt. Es ist ansonsten ein echt gutes Handy, aber das versprochene ICS-Update von Samsung kommt irgendwann. Wahrscheinlich hab ich bis dahin schon Jelly Bean von Cyanogen oder einem anderen Mod ... den XDA-Developers sei Dank!
-
Tja ...da mein HTC Desire HD ja wohl doch kein Update auf ICS bekommt (wie am WE überraschender Weise bekannt wurde)...bleibt mir wohl auch nur nen Custom ROM ....
Das Samsung Galaxy S3 würde mir ja auch gefallen ;D ... ist mir i.M. aber noch definitiv zu teuer ...
-
Ich habe vor ca 10 Tagen ein Update auf 4.03 bekommen, allerdings auf das Galaxy S2.
-
Custom Roms für Desire HD?
Bitteschön :D
http://forum.xda-developers.com/showthread.php?t=1610483
-
thx :)
-
So, wie ich die Jungs dort kenne, gibt es auch bald ein Jelly Bean, das scheint von ICS aus nur ein kleiner Schritt zu sein. Beim Ace 2 beklagen sie sich nämlich, dass man im Prinzip erst mal ein laufendes ICS braucht, damit man ein Jelly Bean leicht draus machen kann - und das haben sie noch nicht. :( Es soll ja IRGENDWANN von Samsung kommen ... :hmm
-
Ich hab mich nun erstmal hier dran beteiligt -> http://forum.xda-developers.com/showthread.php?t=1786479
bezüglich Custom ROM hatte ich schon mal umgesehen ...bin aber noch unentschieden ....
Aber eines weiss ich schon genau ... in Zukunft keine HTC Geräte mehr (bin echt sauer) ...wie schon geschrieben ...das neue Samsung oder vielleicht auch ein Nexus ...
-
Ich informiere mich jetzt schon 3 Monate über smartphones, Tablets & Co.. Was wirklich negativ auffällt ist die Update-Politik der Hersteller. Bis vor einem Monat (Ankündigung und Veröffentlichung "Jelly Bean") war "Google" der Schuldige. Jetzt sieht es eher so aus, als würden nur noch max. 1 Jahr alte Phones (und Tablets) ein upgrade bekommen, obwohl Google sehr frühzeig Sourcecodes und Developer Kits zur Verfügung stellt und hardwareseitig bei vielen Geräten kein Hindernis da ist. Mir kommt da schon der Verdacht auf: Der Kunde soll kaufen, wegschmeissen und kaufen.... :( :( :(
Mein Favorit (Preis/Leistung auf dem Papier, wenn's mal bei <330 gelandet ist) wäre dieses hier gewesen: http://www.golem.de/news/huawei-ascend-p1-7-69-mm-duennes-smartphone-mit-android-4-0-1207-93400.html , allerdings ist die Akku-Sch... (Super-Amoled!) und Update-Unsicherheit bei diesem Gerät wieder mal ein großer Hemmschuh!
-
Das Testlabor AV-Comparatives hat 13 Schutzprogramme für Android-Smartphones untersucht (PDF). Dabei kam heraus, dass alle Testkandidaten zuverlässig vor 75 Virenfamilien schützen – die Erkennungsrate lag stets bei mindestens 93 Prozent. Insgesamt haben die Experten über 18.000 verseuchte Apps auf die Testgeräte losgelassen. Keines der Schutzprogramme leistete sich einen Fehlalarm. Allerdings kamen für diesen Test lediglich 200 verbreitete, gutartige Apps zum Einsatz.
Auf die Akkulaufzeit wirkt sich die Installation der Security-Apps laut dem Test nicht aus: Alle Kandidaten verringerten die Laufzeit lediglich um unter zwei Prozent. Nennenswerte Unterschiede gab es bei der Erkennung von werbefinanzierten Apps (Adware): Im Testlabor warnten Bitdefender, Eset, F-Secure, Qihoo 360, Trend Micro, TrustGo und Webroot am zuverlässigsten vor den Werbe-Apps, während Avast, Ikarus, Kaspersky, McAfee und Sophos nur einige wenige Adware-Familien erkannten. Lookout hat das Aufspüren von Werbe-Apps in den Ad Network Detector ausgelagert.
Einen weiteren deutlichen Unterschied gibt es auch bei den Preisen der Schutzprogramme: Während die überwiegende Anzahl der untersuchten Apps derzeit Freeware ist, steuerte McAfee mit Mobile Security den teuersten Testkandidaten bei – für das Programm wird eine Jahresgebühr von 30 Euro fällig.
Auch der Funktionsumfang variierte stark: Virenschutz, Fernsperrung (bei Diebstahl) und GPS-Ortung bieten fast alle, während man etwa SMS/MMS-Scanner, Firewall und Online-Backup nur einigen wenigen Programm findet. Bei vielen der Apps kann man im Fall eines Diebstahls die auf dem Smartphone gespeicherten Dateien aus der Ferne löschen. Den Experten gelang es jedoch in vielen Fällen, die gelöschten Dateien mit einem Recovery-Tool wiederherzustellen.
AV-Comparatives empfiehlt, die Wahl des Schutzprogramms danach zu richten, ob und welche dieser Schmankerl man benötigt. Eine vollständige Vergleichsmatrix findet man in dem Bericht. Wer es allein auf den Virenschutz abgesehen hat, sollte überlegen, ob er auf derartige Programme nicht komplett verzichten kann – laut AV-Comparatives ist die Gefahr, sich in westlichen Ländern mit einem ungerooteten Smartphone in den offiziellen App-Katalogen einen Schädling einzufangen nämlich noch vergleichsweise gering, was sich mit den Beobachtungen von heise Security deckt. In Asien ist die Gefahr hingegen generell höher und auch beim App-Download von inoffiziellen Download-Seiten (Side-Loading) ist man einem größeren Infektionsrisiko ausgesetzt.
Quelle: www.heise.de
-
Erst vor kurzem hat der beliebte SMS-Konkurrent WhatsApp eine Verschlüsselung eingeführt. Jetzt berichtete der britische Webentwickler Sam Granger, wie die Authentifizierung bei dem Webfrontend des Dienstes unter Android stattfindet: Das Programm bedient sich der eindeutigen Gerätekennung (IMEI), um daraus einen einfach regenerierbaren Schlüssel zu erzeugen.
Laut Granger verwende WhatsApp schlicht die umgedrehte IMEI und erzeuge daraus ohne weiteren "Salt " einen MD5-Hash. Da als Benutzername die Telefonnummer fungiere, könnten Angreifer die erforderlichen Daten leicht mit üblichen Android-Schnittstellen ermitteln. Ein Programm zum Ermitteln der IMEI und der Telefonnummer sei schnell geschrieben und unter falschem Vorwand bei Google Play eingestellt.
Anschließend sei es möglich, den WhatsApp-Dienst mit diesen Zugangsdaten zu nutzen, schreibt Granger weiter. Zwar gibt es offiziell keine API dafür, doch im Netz findet sich Software, die Zugang zu den WhatsApp-Webservices verspricht. Damit könnte es möglich sein, Nachrichten zu versenden, die scheinbar vom Nutzer des geknackten Accounts stammen.
Bisher gibt es noch keine Informationen, wie WhatsApp die Authentifizierung auf anderen Plattformen abwickelt. Apples iOS etwa bietet anders als Android keine offizielle Schnittstelle, mit der sich die IMEI ermitteln lässt. Die Telefonnummer, also den Benutzernamen, verschickt das Programm übrigens trotz der kürzlich eingeführten Verschlüsselung weiterhin im Klartext.
WhatsApp benutzt eine Variante des XMP-Protokolls für den Nachrichtenaustausch, das viele Instant Messenger verwenden. Die App läuft auf allen relevanten Mobil-Plattformen.
Quelle: www.heise.de
-
Der beliebte SMS-Ersatz WhatsApp ist nur unzureichend vor Missbrauch geschützt, wie ein Versuch von heise Security zeigt: Mit frei verfügbaren Tools gelang es, Nachrichten im Namen fremder Nutzer zu verschicken und sogar zu empfangen. Hat sich jemand einmal Zugriff auf den Account verschafft, ist man ausgeliefert – denn aussperren kann man den Datenschnüffler derzeit nicht.
Siehe dazu bei heise Security:
WhatsApp-Accounts fast ungeschützt (http://www.heise.de/newsticker/meldung/WhatsApp-Accounts-fast-ungeschuetzt-1708132.html)
Quelle : www.heise.de
-
Die FILSH Media GmbH aus Essen demonstriert momentan auf einer Webseite, wie schwer die Sicherheitslücke von WhatsApp wiegt, die trotz Bekanntheit immer noch nicht von den Entwicklern geflickt wurde und damit beweisen dürfte, dass den Betreibern in Sachen Security nicht viel am Herzen liegt, oder dass man einfach unfähig ist. Das Problem hatte ich Anfang September schon einmal beschrieben, es betrifft den Login-Mechanismus von WhatsApp.
(http://imageshack.us/a/img33/3373/whatsapp.jpg)
WhatsApp basiert auf einer umgewandelten Form des Protokolls XMPP (Extensible Messaging and Presence Protocol), was kein Problem ist – nur setzt WhatsApp auf eine nicht so gute Form der Authentifikation. WhatsApp setzt auf eure modifizierte IMEI-Nummer und speichert diese nebst Telefonnummer auf den Servern des Anbieters. Die Nummern sind unverschlüsselt und das bringt uns zum springendem Punkt: ist die IMEI irgendeinem bekannt, dann könnte dieser neue Chats über euer Konto initiieren.
(http://imageshack.us/a/img545/5018/whatsappsicherheistlc3b.png)
Der WhatsApp Web Client (http://whatsapp.filshmedia.net/) funktioniert auf eben jene Weise. IMEI oder WiFi-MAC nebst Telefonnummer eingeben und schon könnt ihr als völlig andere Person WhatsApp-Nachrichten verschicken. Es dürfte nicht allzu schwer sein, diese beide Daten bei Menschen herauszubekommen, ein paar unbeobachtete Momente reichen.
Ich habe den Spaß eben getestet und kann nur sagen: liebe WhatsApp-Entwickler, lasst euch was einfallen – allen anderen kann man eigentlich nur noch von der Benutzung abraten. Das Kuriosum: die Webseite bietet etwas an, was sich viele Nutzer von WhatsApp wünschen: die Nutzung im Browser.
Quelle: Caschys Blog (http://stadt-bremerhaven.de)
-
Anscheinend als Reaktion auf die von heise Security demonstrierten Sicherheitslücken geht WhatsApp jetzt gegen den Entwickler einer Bibliothek vor, die Funktionen zum Nutzen des Chat-Services via PC bereitstellt. Der Autor hat seinen Quellcode daraufhin aus dem Netz genommen.
Allerdings hat der beliebte SMS-Ersatz WhatsApp nach wie vor ein schwerwiegendes Sicherheitsproblem: Ohne großen Aufwand kann man die Accounts anderer Nutzer übernehmen und Nachrichten im fremden Namen senden und empfangen. Geändert hat sich daran bislang nichts – heise Security konnte den Test am heutigen Dienstagnachmittag problemlos wiederholen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/WhatsApp-droht-API-Entwicklern-mit-rechtlichen-Schritten-1716546.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/9/3/4/9/3/1/a4c2243d34259726.jpeg)
Peinliche Konsequenz
mangelhafter
Verschlüsselung: Wegen
einer gefälschten Signatur
will sich die Antiviren-Soft-
ware selbst löschen.
Bild: Fahl, Harbach,
Muders, Smith,
Baumgärtner, Freisleben
Bei einer Analyse von Android-Apps, die Verschlüsselung einsetzen, fanden Forscher katastrophale Zustände vor: Mehr als 1000 der 13.500 populärsten Apps zeigten Anzeichen für eine fehlerhafte und unsichere Implementierung der SSL/TLS-Verschlüsselung. Tests mit 100 ausgewählten Apps bestätigten, dass davon immerhin 41 anfällig für konkrete Angriffe waren. Dabei fielen den Forschern außer Bank- und Kreditkartendaten auch Zugangs-Tokens für Facebook, E-Mail-Konten und Messaging-Services in die Hände.
In einem besonders plakativen Test schoben die Forscher Zoner AntiVirus für Android eine gefälschte Signatur unter, die auf die App selbst passte. Daraufhin stufte die sich auch prompt selbst als Bedrohung ein und bot die eigene Löschung an.
Die Forscher untersuchten zunächst den Code der Apps statisch nach typischen Anzeichen für unzureichende Überprüfung der Zertifikate, die die Identität des Kommunikationspartners bestätigen müssen. Da nicht eindeutig klar ist, ob der dabei gefundene Code tatsächlich zum Einsatz kommt, führten sie danach explizit Man-In-The-Middle-Attacken durch, um die verschlüsselte Verbindung aufzubrechen.
Die dabei gefundenen Anfälligkeiten lassen sich in zwei Kategorien einteilen: 20 Apps akzeptierten einfach jedes Zertifikat. 21 weitere kontrollierten zwar, ob das Zertifikat eine gültige Unterschrift trägt, nicht jedoch, ob es auf den richtigen Namen ausgestellt ist. So konnten die Sicherheitsexperten mit einem gültigen Zertifikat für einen eigenen Server die Antiviren-Software narren. In einem c't-Test entdeckte heise Security vor zwei Jahren das gleiche Problem bei der iPhone-App S-Banking.
Die Forscher von der Leibniz Universität in Hannover und der Phillips Universität Marburg fassen ihre Erkenntnisse in dem Paper Why Eve and Mallory Love Android: An Analysis of Android SSL (In)Security zusammen. Das für die Code-Analyse entwickelte Tool MallaDroid wollen sie demnächst veröffentlichen. Welche Apps konkret betroffen sind, verraten sie jedoch nicht. Aber anscheinend handelt es sich dabei nicht um Exoten: Immerhin 40 bis 185 Millionen Installation weist Google Play für die von den Lücken konkret betroffenen Apps aus.
Quelle: www.heise.de
-
Android-Apps können dem Smartphone-Benutzer vorgaukeln, dass er eine SMS von einem beliebigen Absender erhalten hat. Auch den Nachrichteninhalt kann die App frei bestimmen. Das sind die besten Voraussetzungen für Phishing-Angriffe (Smishing): Eine bösartige App könnte etwa eine SMS konstruieren, die vermeintlich von PayPal stammt und den Nutzer dazu auffordert, seine Zugangsdaten auf eine gefälschte PayPal-Seite einzugeben.
Entdeckt hat die Lücke das Team des Sicherheitsforschers Xuxian Jiang an der North Carolina State University, auf dessen Konto bereits die Entdeckung diverser weiterer Android-Lücken geht. In einem YouTube-Clip demonstrieren sie eine selbst entwickelte PoC-App unter Ice Cream Sandwich (4.0.4) und dem steinalten Donut (1.6). Das aktuelle Jelly Bean soll ebenfalls anfällig sein. Spezielle Rechte braucht die App für den Schwindel laut den Forschern nicht.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Phishing-SMS-durch-Android-Luecke-1744248.html)
Quelle : www.heise.de
-
Auch die aktuelle Version von Whatsapp weist eine Lücke auf, durch die sich Accounts kapern lassen. Dann ist es möglich, im Namen einer anderen Person Nachrichten zu senden und zu empfangen.
Auch mit der aktuellen Version 2.8.7326 für Android weist die Kurznachrichtenanwendung Whatsapp eine Sicherheitslücke auf, die mindestens seit September 2012 bekannt ist: Mit wenigen, leicht zu beschaffenden Informationen kann der Account einer anderen Person übernommen werden. Dann ist es möglich, im Namen des Anderen Nachrichten zu versenden und zu empfangen.
Wie Heise Online berichtet, reicht es dafür wie bei ersten Exploits der Lücke aus, die Telefonnummer und die Seriennummer (IMEI) der Zielperson zu beschaffen. Das ist insbesondere bei Bekannten recht leicht, mit denen man ohnehin in Kontakt steht. Die IMEI ist in der Regel im Akkufach des Handys aufgedruckt, bei manchen Geräten auch auf der Verpackung oder der Rückseite des Handys. Hat man Zugriff auf ein eingeschaltetes und nicht gesperrtes Telefon, lässt sich die IMEI bei Android und iOS auch ohne weitere Tools über das Betriebssystem auslesen. Betroffen scheint von der neuen Lücke bisher nur Android zu sein, unter iOS erzeugt Whatsapp den Account nicht aus der IMEI, sondern der MAC-Adresse des WLAN-Moduls.
Mit IMEI und Telefonnummer konnte Heise Online einen fremden Account übernehmen. Dafür war ein Skript nötig, das ein Leser des Dienstes bereitgestellt hatte. Es generiert aus den bekannten Daten das Passwort, mit dem sich die App bei ihrem Server anmeldet.
Whatsapp reagiert, aber völlig unzureichend
Anders als in der Vergangenheit hat der Anbieter der Software auf die Lücke reagiert, wenn auch nur sporadisch: Auf eine Anfrage von Heise zu der Lücke gab es nach einigen Tagen eine Antwort, in der sich das Unternehmen nach der genutzten Version der App erkundigte. Weitere Anfragen, unter anderem mit dem Angebot, weitere Informationen zur Verfügung zu stellen, blieben unbeantwortet. In seinem Blog hat Whatsapp zu der neuen Lücke bisher nicht Stellung genommen.
Da davon auszugehen ist, dass sich die neuen Exploits früher oder später öffentlich zugänglich im Netz finden werden und der Hersteller der App sich auch in der Vergangenheit nicht um Transparenz bemüht hat, kann vom Einsatz von Whatsapp weiterhin nur abgeraten werden. Es gibt auch andere Apps für den kostenlosen Versand von Kurznachrichten, wie unser Report 'Alternativen zum unsicheren Whatsapp' zeigt.
Quelle: www.golem.de
-
Das Katz-und-Maus-Spiel um die Sicherheit von WhatsApp geht in die nächste Runde: Nachdem heise Security vor rund einer Woche demonstriert hatte, dass die Android-Version nach wie vor anfällig für Account-Hijacking ist, bietet der Betreiber nun WhatsApp-Version 2.8.8968 über Google Play an, die eine verbesserte Rufnummern-Verifikation verspricht.
Der ganze Artikel (http://www.heise.de/security/meldung/WhatsApp-schliesst-Luecke-erneut-aber-nicht-ueberall-1764548.html)
Quelle : www.heise.de
-
Mit Android 4.2 hat Google eine App-Prüfung in das Betriebssystem integriert. Damit soll Schadsoftware vor der Installation entdeckt werden. Ein Forscher hat die Funktion ausprobiert und kommt zu einem enttäuschenden Ergebnis.
Dem Nexus 10 mit vorinstalliertem Android 4.2 wurden insgesamt 1.260 Schadanwendungen vorgelegt. Davon erkannte Googles neue App-Prüfung lediglich 193, was einer Erkennungsrate von gerade mal 15,32 Prozent entspricht. Den Test durchgeführt hat der Informatikwissenschaftler Xuxian Jiang von der North Carolina State University. Ein Vergleich mit Anti-Viren-Apps für Android zeigt, wie schlecht die Schadsoftware-Erkennung der App-Prüfung ist.
In Android 4.2 hat Google eine App-Prüfung integriert. Vor der Installation von Anwendungen jenseits des Play Store werden diese nun auf Schadfunktionen überprüft. Damit soll verhindert werden, dass sich Anwender unbemerkt Schadsoftware installieren. Für die App-Prüfung werden etliche Daten an Google gesandt. Das umfasst zur App gehörende URLs, die Geräte-ID, die Versionsnummer der verwendeten Android-Version, die IP-Adresse sowie Cookies.
(http://scr3.golem.de/screenshots/1211/Android_4_2_App_Verify/thumb620/Android_4_2_App_verify.png)
Apps aus Quellen jenseits von Googles Play Store werden erst nach
Abfrage installiert. (Screenshot: Golem.de)
App-Prüfung berücksichtigt nur Hash-Wert und Paketname
Laut Jiang wurde für den Test Schadsoftware verwendet, die eigentlich in der Sicherheitsbranche bekannt ist und somit auch Google kennen sollte. Der Forscher bemängelte, dass die App-Prüfung wohl lediglich einen Hash-Wert und einen Paketnamen prüft, um bekannte Schadsoftware zu erkennen. Diese Prüfung kann sehr leicht umgangen werden, indem Hacker die Prüfsumme bestehender Schadsoftware verändern.
In einem zweiten Test wurde eine Auswahl der Schadsoftware nochmals der App-Prüfung vorgelegt. Zudem sollten eine Reihe bekannter Antivirenapplikationen die Schadapplikationen erkennen. Bei den Antivirenprogrammen erkannten zwei Produkte alle Schadanwendungen, fünf weitere Apps kamen auf eine Erkennungsrate von mehr als 90 Prozent.
Zwei Anti-Viren-Apps erkannten immerhin noch mehr als 75 Prozent der Schad-Apps und ein Virenscanner kam nur auf eine Erkennungsrate von 51,02 Prozent. Aber selbst das ist besser als Googles App-Prüfung, die in diesem Test lediglich etwas mehr als 20 Prozent der Schadsoftware blockierte. Es wird erwartet, dass Google die Erkennungsrate in der Zukunft erhöhen wird. Im September 2012 kaufte Google Virustotal und könnte den Dienst in die App-Prüfung integrieren.
Ohnehin wird es noch viele Monate dauern, bis die Sicherheitsfunktion aus Android 4.2 bei den Android-Nutzern angekommen ist. Die meisten Hersteller von Smartphones und Tablets liefern Updates erst Monate nach Google aus. Bisher laufen gerade mal 35 Prozent aller Android-Geräte mit Android 4.x. Der Anteil von Android 4.1 liegt bei gerade mal 5,9 Prozent und Android 4.2 kommt lediglich auf 0,8 Prozent Anteil. Die überwiegende Mehrheit der Android-Geräte läuft mit einer älteren Version.
Quelle: www.golem.de
-
(http://www.golem.de/1205/sp_91561-35061-i.jpg)
Angeblich kritische Sicherheitslücke im
Samsung Galaxy S3 (Bild: Samsung)
In Android-Smartphones mit Samsungs ARM-Prozessor Exynos 4210 und 4412 steckt eine Sicherheitslücke, die es ermöglicht, Daten auszulesen und eigenen Code auszuführen. Diverse Geräte sind betroffen, nicht nur von Samsung.
Es ist recht einfach, Root-Rechte auf einem Samsung Galaxy S3 zu erhalten, stellt der Nutzer "Alephzain" im Forum XDA-Developers fest. Das Problem: Das gilt nicht nur für Besitzer der Geräte, sondern auch für Angreifer. Laut Alephzain steckt das Problem im Kernel, genau genommen im Device "/dev/exynos-mem". Darauf haben alle Nutzer Schreib- und Leserechte.
Dieser Code kommt nicht nur auf dem Galaxy S3 von Samsung zum Einsatz, zahlreiche Geräte dürften betroffen sein. Alephzain vermutet, das Problem besteht auf allen Geräten, die Samsungs Exynos-Prozessoren 4210 und 4412 mit Samsungs Kernel-Code verwenden. Dazu zählen unter anderem das Galaxy S2 und das Galaxy Note von Samsung sowie das Meizu MX.
Genutzt wird /dev/exynos-mem von mindestens drei Bibliotheken: /system/lib/hw/camera.smdk4x12.so, /system/lib/hw/gralloc.smdk4x12.so und /system/lib/libhdmi.so.
Da jeder Nutzer den Speicher auslesen und in ihn schreiben kann, soll es einfach sein, einen RAM-Dump anzulegen und Code in den Kernel einzuschleusen. Die Smartphones sind dadurch anfällig für Schadcode.
Werden die Schreib- und Leserechte für /dev/exynos-mem entfernt, funktioniere die Kamera-App nicht mehr, wird in dem zugehörigen Thread auf XDA-Developers berichtet. Mit ExynosAbuse APK v1.10 ist auch eine erste App erschienen, die die Sicherheitslücke ausnutzt, um SuperSU 0.99 zu installieren. Sie ermöglicht es zudem, den Exploit durch das Setzen eingeschränkter Rechte für /dev/exynos-mem zu blockieren oder wieder freizugeben.
Darüber hinaus hat der Nutzer AndreiLux einen ersten Patch veröffentlicht, um den Fehler zu korrigieren. Er enthält eine Ausnahme für die Kamera-App, so dass diese nicht blockiert wird.
Quelle: www.golem.de
-
(http://www.golem.de/1203/sp_90337-31706-i.jpg)
Android-Schadsoftware verbreitet sich per SMS
(Bild: Josep Lago/AFP/Getty Images)
In diesem Monat wurde eine neue Schadsoftware für Android-Systeme entdeckt. Der Schädling versendet SMS an potenzielle Opfer und will diese so zur Installation einer verseuchten Software verleiten.
Das Sicherheitsunternehmen Lookout hat in diesem Monat die Android-Schadsoftware Spamsoldier bemerkt. Diese versendet SMS an mögliche Opfer, um sich auf diesem Wege auf möglichst vielen Android-Smartphones zu verbreiten. Die Schadsoftware wurde bereits Anfang Dezember 2012 entdeckt. Obwohl die Schadsoftware bereits seit über zwei Wochen aktiv ist, soll sie sich bisher nur relativ wenig verbreitet haben. Lookout befürchtet, dass sich die Schadsoftware stärker verbreiten könnte, wenn sie weiterhin unbemerkt agieren kann und hat sich daher für eine Warnung entschieden.
Schad-SMS wirbt mit Gratisspiel
Vor allem in den USA soll der Schädling namens Spamsoldier sein Unwesen treiben. Per SMS bietet er eigentlich kostenpflichtige Spiele gratis an. Das Opfer soll so zum Download der Schadsoftware verleitet werden. Wer sich von dieser Masche blenden lässt und das vermeintliche Spiel nach der Installation startet, hat ein infiziertes Android-Smartphone.
Beim ersten Programmstart entfernt die Schadsoftware das eigene Icon, um unbemerkt ihr Unwesen zu treiben. Außerdem wird eine kostenlose Version eines Spiels installiert, um den Anwender in Sicherheit zu wiegen. Er soll keinen Verdacht schöpfen, dass er sich infizierte Software installiert hat.
SMS-Versand hinterlässt keine sichtbaren Spuren auf dem Smartphone
Spamsoldier verbindet sich dann mit einem Server, um von diesem Instruktionen zu erhalten. Dazu gehört einerseits der SMS-Text sowie 100 Rufnummern von US-Mobilfunknutzern. Im nächsten Schritt werden die Kurzmitteilungen an weitere mögliche Opfer versandt. Die versandten Kurzmitteilungen werden nicht im SMS-Postausgang angezeigt, damit die Schadsoftware ihr Tun verschleiert. Außerdem werden eingehende SMS abgefangen, damit der Gerätebesitzer von dem Treiben der Schadsoftware nichts bemerkt.
Lookout erwartet, dass der SMS-Versand auf Seiten der Kunden entsprechende Kosten verursacht. Aber auch die Netzbetreiber könnten in Zukunft ein erhöhtes SMS-Aufkommen bemerken, wenn sich Spamsoldier weiter verbreitet. Die Spamsoldier-Schadsoftware verbreitet sich derzeit ausschließlich über den SMS-Weg. In Android-Software-Shops wurde der Schädling bislang nicht entdeckt.
Quelle: www.golem.de
-
(http://www.golem.de/1203/sp_90436-31980-i.png)
Patch für Galaxy Note 10.1 ist da.
(Bild: Samsung)
Für das Galaxy Note 10.1 und das Galaxy Note 2 hat Samsung in Deutschland ein Update veröffentlicht. Das Android-Update beseitigt das Sicherheitsloch in den Treibern für den Exynos-Prozessor. Das Sicherheitsleck erlaubt es Angreifern, beliebigen Programmcode auszuführen.
Samsung hat damit begonnen, für das Tablet Galaxy Note 10.1 ein Android-Update zu verteilen, mit dem das vor einem Monat bekanntgewordene Sicherheitsloch in den Exynos-Treibern beseitigt wird. Besitzer eines Galaxy Note 10.1 berichten über die Updateverteilung im Android-Hilfe-Forum. Nach dem Update läuft auf dem Tablet weiterhin Android 4.1.2.
Vorerst gibt es das Update allerdings nur für das Modell GT-N8000, also die Version des Galaxy Note 10.1 mit Mobilfunkmodem. Wann das Update für die Nur-WLAN-Ausführung GT-N8010 erscheint, ist nicht bekannt. Im Fall des ersten Jelly-Bean-Updates hat das GT-N8010 das Update einen Monat später als das GT-N8000 erhalten.
Androd-Update für Galaxy Note 2 kam ebenfalls
Auch für das Android-Smartphone Galaxy Note 2 ist diese Woche ein Android-Update erschienen, das das Sicherheitsleck beseitigt. Nach dem Update läuft auf dem Galaxy Note 2 Android 4.1.2.
Samsung hat auch keinen Terminplan dazu genannt, wann die übrigen Galaxy-Modelle den Patch erhalten, die ebenfalls von dem Sicherheitsloch betroffen sind. Dazu gehören die vier Smartphones Galaxy S3, Galaxy S2 und Galaxy Note. In Deutschland haben diese drei Galaxy-Modelle bisher kein Update erhalten, das die Sicherheitslücke beseitigt.
Patches wurden vor vier Wochen angekündigt
Mitte Dezember 2012 wurde das Sicherheitsloch in den Treibern von Samsungs Exynos-Prozessoren bekannt und einige Tage später hatte der Hersteller dann einen Patch für die betroffenen Geräte in Aussicht gestellt. Alle Patches will Samsung so schnell wie möglich bereitstellen, hieß es vor vier Wochen.
Das Sicherheitsloch steckt nach derzeitigem Kenntnisstand in den Kernel-Treibern der von Samsung entwickelten Exynos-Prozessoren 4210 und 4412, die in insgesamt fünf Galaxy-Modellen verwendet werden. Das Sicherheitsleck in den Kernel-Treibern der Exynos-Prozessoren erlaubt es Angreifern, Daten auszulesen oder auch Schadcode auszuführen. Dazu würden die Angreifer Root-Rechte erhalten und könnten in das Android-System der Galaxy-Geräte eingreifen. Die Opfer würden davon dann nichts mitbekommen. Damit sich das Sicherheitsleck bemerkbar macht, müssten Opfer entsprechenden Schadcode auf ihrem Gerät installieren.
Quelle: www.golem.de
-
Spammer missbrauchen den beliebten Messaging-Dienst WhatsApp derzeit offenbar verstärkt als Transportmittel für ihre dubiosen Werbebotschaften. Die Spam-Versender versuchen die Empfänger der Nachrichten auf Webseiten zu locken, auf denen Abofallen lauern – oft in Verbindung mit Pornografie.
Der ganze Artikel (http://www.heise.de/security/meldung/Spammer-entdecken-WhatsApp-1790526.html)
Quelle : www.heise.de
-
Eine neue Android-App im Google Play Store gibt sich als Systemreiniger aus, hat aber die systematische Spionage des Nutzers im Sinn. Dabei beschränkt sich "Superclean" nicht nur auf das Aushorchen des Smartphones, sondern springt - wenn möglich - auch noch auf Windows-PCs über und zapft dort die Mikrofone an. Die Sicherheitsfirma Kaspersky erklärt denn auch, dass sie zum ersten Mal "solch ein umfangreiches Angebot" an schädlichen Funktionen in einer Smartphone App gefunden hat.
Der ganze Artikel (http://www.heise.de/security/meldung/Neue-Android-App-will-Mithoeren-1796828.html)
Quelle : www.heise.de
-
Zwei Forscher der Uni Erlangen haben demonstriert, dass mit Hilfe eines Kühlschranks auf verschlüsselte Android-Smartphones zugegriffen werden kann. Um auf den im Arbeitsspeicher angelegten Krypto-Schlüssel zugreifen zu können, legten sie das Smartphone für eine Stunde ins Gefrierfach, wodurch der Speicherinhalt – beinahe im Wortsinne – eingefroren wird. Anschließend haben sie mit einem speziellen Tool den Krypto-Schlüssel aus dem Speicher ausgelesen (Cold-Boot-Angriff).
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Frostiger-Angriff-auf-die-Android-Verschluesselung-1804216.html)
Quelle : www.heise.de
-
Bei einigen Samsung-Smartphones mit Android lässt sich der Sperrbildschirm kurzzeitig umgehen, um einen schnellen Blick auf den Home-Screen zu erhaschen – zumindest wurde dies für ein Samsung Galaxy Note II mit dem Betriebssystem Jelly Bean (4.1.2) und das Galaxy S Plus mit Android 2.3.6 nachgewiesen. Es handelt sich hierbei um keine schwerwiegende Sicherheitslücke, allerdings kann auch schon die Ansicht des Home-Screens durch Unbefugte für Betroffene ein Ärgernis sein.
Erst Mitte Februar war bekannt geworden, dass gesperrte iOS-Geräte Kontakte und Fotos preisgeben können, wenn der Angreifer sehr schnell und geschickt vorgeht. Die Sicherheitslücke im Galaxy Note II, die von dem britischen Blogger Terence Eden entdeckt und mit einem Proof-of-Concept-Video samt Beschreibung der Lücke veröffentlicht wurde, setzt ebenso auf flinke Finger.
Der ganze Artikel (http://www.heise.de/security/meldung/Sperrbildschirm-gewaehrt-unerlaubte-Einblicke-in-Samsung-Smartphones-1816546.html)
Quelle : www.heise.de
-
Ältere und neuere Samsung Smartphones enthalten schwerwiegende Sicherheitslücken, die anscheinend nur auf den speziellen Anpassungen beruhen, die Samsung an Android für seine Geräte vorgenommen hat. Das berichtet der Blogger Robert Paleari.
In der Beschreibung der Schwachstellen geht Paleari aus Sicherheitsgründen nicht ins Detail, berichtet aber, dass er Samsung bereits im Januar über die Lücken in Kenntnis setzte und das Unternehmen Patches plant. Diese kämen aber, so Paleari, wohl nur verzögert auf den Markt, da Samsung darauf hinweist, dass seine Patches vor einer Veröffentlichung zunächst noch von allen Netzbetreiber geprüft werden müssten.
Der ganze Artikel (http://www.heise.de/security/meldung/Maengel-in-Samsungs-Android-Anpassungen-1827141.html)
Quelle : www.heise.de
-
Das Cutwail-Botnetz, das auch schon den Bankingtrojaner Zeus verbreitet, versucht einen neuen Android-Trojaner namens Stels unter die Leute zu bringen. Stels infiziert Android-Geräte, indem er sich als Adobe-Flash-Player-Update ausgibt. Nutzen die potentiellen Opfer allerdings keine Android-Geräte, haben sich die Malware-Autoren um eine Alternative bemüht. Werden die gefährlichen Spam-Links nicht auf Android-Geräten angeklickt, sondern in Desktop-Browsern wie dem Internet Explorer, leiten die Autoren ihre Opfer über eine Browserweiche auf Webseiten um, auf denen das Blackhole-Exploit-Kit lauert. Ein Sicherheitsteam von Dell hat das Angriffsszenario genauer untersucht.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Botnetz-verteilt-Android-Trojaner-1836854.html)
Quelle : www.heise.de
-
Die Antivirenfirma Lookout hat 32 Android-Apps bei Google Play entdeckt, die an einem betrügerischen Anzeigennetzwerk teilnehmen. Die auf den Namen BadNews getaufte Werbe-Bibliothek täuscht vor, dass zum Beispiel eine neue Version der Skype-App zur Installation bereitsteht. Statt des versprochenen Updates handelt es bei der verlinkten APK-Datei jedoch unter anderem um die Malware AlphaSMS, welche die Handyrechnung über Premium-SMS-Nachrichten in die Höhe treibt.
Der ganze Artikel (http://www.heise.de/security/meldung/32-Abzock-Apps-bei-Google-Play-1846209.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/1/2/8/3/0/04-0ef3f81a3781d8fc.png)
Bei heise Security gehen derzeit Leserhinweise zu Mails ein, die angeblich von der Postbank stammen und zur Installation einer "SSL-Zertifikat App" auffordern. Eine schnelle Analyse zeigt, dass es sich dabei um einen Trojaner für Android-Smartphones handelt, der unter anderem PIN und mTANs fürs Online-Banking abgreift.
"Wir erinnern Sie, dass ab dem 25 April die Nutzung des mobilen TAN-Service nur mit der SSL-Zertifikat App möglich ist", heißt es in der Mail mit dem Betreff "Extended Validation-Zertifikate (EV-SSL-Zertifikat) im Android" die angeblich von "kundenservice@postbank.de" stammt. Wer dem Link am Ende der Mail mit einem Browser auf einem PC oder einem iPhone folgt, bekommt lediglich die schlichte Meldung "Zertifikat wurde erfolgreich Installiert.".
Der ganze Artikel (http://www.heise.de/security/meldung/Angebliche-Zertifikats-App-bringt-mTAN-Trojaner-aufs-Smartphone-1846618.html)
Quelle : www.heise.de
-
Virenschutzprogramme für Android lassen sich zumeist mit trivialen Mitteln austricksen, wie Forscher von der Northwestern University und der North Carolina State University herausgefunden haben (PDF-Datei (http://list.cs.northwestern.edu/mobile/droidchameleon_nu_eecs_13_01.pdf)). Die Wissenschaftler haben ein Tool namens DroidChameleon entwickelt, das bekannte Malware-Apps auf vielfältige Weisen modifizieren kann, um sie der Erkennung zu entziehen
Das Gros der zehn untersuchten Scanner setzte vor allem auf die signaturbasierte Analyse. In einigen Fällen reichte es deshalb bereits aus, den Paketnamen in den Metadaten zu ändern, damit der Virenscanner einen Schädling für harmlos hielten. Auch durch Entpacken und anschließendes erneutes Erstellen der Installationspakete ließ sich so mancher Scanner aus dem Tritt bringen. In anderen Fällen hatten die Forschern durch das Verschlüsseln von Teilen der App oder das Umleiten von Funktionsaufrufen Erfolg.
Das Fazit ist eindeutig: Alle zehn untersuchten Virenschutzprogramme ließen sich auf die ein oder andere Weise austricksen. Viele der eingesetzten Methoden sind bei Windows-Malware längst üblich und einzelne wurden sogar schon zur Verbreitung von Android-Malware genutzt. Das Testfeld setzt sich aus Virenschutzprogrammen von AVG, Dr. Web, ESET, ESTSoft, Kaspersky, Lookout, Symantec, Trend Micro, Webroot und Zoner zusammen.
Immerhin wissen die Forscher auch etwas Positives zu berichten: Im Testzeitraum von Februar 2012 bis Februar 2013 haben sich die Testkandidaten stetig verbessert. Sind den Programmen anfangs insgesamt noch 43 Prozent der trivial modifizierten Malware durch die Lappen gegangen, waren es ein Jahr später nur noch 16 Prozent. Das macht Hoffnung.
Gut beraten ist einmal mehr, wer die Installation von Apps aus nicht vertrauenswürdigen Quellen, das sogenannte Sideloading, erst gar nicht einschaltet. Die meisten Schädlinge kreuchen und fleuchen abseits des offiziellen Downloadkatalogs Google Play – nämlich in Tauschbörsen, Foren und alternativen App-Portalen. Da Google die Apps vor der Aufnahme in seinen Shop zumindest oberflächlich prüft und sie bei Beschwerden recht schnell entfernt, segelt man hier derzeit noch in relativ ruhigen Gewässern.
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/2/0/5/0/0/mtan-SMS-98b3e1823128dc74.png)
"Sehr geehrter Herr Meier, wir erinnern Sie, dass [..] die Nutzung des mobilen TAN-Services nur mit der Zertifikat App möglich ist." Wenn diese Nachricht einen mTAN-Nutzer auf seinem fürs Online Banking registrierten Handy als SMS erreicht und auch noch den korrekten Namen trägt, kann man schon ins Schleudern kommen.
Doch trotz all dieser scheinbaren Authentizität handelt es sich bei der zu installierenden App dennoch um einen Trojaner, der mTANs abfangen und an die Betrüger weiterleiten soll. Woher die den korrekten Namen und die Telefonnummer der Opfer haben, ist allerdings immer noch ein Rätsel. Die bisherigen Versuche, diesen mTAN-Trojaner unter die Leute zu bringen, beruhten auf breit gestreuten E-Mails. In der Regel führt der abschließende Link der Mail oder SMS auf eine Seite mit einer konkreten Installationsanleitung für die Trojaner-App. Diese erklärt unter anderem, wie man das Installieren von Apps aus unbekannten Quellen frei schaltet.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/mTAN-Trojaner-via-SMS-und-Google-Play-1858695.html)
Quelle : www.heise.de
-
Ein seit Jahren bekanntes Einfallstor in WLAN-Geräte ist immer noch nicht überall geschlossen und inzwischen auch gefährlich für Smartphones oder Tablets. Das berichtet Help Net Security unter Berufung auf den Sicherheitsexperten Raul Siles und erläutert den möglichen Einbruch. Den hatte Sebastian Schreiber von SySS schon vor fünf Jahren anhand eines Laptops vorgeführt. Gelöst worden sei das Problem inzwischen nur bei Windows und Windows Phone, während iOS- und Android-Geräte nach wie vor attackierbar seien.
Angriffspunkt ist die Liste bekannter Funknetze (Preferred Network List, PNL). Sie sammelt Netzwerke, mit denen das Gerät verbunden wurde. Ist die WLAN-Funktion aktiv, testet das Mobilgerät regelmäßig von sich aus per Probe Request, welches dieser Netze verfügbar ist, um eine Verbindung herzustellen. Dabei teilt es der Umgebung nach und nach die PNL mit. Ein Angriffsrechner kann sich dann als eines dieser Netzwerke ausgeben und hoffen, dass das Opfer sich zu verbinden versucht. Das hat glücklicherweise nur Aussicht auf Erfolg, wenn der Nutzer bei Funknetzen mit Radius-Authentifizierung Warnungen vor ungültigen Zertifikaten ungeprüft abnickt oder unverschlüsselte WLANs nutzt. Letzteres ist leider bei vielen WLAN-Hotspots unvermeidlich, dort ist also besondere Vorsicht geboten.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Sicherheitsexperte-Uraltes-WLAN-Einfallstor-noch-immer-offen-1868258.html)
Quelle : www.heise.de
-
F-Secure hat eine Android-Spionage-App entdeckt, die zum Ausspähen von Windows-Rechnern genutzt werden kann. Die App kann ihre Wirkung entfalten, wenn ein Android-Gerät an Windows-Rechner angeschlossen wird. Dort verschafft sich USB-Cleaver (USB-Hacker) Zugriff auf die Passwörter und die Systeminformationen des Rechners. Der Angriff kann aber nur funktionieren, wenn Autorun aktiviert oder die .exe auf der SD-Card direkt ausgeführt wird. Bei neueren Windows-Versionen ist die Autorun-Funktion standardmäßig deaktiviert.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-App-klaut-Passwoerter-von-Windows-Rechnern-1909158.html)
Quelle : www.heise.de
-
Android-Anwendungen sind mit einer Signatur versehen, die die Integrität des APK-Pakets gewährleisten soll. Bei der Installation prüft das Betriebssystem seinen Inhalt anhand der Signatur und warnt, wenn es eine Manipulation feststellt. Das erst Mitte 2012 gegründete US-Unternehmen Bluebox will nun einen Fehler in diesem Verfahren entdeckt haben, der das Einschleusen beliebigen Codes in APK-Dateien ermöglicht, ohne die Signatur zu brechen. Laut Bluebox sind Apps in Googles Android-Shop "Play" von der Sicherheitslücke nicht betroffen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Androids-Code-Signatur-laesst-sich-umgehen-1911077.html)
Quelle : www.heise.de
-
Bei Google Play (https://play.google.com/store/apps/details?id=com.bluebox.labs.onerootscanner) und in Amazons Android-Store (http://www.amazon.com/Bluebox-Security-Scanner/dp/B00DU4AKZ8/ref%3Dsr_1_1) bietet Bluebox eine kostenlose App an, die das Mobilgerät auf den kürzlich von derselben Firma entdeckten Code-Signatur-Fehler untersucht. Außerdem meldet sie, ob man auf dem Gerät Software aus anderen Quellen als Google Play beziehen kann und ob bereits Software installiert ist, die den Signatur-Bug ausnutzt.
(http://www.heise.de/imgs/18/1/0/4/7/8/3/5/Bildschirmfoto_2013-07-10_um_13.49.56-1de9d3f01c05f70a.png)
Unter den Nutzerbewertung bei Play halten sich Zustimmung und Ablehnung fast die Waage. Kunden kritisieren, dass nicht alle Apps untersucht würden und dass das Programm eine Einstellung anzeigt, die der Benutzer selbst vorgenommen hat. Auch werden Zweifel an der Gefährlichkeit des Bugs geäußert: Aus Play bezogene Software ist nachweislich nicht davon betroffen.
Bluebox hatte den Fehler vor einigen Tagen publik gemacht, ohne Details dazu zu verraten. Das sollte am 1. August 2013 auf der BlackHat-Konferenz geschehen. Ein Außenstehender ist jedoch dem Unternehmen zuvorgekommen: Er untersuchte den Patch der CyanogenMod-Entwickler und entwickelte daraufhin einen beispielhaften Exploit. Google will den Fehler bereits im März 2013 behoben haben, bislang gab es jedoch nur für Samsungs Galaxy S4 ein Update, das die Korrektur enthält.
Der Bug beruht darauf, dass Android mehrfach vorhandene Dateien in einer APK-Datei nicht erkennt. Dieses dem bekannten ZIP entsprechende Format fasst die Dateien einer App zu einem Paket zusammen, das ebenfalls eine Liste mit Hash-Werten aller Dateien enthält. Normalerweise sollte Android die Hash-Werte der im Archiv enthaltenen Files damit vergleichen und bei Abweichungen die Installation abbrechen. Kommt jedoch ein Dateiname zweimal im APK-Archiv vor, prüft Android bei einer Variante den Hash und installiert die andere. So lassen sich dem Betriebssystem manipulierte Programme unterschieben, allerdings nicht aus Googles Play.
Quelle : www.heise.de
-
Chinesische Blogger haben eine Sicherheitslücke im Android-Betriebssystem entdeckt, die eine ähnliche Wirkung haben soll wie die Schwachstelle, die vor zwei Wochen von der Firma Bluebox veröffentlicht wurde. Das Unternehmen hatte gezeigt, dass sich Androids App-Signaturprüfung austricksen lässt. Bereits installierte Apps können so manipuliert werden, dass Angreifer die Kontrolle über das Gerät erhalten – je nachdem, wie viele Rechte die manipulierte App inne hat.
Der ganze Artikel (http://www.heise.de/security/meldung/Weiterer-Fehler-in-Androids-Signaturpruefung-1917183.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/4/9/6/2/1/Android-backup400-15db0ee72d4e4685.png)
Mit "Meine Daten sichern" speichert Android unter anderem WLAN-Passwörter im Klartext bei Google. Das ist zwar nicht ganz neu, aber insbesondere Firmen sollten das im Licht des jüngsten Abhörskandals nochmal neu bewerten.
Diese Sicherung ist zumindest auf einem Google Nexus standardmäßig eingeschaltet; ein wie auch immer geartetes Passwort ist dafür nicht vorgesehen. Zu Gute halten kann man dem US-Konzern immerhin, dass er den Sachverhalt mit "WLAN-Passwörter ... auf Google-Servern sichern" klar beschreibt. In Tests von heise Security konnte sich denn auch ein auf Werkseinstellungen zurückgesetztes Android-Smartphone sofort nach der Synchronisierung mit einem Google-Account in ein WPA2-gesichertes Heise-Testnetz einbuchen. Jeder der Zugang zu dem Google-Account hat, kommt folglich auch an das WLAN-Passwort.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Android-und-die-Passwoerter-Offene-Tueren-fuer-Spionage-1917386.html)
Quelle : www.heise.de
-
Zwei weitere Tools sollen Android-Nutzer davor bewahren, dass bösartige Apps die "MasterKey" getaufte Schwachstelle (und die chinesische Variante) in Googles Betriebssystem ausnutzen. Das wirksamere der beiden erfordert allerdings Root-Rechte.
ReKey packt das Übel an der Wurzel und injiziert den von Google entwickelten Patch in Smartphones und Tablets, auf denen Android 2.0 oder höher läuft. Das hat den Vorteil, dass man seine Geräte sofort schützen kann und nicht darauf warten muss, dass die Hersteller gepachte Android-Versionen freigeben. In vielen Fällen dürfte das Warten ohnehin vergebens sein, da die Unternehmen schnell das Interesse daran verlieren, die Software von älteren Geräten auf dem aktuellen Stand zu halten.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Schutz-vor-Ausnutzung-der-MasterKey-Luecke-in-Android-1918428.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/5/0/9/5/7/androrat-github-s-014b59ad7f190556.png)
Im Netz kursiert ein Remote Adminstration Toolkit (RAT) für Android, mit dem sich offenbar beliebige Android-Apps trojanisieren lassen. AndroRAT gestattet seinem Herren unter anderem Zugriff auf SMS-Nachrichten, GPS-Koordinaten, Kamera und Mikrofon – ohne dass der Smartphone-Besitzer davon etwas mitbekommt.
Obwohl AndroRAT das wohl erste Remote Administration Toolkit für Android ist, versuchen die Entwickler kein Kapital daraus zu schlagen. Sie haben den Quellcode für jedermann zugänglich bei GitHub eingestellt. Laut der Projektbeschreibung wurde das Tool von einem vierköpfigen Entwicklerteam im Rahmen eines Uni-Projekts erstellt. "Das Ziel der Anwendung ist, das Android-System aus der Ferne zu kontrollieren und Informationen davon abzurufen", heißt es.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-Trojaner-zum-Selberbauen-1919235.html)
Quelle : www.heise.de
-
Google hat auf die von heise Security kritisierte Passwort-Speicher-Praxis von Android mit einer Stellungnahme reagiert. heise Security hatte festgestellt, dass die Backup-Funktion "Meine Daten sichern" unter anderem WLAN-Passwörter ohne spezielle Schutzmaßnahmen im Google-Konto des Anwenders speichert. Nun erklärt das Unternehmen:
" Die optionale Funktion "Meine Daten sichern" erleichtert den Wechsel zu einem neuen Android-Gerät, indem man mit seinem Google-Konto und Passwort einige der vorherigen Einstellungen wiederherstellen kann. Dadurch wird der Aufwand, ein neues Gerät von Grund auf neu einzurichten, vermieden. Nutzer können diese Funktion zu jedem Zeitpunkt deaktivieren, was dazu führt, dass Daten gelöscht werden. "
Der ganze Artikel (http://www.heise.de/security/meldung/Google-reagiert-auf-Kritik-an-Androids-Passwort-Speicherung-1920836.html)
Quelle : www.heise.de
-
(http://www.heise.de/imgs/18/1/0/5/3/4/8/0/a-backup2a200-4c7e355722388fac.png)
Seit über zwei Tagen versuchen wir, den Google-Servern ein von Android standardmäßig gesichertes WLAN-Passwort wieder zu entreißen – vergeblich. Auch zwei Tage, nachdem wir das Backup deaktiviert und der Löschung der Passwörter zugestimmt haben, spielt uns Google bei einer Synchronisierung mit dem Account das Passwort wieder aufs Smartphone. Gelöscht kann es also nicht sein.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-und-die-WLAN-Passwoerter-Google-loescht-nicht-1922971.html)
Quelle : www.heise.de
-
Die Antivirenexperten von Symantec haben in Fernost erste Apps entdeckt, welche die sogenannten Masterkey-Schwachstellen in Android ausnutzen. Durch die Lücken kann ein Angreifer Apps manipulieren, ohne deren digitale Signatur zu beschädigen. In den von Symantec untersuchten Fällen handelt es sich legitime Apps, denen nachträglich ein Trojaner namens Skullkey injiziert wurde. Die Cyber-Kriminellen haben dem Installationspaket (.apk) zwei Dateien hinzugefügt: Eine weitere classes.dex mit Programmcode und eine weitere AndroidManifest.xml, welche die anzufordernden Rechte festlegt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Erste-Angriffe-auf-Androids-Masterkey-Luecke-1923578.html)
Quelle : www.heise.de
-
Das Android Security Team lokalisierte die Ursache für einen Bitcoin-Diebstahl, der Anfang der Woche bekannt wurde: Androids in Java realisierte Verschlüsselung (Java Cryptography Architecture, kurz: JCA) verwendet schwache Zufallszahlen. Das betrifft potentiell alle Apps, die auf Android-Smartphones Verschlüsselung einsetzen. Es ist bereits ein Fall bekannt, in dem dieses Problem genutzt wurde, um Bitcoins im Wert von über 5000 US-Dollar zu stehlen.
Das Problem lässt sich auf eine schlechte Intialisierung des eingesetzten Pseudozufallszahlen-Generators zurückführen (Pseudo Random Number Generator, PRNG). Ein solcher PRNG liefert zwar Zahlenfolgen die nicht erkennbar korreliert sind; aber mit dem gleichen Startwert liefert er jedes Mal die gleiche Folge. Kommen nur wenige Startwerte zum Einsatz, gibt es nur wenig "Zufallszahlen" und Angreifer können ihre Brute-Force-Attacken auf bestimmte Wertebereiche einschränken.
Der ganze Artikel (http://www.heise.de/security/meldung/Androids-Verschluesselung-angreifbar-1936181.html)
Quelle : www.heise.de
-
Google hat offenbar begonnen, das erste Update für die aktuellste Hauptversion seines mobilen Betriebssystems zu verteilen. Details zu den Änderungen sind nicht bekannt, möglicherweise hängt das Update aber mit einer Bitcoin-Sicherheitslücke zusammen.
Wie Mitglieder der bekannten Entwickler-Community xda-developers (via Android Central) berichten, hat Google begonnen, ein nicht näher definiertes Anadroid-4.3-Update zu verteilen. Bisher wurde dieses allerdings nur bei Nexus-4- sowie Galaxy-Nexus-Geräten gesichtet, eine entsprechende Bestätigung (für das N4) liegt in Form eines aktualisierten Support-Beitrags beim US-Ableger von T-Mobile vor.
Bei diesem Update handelt es sich allerdings nicht um die von vielen Nexus-Besitzern herbeigesehnte Aktualisierung auf Android 4.3.1, als Versionsnummer scheint beim nun verteilten Sicherheits-Patch nach wie vor die 4.3 auf, es ändert sich lediglich die Versionsnummer bzw. -bezeichnung des Builds (von JWR66V auf JWR66Y).
Details zu Änderungen liegen nicht vor, bei T-Mobile wird als "Verbesserung" nur Sicherheit erwähnt. Ein offizieller Beitrag oder sonstigen Aussagen seitens Google stehen im Moment ebenfalls noch nicht zur Verfügung.
Spekulationen gibt es allerdings, dass das Update mit einer vor knapp zwei Wochen entdeckten Schwachstelle im Zusammenhang mit der Bitcoins-Währung zusammenhängen könnte. Die erwähnte Android-Lücke betrifft Bitcoin-Wallet-Apps, die durch einen nicht ordnungsgemäß funktionierenden Zufallszahlengenerator für Angriffe anfällig sind.
Neuigkeiten zum erwarteten bzw. erhofften Update auf Android 4.3 gibt es indes keine. Die neueste "Geschmacksrichtung " von Jelly Bean hat auf manchen Nexus-4-Geräten für Abstürze und Hänger gesorgt, diese ließen sich bisher lediglich durch ein Zurücksetzen der Firmware auf Version 4.2 des Betriebssystems eliminieren.
Quelle : http://winfuture.de
-
Thijs Alkemad, der Chefentwickler des Instant-Messaging-Clients Adium für Mac OS, ist der Ansicht, dass man die Verschlüsselung aller bisherigen WhatsApp-Nachrichten als kompromittiert ansehen muss. Das proprietäre Protokoll des Instant-Messaging-Dienstes verwendet laut Alkemade den Stromverschlüsselungsalgorithmus RC4 und benutzt dabei in beiden Kommunikationsrichtungen denselben Schlüssel und Initialisierungsvektor.
Werden mit RC4 zwei Nachrichten mit dem gleichen Schlüssel und Initialisierungsvektor erzeugt, kann ein Angreifer die verschlüsselten Nachrichten miteinander vergleichen. Dann lassen sich Teile einer Nachricht anhand eines Stücks Klartextes aus der anderen Nachricht entschlüsseln. Bestimmte Segmente der Nachrichten sind voraussagbar, etwa Header und anderer zur Infrastruktur des Protokolls gehöriger Text. Mit etwas Zeit und Mühe könnte man daraus große Teile beider Nachrichten freilegen.
Der ganze Artikel (http://www.heise.de/security/meldung/WhatsApp-Verschluesselung-ruft-Zweifel-hervor-1974767.html)
Quelle : www.heise.de
-
Die von E-Plus Tochter Base unter dem Namen Varia verkauften Smartphones sind nach Angaben des Unternehmens nicht alle mit einem Virus verseucht. "Maximal eine kleinere Teillieferung" sei mit einem Windows-Schädling auf der Speicherkarte verschickt worden, teilte ein Sprecher gegenüber heise Security mit. Das von Alcatel hergestellte Android-Smartphone sei zudem ohnehin nur "nur in kleinen Mengen ausgeliefert" worden. Andere Modelle seien nicht betroffen.
Der ganze Artikel (http://www.heise.de/security/meldung/E-Plus-warnt-Kunden-vor-Viren-Smartphones-von-Base-1985210.html)
Quelle : www.heise.de
-
Mit Android 4.4 behebt Google erneut einen Fehler, der es ermöglicht, Schad-Software in digital signierte Pakete einzuschleusen. Da ein Forscher diesen Bug bereits früher entdeckt hatte, gibt es auch bereits eine detaillierte Erklärung und einen Demo-Exploit.
Das Problem ist einmal mehr die Art und Weise, wie Android die digitalen Signaturen von Software-Paketen prüft. Offenbar lässt sich über diese Lücke Code zu einem digital signierten Paket hinzufügen, ohne dass diese Signatur ungültig wird. Das bedeutet, dass elementare Sicherheitschecks ins Leere greifen und Software an diesen Tests vorbeigeschmuggelt werden kann. Im schlimmsten Fall könnte sich ein Trojaner etwa als von Google autorisierte Systemerweiterung die allerhöchsten Rechte verschaffen und im System einnisten.
Der ganze Artikel (http://www.heise.de/security/meldung/Erneuter-Fehler-der-Signaturpruefung-in-Android-2039252.html?wt_mc=sm.feed.tw.security)
Quelle : www.heise.de
-
Eine Taschenlampen-App für Android-Handys hat unerlaubt Daten über Aufenthaltsort und Gerät der Nutzer gespeichert und an Werbenetzwerke weitergegeben. Die App wurde mindestens 50 Millionen Mal aus Googles Play-Store heruntergeladen.Die App habe Nutzer nicht darüber informiert, dass deren Aufenthaltsort und die Identifikationsnummer der Geräte an Dritte weitergegeben wurden, erklärte die US-Handelsbehörde FTC, die sich mit der Betreiberfirma außergerichtlich einigte.
Der ganze Artikel (http://www.heise.de/security/meldung/Millionenfach-installierte-Android-App-schnueffelte-Nutzerdaten-aus-2062105.html)
Quelle : www.heise.de
-
Zahlreiche Smartphones-Apps kommunizieren zwar verschlüsselt, lassen sich aufgrund von Programmierfehlern aber trotzdem belauschen. Das Fraunhofer-Institut für Sichere Informationstechnologie (SIT) hat 2000 Android-Apps systematisch getestet und konnte bei immerhin mehr als 30 die SSL-Verschlüsselung knacken.
Die Forscher schleusten den Datenverkehr der Apps durch einen Analyseproxy, der den Apps im einfachsten Fall ein selbst signiertes Zertifikat vorsetzte, wie es auch Angreifer leicht erstellen können. Einige der Apps akzeptierten das Zertifikat, wodurch sich das Analysesystem in die Verbindung einklinken und zum Beispiel Login-Daten im Klartext mitschneiden konnte.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-Apps-mit-SSL-Luecken-2062942.html)
Quelle : www.heise.de
-
Der Elektronikkonzern Samsung hat eine Schwachstelle in seinen Android-Geräten behoben, durch die man die Nutzer der Geräte umfassend ausspionieren kann. Wie c't in der aktuellen Ausgabe 01/14 berichtet, übertrugen Smartphones und Tablets des Herstellers die Registrierungsdaten für den sogenannten Samsung-Account im Klartext – darunter der Name, die Mail-Adresse und sogar das gewählte Passwort.
Einen Samsung-Account benötigt man, um essentielle Funktionen wie etwa das Aufspüren verlorener Smartphones zu nutzen. Geraten die Zugangsdaten in die falschen Hände, können damit aber auch Unbefugte den präzisen Aufenthaltsort des Account-Besitzers auskundschaften. Über die Samsung-Website kann man damit ferner sogar Bewegungsprofile erstellen, die einen Zeitraum von 12 Stunden abdecken, auf Anruflisten zugreifen, Umleitungen für Anrufe und SMS einrichten und sogar das Smartphone entsperren.
Der ganze Artikel (http://www.heise.de/security/meldung/Samsung-stopft-Spionage-Luecke-in-seinen-Android-Geraeten-2065670.html)
Quelle : www.heise.de
-
Bei einer Untersuchung von 10,000 Android-Apps haben Forscher herausgefunden, dass die Mehrzahl ihre Datenverbindungen gar nicht verschlüsselt und weitere 26 Prozent SSL so einsetzen, dass die Verbindung angreifbar ist.
Sicherheitsforscher des Fraunhofer-Instituts für Angewandte und Integrierte Sicherheit (AISEC) haben mit einer selbst entwickelten Software die 10.000 beliebtesten Android-Apps unter die Lupe genommen. Dabei kam heraus, dass 69 Prozent der Programme ihren Traffic unverschlüsselt in die Cloud funken. 26 Prozent nutzen zwar SSL-Verbindungen, diese sind aber anscheinend nicht sicher umgesetzt und unter Umständen angreifbar. Das Institut untersuchte die Android-Programme mit dem selbst entwickelten Tool App-Ray – hiermit lassen sich nach Aussage der Forscher Android-Apps vollautomatisch auf Sicherheitsprobleme prüfen.
Der ganze Artikel (http://www.heise.de/security/meldung/69-Prozent-der-beliebtesten-Android-Apps-funken-im-Klartext-2135028.html)
Quelle : www.heise.de
-
In einem proprietären Bestandteil von Samsungs Mobilgeräten hat das Team des freien Replicant OS eine Backdoor entdeckt, durch die Angreifer Zugriff auf die lokalen Daten erhalten können.
Android ist zwar zum größten Teil Open Source, viele Hersteller implementieren jedoch zusätzlich proprietäre Komponenten in ihre Geräte. Dazu gehören zum Beispiel eigene Apps, die gerade Samsungs Galaxy-Serie von der Konkurrenz abhebt. Unter der Haube ändern die Koreaner hingegen ebenfalls Bestandteile des Betriebssystems, wodurch die Entwickler von Replicant OS eine Backdoor entdeckt (http://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor) haben. Betroffen sind neben der Galaxy-Serie auch von Samsung hergestellte Geräte wie das Nexus S.
Das freie Softwareprojekt will alle proprietären Bestandteile im OS durch ihre freien Pendants ersetzen und ist so auf die Schwachstelle in Samsungs Mobilgeräten aufmerksam geworden: In einem Smartphone kooperieren zwei Prozessoren, einer für Android und einer als Modem mit einem proprietären Betriebssystem.
Die Replicant-Entwickler entdeckten in der von Samsung stammende Binärdatei libsec-ril.so einige Funktionen wie etwa RxRFS_GetFile, die darauf hindeuten, dass bei den betroffenen Geräten ein Fernzugriff auf das Dateisystem möglich ist. Die verdächtigen Funktionen sollen in direkter Verbindung mit Code stehen, der sogenannte RFS Requests auswertet, die das Modem aus dem Netz empfängt.
Die Entwickler haben eine Liste der möglichen Befehle veröffentlicht, aus der hervorgeht, dass neben Lese- offenbar auch Schreiboperationen vorgesehen sind. Legitime Gründe für die Existenz dieser Befehle fanden die Entwickler nicht, sie schließen jedoch nicht aus, dass sie ohne die Absicht hinzugefügt wurden, eine Backdoor zu errichten. Das Replicant-OS-Team hat einen Patch für die Smartphones zum Herunterladen freigegeben, der die fragwürdigen Funktionen deaktiviert. Samsung erklärte gegenüber heise online, dass der Sachverhalt derzeit in Südkorea überprüft werde.
Quelle : www.heise.de
-
Nach den ersten Aufregern um die angebliche Backdoor auf Samsungs Android-Geräten melden sich Sicherheitsexperten mit Details zu Wort.
Eine Backdoor auf allen populären Mobilgeräten von Samsung – das betrifft viele Nutzer und sorgt für angeheizte Diskussionen. Nach den ersten Aufregern melden sich nun Sicherheitsexperten zu Wort, die auf Details zu der potenziellen Schwachstelle eingehen.
Der ganze Artikel (http://www.heise.de/ix/meldung/Erste-Details-zu-Samsungs-angeblicher-Backdoor-2145153.html)
Quelle : www.heise.de
-
Android soll Nutzer jetzt schon bei der Installation vor Apps aus Drittquellen schützen, die Schadcode auf das Smartphone schmuggeln wollen. In Zukunft scannt das Betriebssystem kontinuierlich nach bösen Apps.
(http://1.f.ix.de/imgs/18/1/2/0/6/5/7/4/verify-apps-5ca592df5ce6cdff.png)
Google hat angekündigt, den eingebauten Schutz vor schädlichen Apps in Android ausweiten zu wollen. Schon jetzt scannt das Betriebssystem Apps aus Drittquellen einmalig bei der Installation. In Zukunft soll Android dauerhaft auf der Suche nach Programmen sein, die sich verdächtig verhalten. Die Funktion basiert auf dem schon seit Android 4.2 vorhandenen Feature namens "Apps verifizieren".
Bald soll "Apps verifizieren" kontinuierlich scannen (http://officialandroid.blogspot.com/2014/04/expanding-googles-security-services-for.html) – und zwar alle Programme. Die Software untersucht Apps nach den Merkmalen bekannter Malware und vergleicht ihr Verhalten mit bereits gescannten Apps, um Abweichungen von der Norm zu entdecken. Wie genau das System funktioniert, sagt Google allerdings nicht.
Die neuen Funktionen werden wohl den meisten Nutzern, so Google, gar nicht auffallen. Bei der alten Funktionsweise des Schutzsystems gab es im letzten Jahr nach Angaben von Google bei 0,18 Prozent der Installationen Warnungen, dass die App potentiell schädlich sein könnte – das sind aber auch bei konservativen Schätzungen immer noch mehrere Millionen Warnungen.
Die neue Funktion soll ab Android-Version 2.3 funktionieren und per Update von Google Play Services verteilt werden. Wann genau Nutzer dieses Update erhalten sollen, ist noch unklar.
Quelle : www.heise.de
-
Der kontroverse Gründer des gleichnamigen Sicherheitsunternehmens veröffentlicht mit seiner Firma Future Tense Secure Systems nun Sicherheitsapps für Smartphones. Mit Chadder will er Direktnachrichten junger Leute vor Spionage schützen.
(http://1.f.ix.de/imgs/18/1/2/1/6/0/7/2/chadder-3b7726a13efbd363.png)
John McAfees Sicherheitsfirma Future Tense Secure Systems hat einen Ende-zu-Ende verschlüsselnden Messenger für Smartphones vorgestellt. Die kostenlose App ist für Android und Windows Phone erhältlich, eine iOS-Ausgabe ist laut McAfee in Arbeit.
Chadder (http://www.chadder.im/), so der Name der App, soll lückenlos verschlüsseln und richtet sich vor allem an junge Nutzer. Laut den Entwicklern können nur Sender und Empfänger in Inhalt der Nachrichten entschlüsseln. Allerdings liegt der Quellcode nicht offen und man muss den Herausgebern der App vertrauen, dass dieses Versprechen eingehalten wird. Die App wurde von Forschern des Rochester Institute of Technology unter dem Firmennamen Etransf entwickelt und wird von McAfees Unternehmen vertrieben.
Future Tense Secure Systems bietet neben Chadder auch einen Programmrechte-Manager für Android namens DCentral1 (ehemals Cognizant) an. Mit dieser App hatte McAfee sich Anfang des Jahres im Sicherheitsgeschäft zurückgemeldet. Bekannt worden war McAfee als Gründer des gleichnamigen Sicherheitsunternehmens, welches mittlerweile Teil von Intel ist.
Quelle : www.heise.de
-
Sicherheitsforscher haben den ersten Trojaner entdeckt, der Android-Geräte befällt und von seinen Opfern Lösegeld erpresst. Der Schadcode mit dem Namen Koler.A befällt bereits Smartphones weltweit.
Die auf Desktop-Rechnern berüchtigten Erpressungstrojaner haben den Android-Markt für sich entdeckt. Sicherheitsforscher haben jetzt Trojaner dokumentiert, die Android-Smartphones sperren und die Opfer zur Zahlung eines als Strafgebühr getarnten Lösegelds zwingen. Der jetzt aufgetauchte Trojaner wird unter der Bezeichnung Koler.A geführt und nutzt Geolokalisation um seinen Opfern je nach Herkunftsland eine passende, angeblich von der landesspezifischen Polizei stammende, Warnung zu präsentieren. Die Gauner haben sich sogar die Mühe gemacht, die angezeigten Webseiten mit den jeweiligen Regierungs- oder Staatsoberhäuptern zu versehen.
Der ganze Artikel (http://www.heise.de/security/meldung/Erpressungstrojaner-drohen-Android-Nutzern-2183800.html)
Quelle : www.heise.de
-
Die Software kostet bis zu 5000 US-Dollar. Für diesen Preis können Angreifer SMS anfangen, Gespräche umleiten und auf das Dateisystem eines Android-Handys zugreifen. Und nachdem die Autoren selbst gehackt wurden, ist der Trojaner auch noch quelloffen.
Sicherheitsforscher berichten über einen Smartphone-Trojaner, der so voller Features steckt, dass er als einer der momentan teuersten Schadcodes gehandelt wird. iBanking infiziert nicht etwa, wie der Name vermuten ließe, iOS-Geräte, sondern hat es auf Android-Smartphones abgesehen.
Die Autoren des Trojaners geben an, eine Blackberry-Version sei in Arbeit und werben mit den umfangreichen Funktionen der Software: iBanking kann SMS abfangen, Gespräche umleiten, verdeckt das Mikrofon des Handys aktivieren, den Standort auslesen und auf dessen Dateisystem zugreifen. Die Trojaner organisieren sich in Botnetzen, die untereinander über HTTP und Textnachrichten kommunizieren.
Teures Vergnügen
Die Ganoven lassen sich all diese Funktionen teuer bezahlen: iBanking kostet zwischen 4000 und 5000 US-Dollar. Für diesen Preis kann die Schadsoftware angeblich die Zwei-Faktor-Anmeldung bei gängigen Online-Banking-Portalen aushebeln. Außerdem erhalten Käufer technische Unterstützung und Updates für die Software. Wer den Preis nicht bezahlen kann, hat die Möglichkeit, die Autoren an seinem illegalen Gewinn zu beteiligen.
Um sein Opfer anzugreifen, muss der Hacker dieses allerdings dazu bringen, die Software zu installieren. Das geschieht in der Regel mit psychologischen Tricks wie dem Vorwand, Viren hätten das Handy befallen. Die Angreifer geben den Trojaner aber auch als Apps für soziale Netzwerke aus. Oft wird der Desktop-Rechner der Opfer ebenfalls infiziert, um deren Banking-Logins abzugreifen.
Auf Grund seines hohen Preises wurde iBanking für einige Zeit nur von organisierten Banden eingesetzt. Der Trojaner ist mit professionellen Schutzmaßnahmen ausgestattet, die es Sicherheitsforschern schwerer machen sollen, seine Funktionen zu analysieren – unter anderem verschlüsselt der Virus seine XML-Dateien mit AES. Laut Antiviren-Hersteller Symantec ist der Quellcode des Virus trotz dieser Schutzmaßnahmen im Netz verbreitet worden. Der Vorfall hat dazu geführt, dass jetzt immer mehr Kriminelle den Schadcode einsetzen.
Quelle : www.heise.de
-
Ein weiterer Malware-Trend erreicht Android: Nach den Erpressungstrojanern, die das Gerät sperren, gibt es nun auch einen Schädling, der das digitale Hab und Gut seines Opfers verschlüsselt. Für die Entschlüsselung der Daten verlangen die Ganoven Geld.
Die Antivirenfirma Eset hat einen Schädling entdeckt (http://www.welivesecurity.com/2014/06/04/simplocker/), der nach seiner Aktivierung auf der Speicherkarte nach Mediendateien und Office-Dokumenten sucht. Anschließend verschlüsselt er diese mit AES und zeigt einen Hinweis an, laut dem das Gerät gesperrt sei, weil man pädophile und zoophile Inhalte konsumiert und verbreitet hat. Um die Sperre wieder aufzuheben, soll man ein Lösegeld in Höhe von umgerechnet 16 Euro bezahlen, und zwar über ein schwer zurückverfolgbares Bezahlsystem namens MoneX.
Obgleich die Malware laut Eset tatsächlich Entschlüsselungsfunktionen enthält, sollte man in jedem Fall davon absehen, dieser Aufforderung Folge zu leisten – ob die Dateien nach der Zahlung tatsächlich entschlüsselt werden, ist fraglich. Derzeit hat es die Malware, die von ihren Entdeckern Simplocker getauft wurde, nur auf russischsprachige Android-Nutzer abgesehen. Die Zahlung soll in ukrainischen Hrywnja erfolgen.
Der Schädling kommuniziert mit einem Command-and-Control-Server (C&C-Server), der als Hidden Service im Tor-Netzwerk versteckt und dadurch kaum auffindbar ist. Wie die meisten anderen Android-Schädlinge auch lauert Simplocker außerhalb des Google Play-Store auf neue Opfer. Eset schätzt seine Verbreitung derzeit noch als sehr gering ein.
Quelle : www.heise.de
-
Überraschend hat Google eine neue Android-Version herausgegeben, die in den USA bereits automatisch an Geräte verteilt wird. Das Update flickt unter anderem die Man-in-the-Middle-Lücke, die OpenSSL vor kurzem geschlossen hatte.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Android-4-4-4-Google-schliesst-OpenSSL-Luecken-2235633.html)
Quelle : www.heise.de
-
Eine Sicherheitslücke in Androids KeyStore-Prozess erlaubte es Angreifern, geheime Schlüssel auszulesen und mit den Kryptofunktionen des Gerätes Schindluder zu treiben. Die Lücke wurde mit Android 4.4 geschlossen.
Sicherheitsforscher haben im letzten Jahr eine Lücke in der Schlüsselverwaltung von Android gefunden (CVE-2014-3100). Die Lücke wurde vertraulich an Google gemeldet und bereits mit Android 4.4 geschlossen. Alle Android-Versionen die älter sind, sind angreifbar, allerdings gibt es bisher keine Berichte über konkrete Angriffe. Durch einen Pufferüberlauf kann ein Angreifer Schadcode ausführen und geheime Schlüssel auslesen, sowie die Kryptofunktionen des Gerätes manipulieren.
Das Ausnutzen der Lücke in Androids KeyStore-Prozess ist nicht trivial. Der Sicherheitsforscher von IBM, der mit seinem Team das Problem entdeckt hat, schreibt, dass ein Angreifer sowohl Data Execution Prevention (DEP), Speicherverwürfelung (ASLR) und weitere Sicherheitsvorkehrungen umgehen müsste, um einen erfolgreichen Angriff durchzuführen. Das ist allerdings durchaus im Bereich des Möglichen.
Die Lücke wurde am 9. September an Google gemeldet und am 11. November geschlossen. Die Forscher haben bis heute mit der Veröffentlichung der Lücke gewartet, da es wegen der Zersplitterung des Android-Marktes mitunter sehr lange dauere, bis entsprechende Updates auch bei den Nutzern landen. In der Beschreibung der Lücke bedankt sich das IBM-Team ausdrücklich beim Sicherheitsteam von Android für einen effizienten Umgang mit dem Problem.
Quelle : www.heise.de
-
Google will in Zukunft einige Sicherheitslücken in Android über die Google Play Services schließen statt per Android-Update. Mit Android L sollen zudem die Einstellungen für Sicherheit und Privatsphäre zentral zusammengefasst werden.
Nur eine Folie dauerte das Thema Sicherheit auf der Google I/O, die hat es jedoch in sich. Zukünftig will Google bestimmte Sicherheitslücken über die Google Play Service stopfen und nicht mehr ausschließlich per Android-Update. Damit würde Google zumindest teilweise ein zentrales Probleme von Android lösen, denn abgesehen von der Nexus-Serie müssen die meisten Android-Geräte lange oder gar vergeblich auf Updates warten.
(http://2.f.ix.de/imgs/18/1/2/5/6/0/8/5/Clipboard02-d2fed6283e4d95b6.jpeg)
Entsprechend offen stehen ältere Geräte Angriffen gegenüber. Details zum künftigen Vorgehen nannte Android-Chef Sundar Pichai nicht. Gepatcht werden jedoch wohl nur Lücken, die die Kommunikation mit den Google-Diensten betreffen, das aber spätestens innerhalb von 6 Wochen – so oft will Google die Play Services aktualisieren. Ältere Versionen dürften davon auch profitieren: Laut Google hätten 93 Prozent der Android-Nutzer die aktuelle Version von Play Service installiert. Android-Geräte ohne installierte Play Services und damit ohne Google dürften aber in Zukunft stärker benachteiligt sein.
Auch anderweitig will Google für mehr Sicherheit sorgen. Mit Android L werden die Einstellungen Sicherheit und Privatsphäre im Menü "Universal Data Controls" zusammengefasst. Darüber lasse sich laut Pichai unter anderem die Weitergabe von Bewegungsdaten kontrollieren. Bereits vor der Google I/O durchgesickert war die Ankündigung, dass sich Android-Geräte in Zukunft auch aus der Ferne zurücksetzen lassen können. Der Kill Switch soll den Diebstahl der Geräte unattraktiv machen.
Quelle : www.heise.de
-
Android verrät über WLAN, wo sich der Nutzer aufgehalten hat – selbst dann, wenn sich das Gerät im Standby-Modus befindet. Dies ist das Ergebnis einer aktuellen Untersuchung der Electronic Frontier Foundation.
Mobilgeräte mit WLAN verraten mehr über die Lebensgewohnheiten ihrer Nutzer, als vielen bewusst sein dürfte. Die Electronic Frontier Foundation hat mehrere Plattformen und Geräte untersucht und ist bei Android auf Nachholbedarf in puncto Datenschutz gestoßen.
Datenpetze Android
Smartphones und Tablets mit Android-Betriebssystem scannen intervallartig nach WLANs, in die sie schon mal eingebucht waren. Dabei senden sie in einigen Fällen die Netzwerknamen über den Äther. Diese speziellen WLAN-Pakete, die sogenannten Probe-Requests, kann jeder in Funkreichweite mitschneiden und somit feststellen, wo sich der Besitzer des Geräts aufgehalten hat; insbesondere dann, wenn die Netzwerke eindeutige Namen (SSIDs) wie "Firma XY", "Hauptbahnhof Hannover" oder "Cafe Müller" tragen.
Der ganze Artikel (http://www.heise.de/security/meldung/WLAN-Datenleck-bei-Android-2250961.html)
Quelle : www.heise.de
-
Ob und wie oft man WhatsApp öffnet, will man unter Umständen lieber für sich behalten. Der Betreiber macht diese Information allerdings für jedermann zugänglich, der die Nummer kennt. Selbst, wenn man dies in den Datenschutz-Einstellungen deaktiviert hat.
WhatsApp hat ein Datenschutzproblem: Selbst wenn man alle Datenschutz-Optionen ausreizt, verrät der Messenger den Online-Status seines Nutzers – und zwar jedem, der die Rufnummer kennt. Wer den Status langfristig aufzeichnet, kann mühelos auf das Nutzungsverhalten und potenziell sogar auf den Tagesablauf des Überwachten schließen.
Schnüffeln ohne Erlaubnis
Um den Online-Status einer beliebigen Rufnummer abzurufen, muss man diese lediglich zu den Kontakten hinzufügen und ein Chat-Fenster öffnen. Der Besitzer der Rufnummer bekommt davon nichts mit und muss auch nichts bestätigen.
Der ganze Artikel (http://www.heise.de/security/meldung/Datenleck-WhatsApp-petzt-Online-Status-2400819.html)
Quelle : www.heise.de
-
Ein Passwort für alle Dienste, ohne jedoch überall das gleiche zu nutzen – Master Password macht es möglich. Android-Nutzer können mit einer weiteren App davon profitieren, die an das iOS-Vorbild angelehnt ist.
Eine weitere App bringt das Master-Password-Konzept auf die Android-Plattform: Das von David Kunzler entwickelte Master Password for Android (https://play.google.com/store/apps/details?id=de.devland.masterpassword) erinnert stark an die Original-App, diese ist bislang jedoch nur für iOS erhältlich. Die Android-App nutzt den gleichen Algorithmus, die von ihr generierten Passwörter sind also identisch.
Der ganze Artikel (http://www.heise.de/security/meldung/Master-Password-fuer-Android-2408616.html)
Quelle : www.heise.de
-
Mit steigenden Marktanteilen wurde Android auch zum lohnenswerten Ziel für kriminelle Programmierer und Hacker. AV-Test, ein deutscher Anbieter für IT-Sicherheitstests und Dienstleistungen hat jetzt 32 Security-Apps für Android auf ihre Nützlichkeit getestet.
Android ist einfach sicher zu machen
AV-Test kommt bei seiner umfassenden Überprüfung von Sicherheits-Apps zu einem durchaus beruhigenden Ergebnis für alle Android-Nutzer: Wer Sicherheitssoftware auf seinem Smartphone oder Tablet einsetzt, kann sich damit ohne großen Aufwand vor fast allen ungewollten Zugriffen und bösen digitalen Überraschungen schützen. Für ausreichende Sicherheitsmaßnahmen muss man nach Meinung der professionellen Tester nicht unbedingt bezahlen.
Der ganze Artikel (http://winfuture.de/news,84284.html)
Quelle : www.heise.de
-
WhatsApp verschlüsselt. Und zwar nicht irgendwie – sondern mit der Ende-zu-Ende-Verschlüsselung des von Experten und Datenschützern hoch geschätzten Messengers TextSecure.
WhatsApp ist die meistgenutzte Messaging-App und auf dem besten Weg die SMS aufs verdiente Altenteil zu schicken. Doch in Bezug auf Sicherheit und Privatsphäre ist WhatsApp immer wieder in die Kritik geraten. Insbesondere die fehlende Verschlüsselung der Kommunikation war Datenschützern und Sicherheitsexperten ein Dorn im Auge. Das soll sich jetzt ändern: WhatsApp soll die Ende-zu-Ende-Verschlüsselung des Open-Source-Messengers TextSecure von Open Whisper Systems bekommen.
Was die Verschlüsselung angeht ist TextSecure derzeit State-of-the-Art und unter Experten hoch angesehen. Das Protokoll ist speziell auf die Anforderungen von Messaging zugeschnitten, der Code ist Open Source und die Protagonisten rund um Moxie Marlinspike gelten allgemein als äußerst kompetent und integer.
Seit einem halben Jahr arbeitet WhatsApp bereits mit Open Whisper Systems zusammen, um die Krypto-Infrastruktur von TextSecure zu integrieren. Die Android-Versionen sollen dessen Ende-zu-Ende-Verschlüsselung schon beherrschen und "täglich bereits Milliarden verschlüsselte Nachrichten austauschen" heißt es in einem Blog-Beitrag von Open Whsiper Systems. In weiteren Ausbaustufen sollen verschlüsselte Gruppen-Chats und die anderen Betriebssysteme folgen.
Auch im jüngsten Messenger-Vergleich von c't war TextSecure in Bezug auf Sicherheit und Verschlüsselung das, was man eigentlich haben möchte. In Kombination mit der einfachen Benutzbarkeit und der Anwenderbasis von WhatsApp ergibt das ein Dream-Team. Und auch wenn Kritiker jetzt sicher mahnend auf den Daten-Riesen Facebook im Hintergrund hinweisen werden: Das ist ein riesiger Schritt in die richtige Richtung.
Quelle : www.heise.de
-
Eine Kernkomponente von Android wird auf Geräten mit älteren Versionen nicht mehr mit Patches versorgt. Dabei ist vor allem deren Standardbrowser Einfallstor für Angreifer.
Google will Sicherheitslücken im bis Android 4.3 genutzten Standard-Browser von Android – genauer gesagt in dessen WebView-Komponente – nicht mehr stopfen. Als Grund gibt das Android-Sicherheitsteam an, dass Google keine Drittanbietergeräte mehr zertifiziert, die den alten Browser als Standard verwenden. Aktuell sind dem Sicherheitsexperten Tod Beadsley elf mögliche Angriffspunkte im WebView-Modul bekannt, wie dieser in einem Metasploit-Blog-Posting mitteilte. In der Vergangenheit wurden derartige Schwachstellen immer wieder für Angriffe genutzt.
Das Webview-Modul ist die Kernkomponente des alten Browsers mit dem blauen Weltkugel-Icon. Doch auch andere Apps setzen die Komponente ein und vergrößern so das Risiko eines Angriffs. Mit Android 4.4 wurde das Modul gegen eine auf Chromium aufbauende, überarbeitete Variante ausgetauscht und Chrome als Standard-Browser eingestellt. Google zufolge sind aber noch fast 61 Prozent der sich im Umlauf befindlichen Android-Geräte von den Sicherheitslücken betroffen, denn erst 39 Prozent haben Android 4.4 oder höher installiert.
Wer seine Android-Version nicht updaten will oder aufgrund von Restriktionen kann, sollte auf einen alternativen Browser umsteigen, etwa die aktuelle Chrome-Version. Auf alle Webview-basierten Apps zu verzichten ist wiederum praktisch unmöglich, denn die Komponente wird in der Regel auch für Werbeeinblendungen genutzt und derartig finanzierte Anwendungen wären nicht nutzbar. Anwender von Android 5.0 haben zudem die Möglichkeit, die Webview-Komponente selbstständig zu aktualisieren.
Quelle : www.heise.de
-
Android-Smartphones können aus dem lokalen Netz zum Reboot gezwungen werden. Google weiß seit September von der Lücke, scheint aber nicht sonderlich daran interessiert, einen Patch zu liefern.
Ältere Versionen des Android-Betriebssystems enthalten eine Schwachstelle im WLAN-Treiber, durch die ein Angreifer das Gerät unter bestimmten Umständen zum Absturz bringen kann (CVE-2014-0997). Laut einem Bericht der Sicherheitsfirma Core Security tritt das Problem ausschließlich im WiFi-Direct-Modus auf, also bei Ad-hoc-Verbindungen zwischen zwei Geräten ohne Access Point. Google weiß seit September von der Lücke und schätzt deren Schweregrad als "niedrig" ein. Ob die Firma die Lücke überhaupt stopfen will, ist nicht bekannt.
Der ganze Artikel (http://www.heise.de/security/meldung/WLAN-Angriff-Android-Geraete-koennen-zum-Absturz-gebracht-werden-2529222.html)
Quelle : www.heise.de
-
Google kämpft in seinem App-Store gegen eine neue Betrugsmasche: Dabei legen sich Apps auf die Lauer und erst nach einer Inkubationszeit von bis zu 30 Tagen nerven sie Nutzer mit Werbeeinblendungen. Diese verlinken wiederum auf betrügerische Seiten.
Google sieht sich in seinem App-Store erstmals mit Adware-Apps konfrontiert, die Android-Nutzer erst nach einem gewissen Zeitraum mit Werbeeinblendungen belästigen. Das hat ein Nutzer im Forum der Virenschutz-Entwickler von Avast herausgefunden.
Einem Eintrag des Virenforschers Filip Chytry im Avast-Blog zufolge legen sich die Apps bis zu 30 Tage auf die Lauer, bevor die Werbeeinblendungen auftreten. Gemäß Chytry sei zur Aktivierung noch ein Neustart des Gerätes nötig.
Der ganze Artikel (http://www.heise.de/security/meldung/Google-Play-Schlaefer-Apps-infizieren-Millionen-Geraete-2539278.html)
Quelle : www.heise.de
-
Wer ein Smartphone oder Tablet mit Android 4.3 oder älter nutzt, lebt gefährlich. Einmal mehr demonstriert dies ein neuer Exploit, der beim Aufruf einer Webseite ungefragt Apps auf das Gerät schmuggelt. heise Security hat das mal ausprobiert.
Durch zwei Sicherheitslücken war es möglich, Webseiten zu erstellen, die ungefragt beliebige Android-Apps aus Google Play installieren. Die erste Lücke ist eine alte Bekannte: Die Webbrowser-Komponente von Android bis einschließlich Version 4.3 ist anfällig für das sogenannte Universal Cross-Site-Scripting (UXSS). Dadurch kann eine bösartige Webseite eine beliebige andere Website fernsteuern. Die Angriffsseite könnte etwa einen Webmail-Dienst in einem unsichtbaren Frame laden und auf die Mails des Opfers zugreifen – vorausgesetzt, das Opfers ist bei dem Dienst eingeloggt, wenn es die bösartige Seite aufruft.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-Exploit-schleust-beliebige-Apps-ein-2549172.html)
Quelle : www.heise.de
-
Der WebView-Bug von Android 4.3 könnte sich stärker auswirken als bisher bekannt. Auch wenn die Angriffsszenarien bisher nur theoretische Proof-of-Concepts sind, sollten Sie ein paar Vorsichtsmaßnahmen ergreifen.
Android nutzt bis einschließlich Version 4.3 eine alte Browser-Komponente mit vielen Sicherheitslücken, die Google nicht mehr ausbessern möchte. Problematisch daran ist, dass erstens nicht nur Browser diese Komponente nutzen, sondern auch viele Apps. Zweitens tauchen neue Angriffsszenarien auf, die auch unverdächtige Apps gefährden. Noch nutzt niemand diese Lücken aus, doch Besitzer von Smartphones und Tablets mit Android 4.3 oder älter sollten sich zumindest ein paar Gedanken über Abhilfen machen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Sicher-surfen-trotz-Android-4-3-2552659.html)
Quelle : www.heise.de
-
Viele Android-Geräte werden durch eine Sicherheitslücke bedroht, die es Angreifern erlaubt, vertrauliche Daten abzugreifen. Ob Ihr Gerät angreifbar ist, finden sie mit einem Test von c't heraus.
Mit dem Android-Test der c't können Sie überprüfen, ob Ihre Android-Geräte für eine Sicherheitslücke im Browser anfällig sind. Schlägt der Test an, ist die Wahrscheinlichkeit groß, dass Sie der Hersteller im Regen stehen lässt und auch andere Sicherheitslöcher nicht zeitnah stopft.
Sicherheitslücken
In vielen älteren Android-Versionen klaffen Sicherheitslücken, die für den Nutzer dramatische Folgen haben können: Ruft man eine verseuchte Webseite auf, können Angreifer auf persönliche Daten zugreifen und das Smartphone oder Tablet sogar in eine Wanze verwandeln. Zwar werden die Lücken bislang noch nicht ausgenutzt, das kann sich aber jederzeit ändern. Deshalb sollte man vorbereitet sein und wissen, wie es um die Sicherheit der eigenen Android-Geräte bestellt ist.
Der ganze Artikel (http://www.heise.de/security/meldung/UXSS-Sicherheitsluecke-in-Android-Jetzt-Geraete-testen-2569003.html)
Quelle : www.heise.de
-
Durch einen Trick könnte eine bereits installierte App einen bösartigen Trojaner auf Android-Geräten platzieren – ohne dass der Anwender das bemerkt oder ihr irgendwelche Rechte einräumen müsste.
"Was Sie checken, ist nicht unbedingt das, was Sie dann auch installieren" – so lässt sich die Lücke zusammenfassen, die laut Palo Alto rund 50 Prozent aller Android-User betrifft. Wenn man eine Android-App aus dem App-Store eines Dritt-Anbieters installiert, zeigen einem die Installations-Routinen von Android eine Beschreibung der App und die von ihr angeforderten Rechte an. Tauscht währenddessen eine App im Hintergrund das Installer-Paket gegen ein anderes aus, installiert Android beim Tap auf "Installieren" allerdings ohne weitere Nachfragen die untergeschobene App mit allen Rechten, die diese anfordert.
Der Trick funktioniert nur mit Apps, die aus Dritt-Anbieter-Quellen oder direkten Downloads installiert werden, da diese ungeschützt auf dem Gerät liegen. Apps aus dem Google Play Store landen in einem speziell geschützten Speicherbereich, auf den andere Apps keinen Zugriff haben. In Android 4.3 hat Google einen zusätzlichen Test eingebaut, der das Installationspaket zum Zeitpunkt der Installation nochmal überprüft. Ein zwischenzeitliches Ersetzen des Pakets wird dadurch verhindert.
Laut dem Android-Dashboard betreiben rund die Hälfte aller Android-Nutzer ihre Geräte noch mit Versionen bis maximal 4.2. Darüber hinaus hat Palo Alto auch einige Geräte mit Android 4.3 entdeckt, die den Test offenbar doch nicht enthalten. So erwies sich in konkreten Tests ein Samsung Galaxy S4 trotz Android 4.3 noch als anfällig. Ab Version 4.4 gelang es jedoch nicht mehr, das Problem auszunutzen.
Wer sich also vor solchen heimlichen Installationen schützen möchte, sollte sein Gerät sofern möglich mindestens auf Android 4.3, besser sogar 4.4 aufrüsten. Wer an eine ältere Android-Version gebunden ist, sollte die Option zur "Installation aus nicht vertrauenswürdigen Quellen" abschalten und sich auf die Installation von Apps aus dem Google Play Store beschränken. Damit geht man auch vielen der anderen Gefahren, die Android-Geräten drohen elegant – also ohne zusätzlichen Virenschutz – aus dem Weg.
Palo Alto hatte das Problem nach eigenen Angaben bereits im Januar 2014 entdeckt und kurz darauf Google gemeldet. Der daraufhin im März vergangenen Jahres entwickelte Android-Patch wies auch weitere interessierte Parteien deutlich auf dieses Sicherheitsproblem hin. Warum Palo Alto diese Sicherheitslücke erst jetzt – also über ein Jahr später – einer breiteren Öffentlichkeit bekannt macht, erklärt das Unternehmen nicht.
Quelle : www.heise.de
-
Wer sein Android-Smartphone verkauft hat, muss befürchten, dass trotz gelöschten Gerätespeichers noch private Daten wie etwa Nachrichten und Log-in-Daten im Speicher schlummern, die unter Umständen wiedergehergestellt werden können.
Die Werks-Reset-Funktion von rund 500 Millionen Android-Geräten soll nicht verlässlich arbeiten. Einer Studie von Forschern der Cambridge University zufolge lassen sich gelöschte Daten in vielen Fällen rekonstruieren. Bei rund 630 Millionen Android-Geräten gehen sie zudem davon aus, dass Daten von SD-Karten im Zuge des Werksresets nicht vollständig gelöscht werden.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Daten-von-Millionen-zurueckgesetzten-Android-Smartphones-wiederherstellbar-2663267.html)
Quelle : www.heise.de
-
Die Verbraucherzentrale Sachsen warnt vor Whatsapp-Nachrichten, die einen Link zu einem kostenpflichtigen Abo enthalten. Wer nicht aufpasst, tappt schnell in die Falle.
4,99 Euro pro Woche
Laut den Verbraucherschützern, erhalten Whatsapp-Nutzer Nachrichten mit einem Link, der auf neue Funktionen des Messengers hinweisen soll. "Wer diesen Link anklickt, findet auf seiner nächsten Telefonrechnung zum Preis von 4,99 Euro pro Woche ein Abo bei einem Drittanbieter", warnt Katja Henschler von der Verbraucherzentrale Sachsen. Darüber hinaus lädt die Nachricht zum Weiterleiten an Freunde und Bekannte ein, was im schlechtesten Fall zu einer raschen Verbreitung der Spam-Nachricht beiträgt.
Drittanbieter gelangen vergleichsweise einfach an die Nutzerdaten: "Das funktioniert über das so genannte WAP-Billing, ein Bezahlsystem für mobile Endgeräte", informiert die Verbraucherschützerin. Besteht eine mobile Internetverbindung, wird die Mobilfunknummer an den Drittanbieter übermittelt, der nach dem Anklicken des Links einen abgeschlossenen Abo-Vertrag unterstellt. Die Forderung werde anschließend "wie gewohnt" über die Mobilfunkrechnung geltend gemacht. Eine Legitimation via TAN und/oder PIN, wie man sie vom Online-Banking kennt, findet nicht statt: "Anbieter haben auf diese Weise ein unglaublich leichtes Spiel, Nutzern eine Geldforderung unterzuschieben", kritisiert Henschler.
Verbraucherzentrale: Keinesfalls zahlen
Die Verbraucherzentrale rät, den Forderungen sowohl beim Mobilfunkanbieter als auch beim Drittanbieter zu widersprechen und keinesfalls zu zahlen. Sollte der Betrag im Lastschriftverfahren eingezogen worden sein, kann innerhalb von acht Wochen bei der Bank eine Rückbuchung veranlasst werden. "Wer sich zukünftig vor solchem Ärger schützen will, kann eine so genannte Drittanbietersperre einrichten lassen", rät Henschler.
Quelle : www.onlinekosten.de
-
Passwörter im Klartext übertragen? Https-Zertifikate nicht überprüfen? Durchaus nicht unüblich, prangert ein Hersteller von Sicherheitssofttware an.
Laut einer Untersuchung gehen zahlreiche Android-Apps schlampig mit Logindaten um. Nicht alle Probleme seien ganz so offensichtlich wie die der Dating-App Match.com, die Benutzername und Passwort komplett unverschlüsselt überträgt. Weit verbreitet seien aber – so der Chef der Firma AppBugs Rui Wang gegenüber Arstechnica – Fehler bei der Implementierung der https-Verschlüsselung.
So prüfe beispielsweise die App der Basketball-Liga NBA Zertifikate nicht korrekt. Daher kann ein Angreifer mit einem selbst ausgestellten Zertifikat und einem WLAN-Acesspoint das Passwort für das fast 200 US-Dollar teure Abo abgreifen. Allein von diesem Problem seien mehr als 50 Apps betroffen, unter anderem die von PizzaHut und der Supermarktkette Safeway. Insgesammt habe Wang 100 Apps gefunden, die nachlässig mit Anmeldedaten umgehen und zusammen auf 200 Millionen Downloads kommen. Dennoch haben erst rund ein viertel der Hersteller auf die Bugreports reagiert.
Allerdings hat die Firma AppBugs auch ein ganz eigenes Interesse an dieser Geschichte, denn die Liste aller betroffenen Apps bekommt nur zu sehen, wer deren App installiert. Die wiederum tauchte just am selben Tag im PlayStore auf wie das Interview mit Wang bei Arstechnica – und hat noch herzlich wenig Downloads.
Dennoch zeigt die Analyse, dass auch Apps von namhaften Firmen noch immer nachlässig mit verschlüsselten Übertragungen umgehen. Dabei hatte erst im April eine fehlerhafte Netzwerkbibliothek iOS-Apps angreifbar gemacht, kurz davor war bekannt geworden, dass Freak Attack die SSL-Verschlüsselung von Millionen Webseiten unterläuft, wenn man sie mit Apple- und Android-Geräten besucht.
Quelle : www.heise.de
-
Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren. Dahinter verbirgt sich jedoch ein Trojaner, der unter anderem mTANs für Online-Banking mitschneidet.
Wer dieser Tage eine E-Mail von der Postbank erhält, sollte lieber zweimal hingucken, denn derzeit wollen Kriminelle Android-Nutzer mittels einer gut gemachten Mail und Webseite davon überzeugen, eine "SSL Zertifikat"-App zu installieren. In Wirklichkeit ist es aber ein Trojaner, der unter anderem PIN und mTANs fürs Online-Banking abgreift und an die Angreifer weiterleitet.
Dabei handelt es sich um eine Variante des Zitmo-Trojaners, der bereits im Jahr 2013 sein Unwesen auf Android-Geräten trieb. Der Schädling räumt sich unter anderem das Recht ein, eingehende SMS-Nachrichten abzufangen und Daten ins Internet zu senden. Ferner klinkt er sich in den Bootvorgang des Smartphones ein. Das zeigt eine Analyse der App mit der Anubis Sandbox. Virustotal zufolge ist der Erkennungsrate des mTAN-Trojaners aktuell noch sehr gering.
Klickt man von einem Computer oder iPhone aus auf den Link in der gefälschten E-Mail, erscheint lediglich die Meldung: "Zertifikat wurde erfolgreich Installiert." Nur wenn der Besucher ein Android-Gerät nutzt, erscheint eine Webseite, die ihm eine angebliche Zertifikats-App aufschwatzen will. Dabei wird detailliert erklärt, wie die Installation von Apps aus unbekannten Quellen freigeschaltet wird.
Quelle : www.heise.de
-
Über eine Schwachstelle im Debugger können Angreifer den Inhalt des Hauptspeichers von über 90 Prozent aller Android-Geräte auslesen und so weitere Attacken fahren.
Trend Micro zufolge weisen alle Android-Smartphones und -Tablets mit den Versionen 4.x (Ice Cream Sandwich) und 5.x (Lollipop) eine Sicherheitslücke im Android-Debugger Debuggered auf. Nutzt ein Angreifer die Schwachstelle aus, kann er den Inhalt des Hauptspeichers einsehen und mit diesen Infos weitere Angriffe ausführen. Laut Googles Statistik setzen aktuell 94,1 Prozent aller Android-Geräte auf die betroffenen Systeme.
Der ganze Artikel (http://www.heise.de/security/meldung/Viele-Android-Geraete-ueber-Debugger-angreifbar-2731739.html)
Quelle : www.heise.de
-
Eine Analyse der Spionage-App RCSAndroid zeigt umfassende Ausspähfunktionen auf. Die Infektion erfolgt über Exploits – und möglicherweise auch Google Play.
Die von Hacking Team entwickelte Spionagesoftware Remote Control System Android (RCSAndroid) ist laut einer Analyse der Antivirenfirma TrendMicro einer der professionellsten Android-Schädlinge überhaupt.
Der Super-Spion verwandelt das Smartphone unter anderem in eine Wanze, die Telefongespräche in Echtzeit an seinen Auftraggeber überträgt. Zudem verrät er die GPS-Koordinaten, zapft die Kameras an und liest neben Mails auch Kurznachrichten in allen wichtigen Messaging-Apps mit. Eine Screenshot-Funktion und das Ausspähen von Zugangsdaten zählen ebenfalls zum Funktionsumfang von RCSAndroid.
Drive-by-Infektion
Laut TrendMicro lässt sich die Spionagesoftware wahlweise über SMS oder einen Command-and-Control-Server beherrschen – vergleichbar mit einem klassischen Botnet. Dem Unternehmen liegen Indizien vor, die darauf hindeuten, dass RCSAndroid seit 2012 im Einsatz ist. Zur Installation des Trojaners schickt der Hacking-Team-Kunde sein Ziel auf eine speziell präparierte Webseite, die zwei Sicherheitslücken im Chrome-Browser auszunutzen versucht – vergleichbar mit einem Exploit-Kit. Sie betreffen den vorinstallierten Browser von Android 4.0 bis 4.3. Anschließend versucht sich der Spion durch eine weitere Lücke Root-Rechte zu verschaffen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Super-Spion-Android-Ueberwachungssoftware-von-Hacking-Team-nutzt-allerhand-schmutzige-Tricks-2759365.html)
Quelle : www.heise.de
-
95 Prozent aller Android-Smartphones sollen sich durch "die Mutter aller Android-Schwachstellen" attackieren lassen. Angreifer können die Geräte unbemerkt durch eine MMS-Nachricht in eine Wanze verwandeln.
Durch eine Reihe von Schwachstellen in der Multimedia-Schnittstelle Stagefright sollen sich 95 Prozent aller Android-Smartphones kapern lassen. Wie der Sicherheitsforscher Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt, muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder Hangouts-Nachricht schicken, in der sich Exploit-Code befindet.
Angriff ohne Spuren
Damit der Exploit zündet, muss das Opfer die Nachricht in einigen Fällen noch nicht mal öffnen. Der Code wird ausgeführt, sobald die Nachricht vom Android-System verarbeitet wird. Laut Drake kann der Code die Nachricht im Anschluss löschen, wodurch sie das Opfer nie zu Gesicht bekommt.
Der ganze Artikel (http://www.heise.de/security/meldung/Android-Smartphones-ueber-Kurznachrichten-angreifbar-2763764.html)
Quelle : www.heise.de
-
Neben dem Stagefright-Bug klafft eine weitere Lücke im Multimedia-System von Android – mehr als die Hälfte aller Geräte sind davon betroffen. Nach einem Angriff ist das Smartphone nicht mehr nutzbar.
Angreifer können Android-Geräte mit den Versionen 4.3 bis 5.1.1 mit einem präparierten Video im MKV-Container dauerhaft lahmlegen, berichten Sicherheitsforscher von Trend Micro. Googles Angaben zur Android-Verbreitung zufolge sind davon mehr als die Hälfte aller im Umlauf befindlichen Geräte betroffen. Laut dem Bericht von Trend Micro ist aktuell kein Patch angekündigt.
Die Schwachstelle liegt den Sicherheitsforschern zufolge im Mediaserver der betroffenen Android-Versionen. Öffnet ein Nutzer ein präpariertes Video, soll neben dem Service auch das Smartphone aufgrund eines Speicherfehlers abstürzen.
Smartphone nach Angriff unbenutzbar
In diesem Zustand gibt das Gerät keine Benachrichtigungen und Klingeltöne mehr von sich. Zudem gehen Nutzer-Eingaben äußerst zäh von der Hand. Ist das Gerät gesperrt, lässt es sich nicht mehr entsperren, schildern die Sicherheitsforscher. Darüber hinaus soll sich die MKV-Datei im Auto-Start verankern können und das Gerät über eine Neustart-Schleife unbenutzbar machen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Praeparierte-Videos-legen-Android-Geraete-lahm-2765247.html)
Quelle : www.heise.de
-
Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.
Vor wenigen Tagen hieß es noch, dass Angreifer mit präparierten Videos Android-Geräte lahm legen könnten. Doch es kommt noch schlimmer: Sicherheitsforscher von Trend Micro haben davor gewarnt, dass modifizierte MP4-Dateien das Multimedia-System von Android nicht nur zum Absturz bringen, sondern es auch für einen Heap Overflow anfällig sei. Darüber ließe sich Code einschleusen, der dann mit den Rechten des Mediaserver-Prozesses ausgeführt würde.
Damit eskaliert das potenzielle Denial-of-Service-Szenario zu einem weit schlimmeren, aus der Liga "Remote Code Execution". Betroffen sind alle Versionen des mobilen Betriebssystems von 4.0.1 bis 5.1.1. Laut Trend Micro sind diese Versionen im Einsatz auf 94 Prozent aller heute genutzten Android-Geräte.
Die neue Sicherheitslücke weist zudem Parallelen zu Stagefright auf, denn auch hier sind Android-Smartphones über Kurznachrichten angreifbar. Der neue Angriff ist aber nicht auf MMS beschränkt. Den Forschern von Trend Micro gelang es auch, manipulierte Videos in Webseiten einzubetten. Sie hatten Google bereits am 19. Mai 2015 über diese Lücke informiert. Das Android-Security-Team hat am 22. Juli einen Patch freigegeben. Wann dieser auf betroffenen Geräten installiert wird, hängt von den Hardware-Herstellern ab.
Quelle : www.heise.de
-
Noch bevor die Sicherheitslücken offiziell auf der Hackerkonferenz vorgestellt wurden kursiert eine Anleitung zum Bau eines Proof-of-Concept im Netz. Ferner soll ein russisches Unternehmen bereits einen Exploit verkaufen.
Die Einschläge kommen näher: Ein chinesischer Blog hat weitere Details zu einer der kritischen Stagefright-Lücken in Android veröffentlicht – darunter auch erste Schritte zum Bau eines Exploits. Wenige Änderungen an einer beliebigen MP4-Videodatei reichen aus, um mit ihr Androids Multimedia-Framework Stagefright zum Absturz zu bringen. Dies konnte heise Security nachvollziehen. Es kommt zu einem Heap Overflow, den ein Angreifer zum Ausführen von Schadcode missbrauchen kann. Bleibende Schäden kann eine nach der Anleitung präparierte Datei jedoch nicht anrichten.
Der ganze Artikel (http://www.heise.de/security/meldung/Stagefright-Luecken-Proof-of-Concept-kursiert-im-Netz-Lage-fuer-Android-Nutzer-spitzt-sich-zu-2767873.html)
Quelle : www.heise.de
-
Google und Samsung führen den Patch Day ein: Die Tablets und Smartphones dieser Hersteller erhalten zukünftig jeden Monat ein Sicherheitsupdate. Heute geht es mit einem Fix für die MMS-Lücke StageFright los.
Google und Samsung haben heute angekündigt, ihre Smartphones und Tablets mit Android zukünftig jeden Monat mit Sicherheitsupdates zu versorgen. Google beginnt direkt heute mit einem Fix für den StageFright-Bug, der per MMS oder Videodatei das Gerät manipuliert. Er ist für die Smartphones Nexus 4, 5, 6, für die Tablets Nexus 7, 9, 10 und für die TV-Box Nexus Player erhältlich. Samsung befinde sich laut Blog noch in Verhandlungen mit den Mobilfunkprovidern darüber, wie diese Updates ohne Verzögerung freigegeben werden können; konkrete Geräte und Termine wolle man daher erst später nennen
Ganze drei Jahre lang will Google für jedes Nexus-Modell laut Mitteilung im Blog die Bugfixes liefern, oder 18 Monate nach dem Verkauf des letzten Geräts im Store. Unverändert bleibt die Update-Dauer für Android-Versionen: Zwei Jahre lang landen sie auf den Nexus-Geräten. Andere Hersteller von Android-Geräten haben noch keine vergleichbaren Maßnahmen angekündigt. Der Stagefright-Bug gilt als hoch gefährlich, beispielsweise hat die Telekom heute bekannt gegeben, aufgrunddessen das Versenden von MMS vorerst einzustellen.
Quelle : www.heise.de
-
Mit einer kostenlosen App kann man überprüfen, ob die eigenen Android-Geräte über die Stagefright-Lücken angreifbar sind.
Ob das eigene Android-Gerät anfällig für die kritischen Stagefright-Schwachstellen ist, können Nutzer nun mit der kostenlosen Stagefright Detector App überprüfen. Die App klopft das Android-System auf insgesamt sieben Sicherheitslücken ab, die in dem Multimedia-Framework Stagefright klaffen können. Die Chancen, dass der Detector mehrere Treffer landet, sind groß: Nur wenige Hersteller haben die schützenden Security-Patches bereits an ihre Kunden ausgeliefert.
Viele Angriffswege
Die App stammt von der Sicherheitsfirma Zimperium, deren Mitarbeiter Joshua Drake die Lücken entdeckt und auch die Patches entwickelt hat. Drake stellte seine Erkenntnisse am gestrigen Mittwoch auf der Hackerkonferenz Black Hat in Las Vegas vor; zahlreiche Details sind allerdings bereits im Laufe der vergangenen zwei Wochen durchgesickert. Das Stagefright-Framework ist seit der im Jahr 2010 veröffentlichten Android-Version 2.3 (Gingerbread) allgegenwärtig. Sowohl Android als auch Apps nutzen es zum Abspielen von Multimedia-Dateien.
Der ganze Artikel (http://www.heise.de/security/meldung/Jetzt-Android-Geraete-auf-Stagefright-Luecken-testen-2773801.html)
Quelle : www.heise.de
-
Samsung, LG, Sony und weitere Hersteller können immer noch nicht sagen, wann sie für welche Modelle Updates mit einem Bugfix für die Stagefright-Lücke herausbringen. Nur Acer und Google verraten Details.
Die großen Smartphone-Hersteller nennen immer noch keine Details zu ihren Sicherheitsupdates, die die Stagefright-Lücke schließen sollen. Samsung, HTC, LG, Sony und vier weitere große Marken konnten auf Anfrage von heise online nicht sagen, für welche Smartphones und Tablets sie Updates veröffentlichen wollen. Auch zu den geplanten Update-Terminen gab es keine Auskunft. Die Anfragen wurden am Mittwoch gestellt.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Stagefright-Luecken-in-Android-Geraete-Hersteller-lassen-Nutzer-im-Unklaren-2774462.html)
Quelle : www.heise.de
-
Während die meisten Hersteller keine oder wenige Firmware-Updates anbieten, die vor den gefährlichen Stagefright-Lücken schützen, können Onlne-Abzocker vermeintlich schon liefern. Es handelt sich dabei allerdings um einen Trojaner.
Cyber-Ganoven versuchen den Wirbel um die kritischen Stagefright-Lücken in Android zur Verbreitung eines Smartphone-Trojaners zu nutzen. Dies zeigen Informationen, die uns das Center for IT-Security, Privacy, and Accountability (CISPA) der Uni Saarland zur Verfügung gestellt hat.
In einer vermeintlich von Google stammenden Mail geben die Absender vor, dass es einen potenziell unberechtigten Zugriff auf das Google-Konto des Empfängers aus Russland gab. Als möglichen Grund nennen sie die Stagefright-Sicherheitslücken in der zentralen Multimedia-Schnittstelle von Android. Die Mail wurde in korrektem Deutsch formuliert. Als Grundlage diente offenbar eine legitime Benachrichtigungsmail von Google, die um die Informationen zu Stagefright ergänzt wurde – einschließlich einer korrekten CVE-Nummer von einer der Lücken.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Stagefright-Online-Ganoven-tarnen-Android-Trojaner-als-Sicherheitsupdate-2775388.html)
Quelle : www.heise.de
-
Die Geräte seiner Nexus-Serie hat Google schon gegen die Stagefright-Bugs abgesichert. Doch ein Patch wurde nicht sauber programmiert und Angreifer könnten das als Einfallstor für DoS-Angriffe ausnutzen.
Die Entwickler von Google haben bei der Erstellung eines Patches für einen Stagefright-Bug nicht aufgepasst, denn Angreifer können Android-Geräte immer noch über manipulierte Videos zum Absturz bringen. Das haben Sicherheitsforscher von Exodus Intelligence herausgefunden. Dabei attackierten sie Geräte im Zuge eines Pufferüberlaufes mit einem DoS-Angriff.
Fehlerfreier Patch im September
Google zufolge steht eine überarbeitete Version des Patches bereit. Die Auslieferung soll für die Geräte Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player am neu eingeführten Patchday im September beginnen.
Das Android Open Source Project und verschiedene Smartphone-Hersteller wollen den neuen Patch in der nächsten Update-Welle ausspielen. Wann das soweit sein wird ist unklar, denn viele Hersteller haben bisher noch gar keine der Stagefright-Lücken gestopft. Die Macher von Cyanogenmod haben nach eigenen Angaben bereits die Versionen 10.1 bis 12.1 abgedichtet.
Stagefright ist eine Multimedia-Komponente des Android-Systems und rund 95 Prozent aller Android-Geräte sind über verschiedene Schwachstellen verwundbar. Dabei können Angreifer über manipulierte Videos, etwa in MMS-Nachrichten oder auf Webseiten, Schadcode auf die Handhelds schmuggeln.
[UPDATE, 14.08.2015 11:15 Uhr]
Cyanogenmod in Bezug auf gepatchte Versionen hinzugefügt.
Quelle : www.heise.de
-
Eine Absolventin der norwegischen NTNU hat herausgefunden, dass die Muster, die sich Android-Nutzer zur Displaysperre ausdenken, im schlimmsten Fall so vorhersehbar sind wie Kennwörter des Schemas "1234".
(http://3.f.ix.de/scale/geometry/600/q75/imgs/18/1/5/7/1/3/5/7/2015-08-23_10-b6d836ce55fa4e0a.png)
Viele PIN-Nummern und Kennwörter folgen wiederkehrenden Gewohnheiten. Hoffentlich unkritische Accounts werden gerne mal mit Kennwörtern wie "1234" oder "Passwort" gesichert. Die Absolventin Marte Løge von der University of Science and Technology im norwegischen Trondheim hat herausgefunden, dass die Muster zur Displaysperre unter Android ähnlichen Mustern folgen. Das berichtet das Technik-Blog Ars Technica.
Løge bat Versuchspersonen, sich je ein Muster für eine Shopping- und eine Banking-App auszudenken. Sie untersuchte 4000 Muster und fand dabei heraus, dass 77 Prozent der Muster in einer Ecke beginnen. 44 Prozent der Nutzer starten oben links. Der Großteil der Muster bewegt sich von links nach rechts und von oben nach unten über den Schirm.
(http://3.f.ix.de/imgs/18/1/5/7/1/3/5/7/2015-08-23_10-5f99a9e21c26ac58.png)
Durchschnittlich besteht ein Muster aus fünf Knoten. Auch Muster aus vier Knoten erwiesen sich als populär. Sowohl Männer als auch Frauen nutzen Muster mit acht Knoten am wenigsten. Anscheinend verwendet man am liebsten entweder wenige oder alle.
Android-Sperrmuster können vier bis neun Knotenpunkte enthalten. Bei neun Knoten sind fast 400.000 Kombinationen möglich. Bei vier Knoten sind es jedoch nur 1624. Bei der vermuteten Leserichtung von links oben nach rechts unten steigt die Gefahr, dass ein Muster zügig entschlüsselt werden kann.
(http://2.f.ix.de/imgs/18/1/5/7/1/3/5/7/2015-08-23_10-e6876f355f08ffcc.png)
Etwa zehn Prozent der Nutzer formten Muster außerdem nach Buchstaben, zudem häufig nach den Initialen eines Kindes oder des Partners. Viele Knotenpunkte und Zeichnungen jenseits bekannter Formen reichen allerdings noch nicht: Sichere Muster sind nicht nur komplex, sondern wechseln häufig die Richtung und sind aus diesen Gründen nicht vorhersehbar.
Eine einfache Schlangenlinie, die oben links beginnt, verwendet beispielsweise zwar alle neun Knoten, ist aber dadurch noch nicht sicher, weil sie der vorhergesagten Bewegung folgt. Ein komplexes Muster aus acht Knoten dürfte also die sicherste Kombination darstellen. Man muss sie sich nur noch merken. Ach ja: und regelmäßig das Display sauberwischen.
Quelle : www.heise.de
-
Eine Malware sperrt Android-Geräte mit einem neuen Ansatz, indem sie die PIN verändert. Sie erpresst Nutzer und nistet sich tief im System ein.
In den USA verbreitet sich der erste Android-Trojaner, der die Sperr-PIN des Benutzers setzen und verändern kann. Das berichten Sicherheitsforscher von Eset. Aktuell soll sich "Android/Lockerpin.A" ausschließlich in App Stores von Dritt-Anbietern und Foren finden.
Der Trojaner erschleicht sich Admin-Rechte, um sich tief im System zu verankern. Ein Hinweis, der wie ein Update-Prozess von Google aussieht, verdeckt dabei das Fenster zum Hochstufen der Rechte. Lässt der Nutzer die vermeintliche Update-Installation zu, räumt er im gleichen Moment dem Trojaner unwissentlich Admin-Rechte ein, erläutern die Sicherheitsforscher.
Trojaner erpresst und blockiert Antiviren-Lösungen
Anschließend fordere eine vermeintlich vom FBI verfasste Mitteilung den Nutzer auf, 500 US-Dollar zu zahlen. Geschehe dies nicht, bleibe das Gerät gesperrt. Versuche der Nutzer, die Malware zu entfernen, generiere diese eine neue PIN. Zudem soll sie die Antiviren-Lösungen von Avast, Eset Mobile Security und Dr. Web erkennen und versuchen zu blockieren.
Eset zufolge können Nutzer "Android/Lockerpin.A" ohne ein Rooten des Gerätes nicht loswerden. Erst dann soll es möglich sein, die Datei mit der PIN zu löschen, um die Sperre aufzuheben. Andernfalls helfe nur das komplette Zurücksetzen des Gerätes.
Entfernen über Debug-Modus nicht möglich
Bisher haben Android-Trojaner Geräte gesperrt, indem sie in Form eines dauerhaft eingeblendeten Fensters den Zugriff auf den Sperrbildschirm verhinderten. Derartige Trojaner lassen sich in der Regel vergleichsweise einfach über den Debug-Modus oder den Safe Mode entfernen.
Quelle : www.heise.de
-
Eine Malware schmuggelte sich zum wiederholten Male in Google Play. Auf Android-Geräten lädt sie beliebigen Schadcode nach und soll sich nicht de-installieren lassen.
Über die Brain-Test-App können Angreifer Android-Geräte rooten und beliebigen Schadcode nachladen. Die Malware hat sich bereits zweimal in Googles App Store geschlichen. Dabei umging die App mittels verschiedener Verschleierungstaktiken die Sicherheitsüberprüfungen von Google Play. Mittlerweile hat Google die Malware aus dem App Store entfernt, berichten Sicherheitsforscher von Check Point.
Den Forschern zufolge haben 200.000 bis 1 Million Nutzer die Malware heruntergeladen. Die App soll immun gegen De-Installationen sein und sich nach dem Entfernen immer wieder neu installieren.
Flexibel und getarnt
Im Betrieb verhalte sich die Malware wie ein Root Kit und lädt Schadcode nach. Angreifer können so etwa Werbung einblenden oder Nutzer ausspionieren.
Um die Malware in Googles App Store zu schmuggeln, setzen die Programmierer der App auf verschiedene Taktiken. So umgehen sie den Sicherheitsforschern zufolge Googles Antimalware-Bouncer, indem die App den Mechanismus erkennen soll und folglich ihre bösen Absichten verschleiert.
Zudem soll das Reverse Engineering aufgrund von etwa dynamischem Nachladen von Code nicht einfach sein. Um Brain Test ein zweites Mal in Google Play anbieten zu können, haben die Angreifer die Merkmale der App mit einem Packer von Baidu verändert.
Malware rootet Geräte
Damit sich Brain Test dauerhaft im Android-System einnisten kann, soll die Malware auf vier Exploits zum Hochstufen der Nutzerrechte setzen. Ist das Gerät nicht gerootet, kümmere sich die Malware eigenständig um den Root-Prozess. Inwieweit das ein Zutun des Nutzers impliziert, führt Check Point nicht aus. Auch die Android-Versionen, mit denen das funktionieren soll, bleiben ungenannt.
Um sich vor einer De-Installation zu schützen, greife die Malware auf zwei mitinstallierte System-Applikationen zurück, die sich gegenseitig überwachen. Wird eine entfernt, soll die andere für eine erneute Installation der de-installierten Applikation sorgen.
Wie man die App plus Anhang loswird, bleibt unklar. Check Point empfiehlt im Falle einer Infektion das Gerät mit einem offiziellen ROM neu zu flashen.
[UPDATE, 22.09.2105 16:15 Uhr]
Der beschriebene Root-Prozess baut unter anderem auf die Sicherheitslücke CVE-2013-6282 auf, die mit Android 4.4 geschlossen worden sein soll. Check Point zufolge funktioniert das Rooten über die Malware aber auch auf einem Nexus 5, was standardmäßig mit Android 4.4 daherkommt. Für einen erfolgreichen Abschluss des Root-Vorgangs führen die Sicherheitsforscher noch ein Tool und einen weiteren, nicht näher spezifizierten Exploit an.
Quelle : www.heise.de
-
Ein Android-Tablet des Herstellers Oysters kommt mit einem vorinstallierten Trojaner daher. Die Malware ist tief im System verwurzelt und kann quasi alles mit dem Gerät machen, warnen Sicherheitsforscher des Anbieters von Antiviren-Software Dr. Web.
Das Tablet Oysters T104HVi 3G weist eine ab Werk installierte Backdoor auf, dabei versteckt sich der Trojaner Android.Backdoor.114.origin in der Firmware. Das ist besonders heikel, denn so verfügt die Malware über System-Rechte und kann machen, was sie will, warnen Sicherheitsforscher des Anbieters von Antiviren-Software Dr. Web.
Nachdem der Trojaner Kontakt zu den Command-and-Control-Servern der Angreifer aufgenommen hat, soll er Daten wie etwa eine Liste der installierten Apps, die IMSI und die MAC-Adresse weiterleiten.
Trojaner installiert heimlich Malware
Viel schlimmer ist den Sicherheitsforschern zufolge aber, dass der Trojaner im Hintergrund vom Benutzer unbemerkt Applikationen herunterladen und installieren kann. Dafür soll er selbständig die Option zum installieren von Apps aus unbekannten Quellen aktivieren können. So kann etwa Adware oder Spionage-Software auf dem Gerät landen.
Der Trojaner befindet sich den Forschern zufolge in der vorinstallierten App GoogleQuickSearchBox.apk. Entdeckt haben sie das Mitte dieses Monats und den Hersteller umgehend benachrichtigt. Eine Reaktion habe es nicht gegeben. Ein Prüfung der Sicherheitsforscher zeigte, dass die auf der Webseite des Herstellers angebotene Firmware immer noch die Backdoor enthält.
Um den Trojaner loszuwerden, muss man den Forschern zufolge das Gerät rooten oder das Android-System neu installieren. In Deutschland ist der russische Hersteller eher unbekannt, hierzulande gibt es anscheinend keinen Vertrieb für die Geräte.
Quelle : www.heise.de
-
Die Entdecker der Stagefright-Lücken melden sich zurück und legen zwei weitere kritische Schwachstellen offen, über die Android-Geräte angreifbar sind.
Joshua Drake, der Vizepräsident von Zimperium, legt nach und zeigt zwei weitere kritische Lücken in verschiedenen Bibliotheken von Android-Geräten auf. Davon sollen alle Android-Versionen betroffen sein.
Über die Schwachstellen können Angreifer Geräte abermals mittels präparierter MP3- und MP4-Dateien kompromittieren, eigenen Code ausführen und etwa Smartphones in Wanzen verwandeln. Die Angriffswege sind dabei vielfältig, warnen die Sicherheitsforscher und Angreifer können Geräte über eine präparierte Webseite oder App entern.
Zimperium versichert, dass es noch keine Übergriffe gegeben hat. In ihrer Mitteilung zu den neuen Lücken erläutern die Sicherheitsforscher, dass sie das stetig überwachen.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Stagefright-2-0-Weitere-Luecken-klaffen-in-allen-Android-Versionen-2835874.html)
Quelle : www.heise.de
-
Google verspricht für Smartphones und Tablets mit Android 6.0 Marshmallow eine standardmäßige Systemverschlüsselung. Das gilt aber nicht alle Geräte.
Mit Android 6.0 Marshmallow will Google die Vollverschlüsselung ab Werk vorantreiben. Einem Kompatibilitätsbericht des Konzerns zufolge (PDF-Download (https://static.googleusercontent.com/media/source.android.com/en//compatibility/android-cdd.pdf)) soll das aber nur bei Smartphones und Tablets mit genügend Rechenkraft der Fall sein.
Dabei muss ein Gerät dem Bericht zufolge kryptografische Berechnungen (AES ab 128 Bit) mit mindestens rund 52 MBit/s durchführen können und über genügend Arbeitsspeicher verfügen; die minimale Größe verschweigen die Autoren. Sind diese Bedingungen erfüllt, muss das Gerät die Vollverschlüsselung im Anschluss an die Einrichtung des Gerätes standardmäßig aktivieren.
Ältere, auf Android 6.0 aktualisierte Geräte profitieren Google zufolge nicht von der standardmäßigen Aktivierung der Komplettverschlüsselung. Ausnahmen seien das Nexus 6 und Nexus 9.
Eigentlich wollte Google die Komplettverschlüsselung schon mit Android 5.0 Lollipop obligatorisch machen. Der Konzerne ruderte aber zurück und beschränkte die Vorgabe auf die Nexus-Geräte.
Quelle : www.heise.de
-
Sicherheitsforscher warnen vor einer neuen Form von Android-Adware, die neben der Einblendung von Werbung auch Geräte rooten und ausspionieren kann.
20.000 Klone von populären Apps, wie etwa Facebook und Whatsapp, sollen Android-Smartphones und -Tablets mit Werbung verseuchen und sogar rooten können. Davor warnen Kryptologen von Lookout. Sie bezeichnen die Malware als Adware-Trojaner.
Die bösartigen Klon-Apps sollen sich ausschließlich in App Stores von Dritt-Anbietern finden. Lookout zufolge verhalten sich die verseuchten Apps wie die Original-App, sodass der Nutzer keinen Verdacht schöpft. Von den Adware-Trojanern sollen auch Nutzer in Deutschland betroffen sein.
Unter den 20.000 Funden befinde sich auch ein bösartiger Klon der Zwei-Faktor-Authentifizierungs-App von Okta, die in Firmen zum Einsatz kommen soll. Lookout warnt an dieser Stelle vor möglicher Spionage durch den Trojaner-Teil des Schädlings.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Adware-Trojaner-rooten-heimlich-Android-Geraete-2878360.html)
Quelle : www.heise.de
-
Verschiedene Apps von Online-Gaunern in Google Play, mit bis zu 1 Million Downloads, weisen durchweg eine Wertung von mindestens 4/5 auf. Sicherheitsforscher haben die Vorfälle untersucht.
In Googles App Store sollen sich verschiedene Malware-Apps vom gleichen Entwickler gegenseitig positiv bewerten und entsprechende Reviews verfassen. Zudem sind die Apps in der Lage, sich wechselseitig herunterzuladen, um so eine große Nutzerbasis vorzutäuschen, warnen Sicherheitsforscher von Lookout.
Lässt sich ein Nutzer davon täuschen und installiert eine der bösartigen Apps, können diese Geräte rooten und unter anderem andere Apps nachladen und installieren, erläutern die Kryptologen.
Provision für jeden Download
Sie gehen davon aus, dass die Malware-Entwickler Teil eines Affiliate-Netzwerkes sind und damit Geld verdienen, dass sie anderen App-Entwicklern eine bestimmte Downloadanzahl von deren Apps garantieren.
Google soll bereits reagiert und dreizehn derartiger Malware-Apps aus dem App Store entfernt haben. Die Namen der Apps finden sich in dem Blogeintrag von Lookout. Wie sich die Apps an den Sicherheitsmechanismen von Google Play vorbei gemogelt haben, erläutern die Sicherheitsforscher nicht.
Malware-App zum wiederholten Male in Google Play
Als Beispiel der Malware-Familie zählen die Kryptologen etwa die App Brain Test auf, die im September vergangenen Jahres bereits zum wiederholten Male in Google Play auftauchte. Diese soll verschiedene Sicherheitslücken in nicht näher beschriebenen Android-Versionen für den Root-Vorgang ausnutzen.
Zudem soll sich die Malware in der System-Partition von Android verankern und selbst nach einem Reset auf die Werkseinstellungen noch vorhanden sein. Lookout zufolge müssen Nutzer das Gerät mit einem ROM neu flashen, um den Schädling loszuwerden.
Quelle : www.heise.de
-
Die Voll-Verschlüsselung von Android-Smartphones weist ein ernsthaftes Design-Problem auf, das die geschützten Daten sehr angreifbar macht, erklärt ein Sicherheits-Forscher. Er belegt dies mit konkretem Code, der Brute-Force-Angriffe demonstriert.
Aktuelle Smartphones schützen die Daten ihrer Nutzer durch Verschlüsselung. Bei iPhones ist diese Verschlüsselung so gut, dass selbst das FBI Probleme hat, an die Daten zu kommen. Android kann eine ähnliche Verschlüsselung vorweisen. Allerdings weist diese ein konzeptionelles Problem auf, das das Entschlüsseln der Daten deutlich leichter macht. Wie das geht, erläutert und demonstriert jetzt ein Sicherheits-Forscher sogar mit konkretem Beispiel-Code für Geräte mit Qualcomm-Prozessoren.
Der ganze Artikel (http://www.heise.de/newsticker/meldung/Heftiger-Schlag-fuer-Android-Verschluesselung-3254136.html)
Quelle : www.heise.de
-
Im Juli schließt Google so viele Android-Lücken wie nie zuvor. Um es den Herstellern leichter zu machen, kamen die Patches in zwei Schüben. Einige Android-Nutzer dürften bereits eine abgesicherte Version nutzen, andere müssen warten.
Der Android-Patchday im Juli hat gewaltige Ausmaße: Über 100 Lücken hat Google in seinem populären Mobilbetriebssystem geschlossen – weitaus mehr als je zuvor. Rund ein Drittel davon ist kritisch, eignet sich also etwa zum Einschleusen von Schadcode aus der Ferne. Die Sicherheits-Patches kommen erstmals in zwei Schüben. Damit will Google den Geräteherstellern das Patchen erleichtern.
Die kritischen Lücken betreffen unter anderem den Mediaserver, die Krypto-Bibliotheken OpenSSL und BoringSSL sowie den USB-Treiber. Auch einige hardwarespezifische Komponenten wurden aktualisiert, etwa der WLAN-Treiber von MediaTek und etliche Module von Nvidia und Qualcomm.
Google hat die Patches, die alle Geräte betreffen und somit von allen Herstellern sofort eingespielt werden können, zu dem Patch-Paket 2016-07-01 zusammengeschnürt. Die übrigen, zum Teil hardwarespezifischen Patches, befinden sich in dem Patch-Paket 2016-07-05. Google möchte es den Herstellern so leichter machen, die wichtigen Security-Patches in die Firmware zu integrieren. Es gibt somit zwei Patch-Stände, sogenannte Patch-Level. Google erklärte, dass es durchaus möglich ist, Patches aus dem zweiten Paket zu ziehen, wenn sich ein Hersteller für das erstere entscheidet.
Einige Hersteller wie Blackberry, LG und Samsung gehen mit gutem Beispiel voran bieten bereits abgesicherte Firmware-Images zur Installation an. Google hat wie gewohnt ebenfalls reagiert und bespielt seine Nexus-Geräte Over-The-Air (OTA) mit frischer Firmware. Berücksichtigt wurden Nexus 5, Nexus 5X, Nexus 6, Nexus 6P, Nexus 7 (2013), Nexus 9, Android One, Nexus Player, und Pixel C. Alternativ kann man die Firmware-Images manuell herunterladen und installieren. Andere Hersteller lassen sich gerne etwas länger Zeit – sofern sie denn überhaupt etwas tun.
Quelle & Links : http://www.heise.de/security/meldung/Rekord-Patchday-Google-patcht-ueber-100-Android-Luecken-in-zwei-Schueben-3262134.html
-
Mit dem aktuellen Patchpaket für seine Nexus- und Pixel-Geräte schließt Google unter anderem mehr als ein Dutzend als kritisch eingestufte Schwachstellen. Besitzer von Geräten anderer Hersteller müssen wie gewohnt warten.
Mit seiner Sicherheitspatch-Sammlung im April schließt Google insgesamt 102 Sicherheitslücken in Android. Davon sind 15 Schwachstellen als kritisch eingestuft. Setzen Angreifer an diesen Lücken an, sollen sie mit vergleichsweise wenig Aufwand die Kontrolle über Smartphones und Tablets übernehmen können, warnt Google.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/Patchday-Google-verarztet-Android-und-stopft-102-Sicherheitsluecken-3675329.html)
Quelle : www.heise.de
-
Zwei App-Berechtigungen des Android-Betriebssystems lassen sich dazu missbrauchen, alles auszuspionieren, was der Nutzer auf der Tastatur eingibt. Außerdem kann man bösartige Apps auf diesem Wege mit beliebigen App-Rechten versorgen.
Zwei App-Rechte des Android-Betriebssystems lassen sich missbrauchen, um einen universellen Keylogger zu bauen, der alles mitliest, was der Benutzer des Gerätes in die Tastatur tippt. Außerdem kann ein Angreifer sie dazu nutzen, einer bösartigen App unbeschränkte App-Rechte zu verschaffen. Entdeckt haben die Angriffe mehrere Sicherheitsforscher der Universitäten in UC Santa Barbara und Georgia Tech in den USA. Sie gaben ihnen den Namen Cloak & Dagger. Die Lücken sind nach wie vor offen, Google verhindert nun allerdings, dass Apps, die sie ausnutzen, in den Play Store geladen werden. Außerdem soll Android O (die nächste Version des Betriebssystems) die Lücken schließen.
Der ganze Artikel (https://www.heise.de/newsticker/meldung/Cloak-Dagger-User-Interface-Tricksereien-hebeln-Android-Rechtesystem-aus-3726591.html)
Quelle : www.heise.de
-
Google baut seinen Patchday geringfügig um und spendiert den hauseigenen Nexus- und Pixel-Serien eine Extrawurst. Diesen Monat stehen unter anderem Sicherheitsupdates für fünf als kritisch geltende Schwachstellen bereit.
Von jetzt an stellt Google am monatlichen Patchday zusätzlich zu allgemeinen Android-Sicherheitsupdates noch Extra-Sicherheitspatches für einige seiner Nexus- und Pixel-Geräte bereit. Dafür gibt es nun eine weitere monatlich erscheinende Sicherheitswarnung.
Die bislang gewohnte Zusammenfassung von Android-Sicherheitspatches erscheint in Zukunft weiterhin. An diesen Updates können sich andere Hersteller bedienen, aber auch noch unterstützte Nexus- und Pixel-Geräte erhalten diese Patches. Google rät LG, Samsung & Co. die Extra-Sichereitsupdates für die Nexus- und Pixel-Serien zu studieren und gegebenenfalls für eigene Geräte aufzugreifen. Den Bedrohungsgrad dieser Lücke stuft Goolge diesen Monat überwiegend als "moderat" ein.
Der ganze Artikel (https://www.heise.de/security/meldung/Android-Patchday-Nexus-und-Pixel-Geraete-erhalten-ab-sofort-Extra-Sicherheitsupdates-3849566.html)
Quelle : www.heise.de
-
Updates schließen mehrere als kritisch eingestufte Sicherheitslücken in diversen Android-Smartphones und -Tablets. Die Patches stehen für Geräte ab Android 5.1.1 bereit.
Am Android-Patchday im Februar hat Google 28 Sicherheitsupdates für Software- und Treiber-Lücken veröffentlicht. Seit Oktober 2017 bekommen die hauseigenen Nexus- und Pixel-Geräte noch weitere Patches, die andere Android-Hersteller adaptieren können. Diesen Monat sind das 29 Stück.
Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Google-kuemmert-sich-um-57-Android-Sicherheitsluecken-3962110.html)
Quelle : www.heise.de
-
Die monatlich von Google veröffentlichten Sicherheits-Patches für Android betreffen im Juli ausnahmslos Lücken mit hohem bis kritischem Schweregrad.
Wie jeden Monat hat Google auch im Juli eine ganze Reihe von Lücken im Android-Betriebssystem gestopft und einen detaillierten Sicherheitshinweis zum aktuellen Patch-Level (ab 2018-07-05 aufwärts) veröffentlicht.
Der ganze Artikel (https://www.heise.de/security/meldung/Patchday-Google-schliesst-teils-kritische-Android-Luecken-4096435.html)
Quelle : www.heise.de
-
Wie bereits im Vormonat hat Google auch beim aktuellen Patchday durchweg Sicherheitslücken mit hohem bis kritischem Schweregrad beseitigt.
Zum August-Patchday hat Google mehr als 40 Sicherheitslücken im Android-Betriebssystem geschlossen. Wie bereits im Juli bewertet das Unternehmen das Risiko, das von den im Security Bulletin aufgeführten Lücken ausgeht, durchweg als hoch bis kritisch.
Dieses Mal stecken besonders viele von ihnen in Closed-Source-Komponenten von Qualcomm und werden dementsprechend nicht näher erläutert.
Über einige weitere Lücken, die sich unter anderem im (Media) Framework sowie in Komponenten des Kernels befinden, verrät das Bulletin mehr: Angreifer könnten sie unter anderem ausnutzen, um – teils auch aus der Ferne – vertrauliche Informationen auszulesen oder beliebigen Code im Kontext eines privilegierten Prozesses auszuführen.
Der Patch-Level 2018-08-01 schließt einige, Patch-Level 2018-08-05 sämtliche Lücken.
Wie üblich gibt Google an, zertifizierte Partnerunternehmen mindestens einen Monat vor Veröffentlichung des Sicherheitshinweises über die bevorstehenden Patches informiert zu haben, um ihnen ausreichend Zeit für eigene Updates zu geben.
Moderat bis kritisch: Lücken in Pixel und Nexus
Das wie üblich separate Security Bulletin für Googles Pixel- und Nexus-Geräte listet vor allem Sicherheitslücken moderaten Schweregrads auf. Lediglich eine einzige bezeichnet Google als kritisch. Auch sie befindet sich in einer Qualcomm-Komponente – diesmal verlinkt das Google aber technische Details zur (WLAN-)Lücke (siehe CVE-2017-15817 im Bulletin).
Im Gegensatz zu vielen Drittanbietergeräten erhalten Googles Smartphones sämtliche Patches automatisch im Rahmen des regulären Update-Prozesses.
Quelle : www.heise.de
-
Google macht Ernst mit der Ende-zu-Ende-Verschlüsselung bei Android-Backups in der Cloud und schürt damit Ängste von Strafverfolgern vor einem "Going Dark".
Googles Ankündigung, Backup-Daten von Smartphones mit der aktuellen Android-9-Version Pie durchgehend zu verschlüsseln und damit stärker vor Zugriffen durch Dritte abzuschirmen, ist eine kaum verklausulierte Kampfansage an das FBI und andere Sicherheitsbehörden. Mit der neuen, auf Titan-Sicherheitschips aus dem eigenen Hause basierenden Technik können selbst Mitarbeiter des US-Konzerns nicht mehr die in der Cloud abgelegten Informationen entschlüsseln. Als Hilfssheriff ist Google damit außen vor: Das Unternehmen kann Backup-Inhalte auch auf Basis einer Durchsuchungsanordnung nicht mehr im Klartext an Strafverfolger herausgeben.
Vor allem das FBI dürfte diese Verschlüsselungsoffensive als Affront ansehen. Die US-Polizeibehörde befürchtet seit Langem, durch die zunehmende Ende-zu-Ende-Verschlüsselung auf Mobilgeräten im Kampf etwa gegen Terroristen und Kinderschänder ins Hintertreffen zu geraten. Mit dem Begriff "Going Dark" warnen die Ermittler davor, dass sie "blind" werden im Internetzeitalter und die digitale Kommunikation Verdächtiger nicht mehr überwachen können.
Der ganze Artikel (https://www.heise.de/security/meldung/Crypto-Wars-Google-fordert-das-FBI-mit-neuer-Android-Verschluesselung-heraus-4194156.html)
Quelle : www.heise.de
-
Auch diesen Monat hat Google Sicherheitsupdates für das Android-Betriebssystem veröffentlicht. Pixel-Geräte erhalten wie gewohnt ein paar Extra-Patches.
Googles Android Security Bulletin für Januar umfasst insgesamt 27 Fixes für Sicherheitslücken im Smartphone-Betriebssystem. Das von den Lücken ausgehende Sicherheitsrisiko bewertet das Unternehmen im Bulletin durchweg als hoch, in zwei Fällen gar als kritisch.
Die gefährlichste Lücke mit der CVE-Nummer CVE-2018-9583 steckt im Betriebssystem selbst. Sie könnte laut Google von einem entfernten Angreifer missbraucht werden, um mittels einer eigens dafür erzeugten Datei beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Die zweite kritische Lücke (CVE-2018-11847) befindet sich in einer Closed-Source-Komponente von Qualcomm, kann nach Herstellerangaben allerdings lediglich lokal ausgenutzt werden.
Auf dem neuesten Stand sind Geräte jetzt mit dem Patch-Level 2019-01-05.
Extra-Update für Pixel-Geräte
Im November 2018 hat Google zum letzten Mal Sicherheitsupdates für Nexus 5X und 6P verteilt. Danach hat der Hersteller Sicherheitsupdates und Support für Nexus-Geräte eingestellt – für Pixel und Pixel XL läuft beides aber noch bis Oktober 2019 weiter.
Diesen Monat hat der Hersteller laut separat veröffentlichtem Pixel Update Bulletin zwei Schwachstellen moderaten Sicherheitsrisikos im Kernel gefixt. Ein weiterer Patch verbessert die Soundqualität für Videoaufnahmen mit dem Pixel 3 und Pixel 3 XL. Das Update wird wie gewohnt automatisch an die Pixel-Geräte verteilt.
Quelle : www.heise.de
-
Laut aktuellem Security Bulletin hat Google diesen Monat insgesamt acht kritische Sicherheitsprobleme aus Android beseitigt.
Wie jeden Monat hat Google auch im Juni zahlreiche Schwachstellen im Android-Betriebssystem repariert. Ihren Schweregrad stuft das Unternehmen durchweg als "hoch" bis "kritisch" ein. Das Patch-Level 2019-06-05 und höher sichert Android-Geräte gegen die potenziellen Angriffspunkte ab.
Die bedrohlichste Schwachstelle steckt laut Googles aktuellem Android Security Bulletin im Media Framework: Entfernte Angreifer könnten sie mittels einer speziell präparierten Datei ausnutzen, um beliebigen Code im Kontext eines privilegierten Prozesses auszuführen. Sieben weitere als kritisch eingestufte Schwachstellen teilen sich auf Media Framework, den Betriebssystem-Code sowie diverse Qualcomm-Komponenten auf. Insgesamt vier von ihnen (einschließlich der bereits genannten) sind aus der Ferne ausnutzbar.
Berichte über aktiv von Angreifern ausgenutzte Schwachstellen liegen Google laut Security Bulletin nicht vor.
Fehlerkorrekturen für Pixel-Geräte
Besitzer von Pixel-Geräten erhalten dieses Mal zwar keine zusätzlichen Sicherheitsupdates, aber immerhin ein paar funktionale Patches. Details nennt Google im separat veröffentlichten Pixel Update Bulletin. Unter anderem gibt es eine Aktualisierung für den Bootloader des Pixel 2, die das Einfrieren einiger Geräte während des Reboots beheben soll. Auch Kamera-Crashes (Pixel 3, Pixel 3 XL) sowie kleinere, bei sämtlichen Modellen vorhandene Fehler soll das Update beseitigen.
Bei Pixel-Geräten verrät das bereits genannte Patch-Level 2019-06-05, das nicht nur die Sicherheitsupdates, sondern auch die genannten Bugfixes vorgenommen wurden. Alle Updates werden wie gewohnt automatisch an die Pixel-Geräte verteilt.
Quelle : www.heise.de
-
Zum Oktober-Patchday hat Google unter anderem die kürzlich von Project Zero veröffentlichte kritische Sicherheitslücke in Pixel 1 und 2 beseitigt.
Wie jeden Monat hat Google auch im Oktober wieder zahlreiche Sicherheitslücken im Android-Betriebssystem geschlossen.
Gerätebesitzer können überprüfen, ob die Oktober-Updates installiert wurden, indem sie das aktuelle Patch-Level überprüfen: 2019-10-01 bedeutet, dass ein Teil der Oktober-Updates eingespielt wurde, während das Patch-Level 2019-10-05 alle aktuellen Updates umfasst. Details zu den je Level gefixten Lücken sind dem Android Security Bulletin für Oktober zu entnehmen.
Zahlreiche kritische Bugs behoben
Das Security Bulletin nennt insgesamt elf kritische Sicherheitslücken. Acht von ihnen betreffen Closed-Source-Komponenten von Qualcomm; für sie sind keine näheren Beschreibungen verfügbar. Die drei übrigen (CVE-2013-2184, CVE-2013-2185 und CVE-2013-2186) stecken im Media Framework, sind aus der Ferne ausnutzbar und könnten unter anderem dazu missbraucht werden, um beliebigen Code im Kontext eines privilegierten Prozesses auszuführen oder schreibend auf beliebige Dateien zuzugreifen.
Das Bulletin listet außerdem 15 Lücken mit "High"-Einstufung auf. Angreifer könnten sie ausnutzen, um sich mittels Schadcode-Apps unter Umgehung von Nutzerinteraktionen diverse Berechtigungen auf dem Gerät zu erschleichen.
Wie immer gibt Google an, Android-Partner mindestens einem Monat vor der Veröffentlichung von Informationen zu den Schwachstellen informiert zu haben. Nun liegt es an den Herstellern, gerätespezifische Patches zu veröffentlichen.
Pixel-Bulletin: Fix für CVE-2019-2215
Wie gewohnt hat Google wieder ein separates Update-Bulletin für Pixel-Geräte veröffentlicht. Ihm ist zu entnehmen, dass Googles eigene Smartphone-Modelle sämtliche Patches wie gewohnt automatisch erhalten (Patch-Level 2019-10-05). Zusätzlich erhalten sie noch weitere Sicherheits- sowie diverse Funktionsupdates.
Last but not least hat Google Pixel 1 und 2 (inkl. der XL-Modelle) auch gegen eine weitere Gefahr abgesichert – nämlich gegen die kürzlich von Maddie Stone aus dem Project-Zero-Team veröffentlichte kritische Sicherheitslücke CVE-2019-2215. Pixel 3 und 3A waren bereits zuvor gegen Angriffe auf diese Lücke abgesichert.
Besitzer anderer via CVE-2019-2215 verwundbarer Geräte (Huawei P20, Motorola Moto Z3, LG-Smartphones mit Android 8, Samsung S7/S8/S9, Oppo A3 und Xiaomi Redmi 5A/Redmi Note 5) müssen wohl oder übel weiterhin nach herstellerspezifischen Patches Ausschau halten.
Quelle : www.heise.de