Schlagwort: Sicherheitslücke
24. Oktober 2014
Eine aktuelle Studie von Censuswide im Auftrag von Oracle ergab, dass Unternehmesdaten duch den Umgang mit mobilen Endgeräten, vor allem durch junge Arbeitnehmer, stark gefährdet sind. Für die Studie wurden 1500 Angestellte globaler Unternehmen befragt – je 500 in den Regionen Europa und Afrika, Nordamerika sowie dem asiatischen und pazifischen Raum.
Die Grenzen zwischen privater und geschäftlicher Nutzung verschwimmen dabei bei mobilem Arbeiten unter den Befragten zusehends – und damit einhergehend offensichtlich auch die Beschädigung oder der Verlust von Laptop, Smartphone oder Tablet.
71 Prozent der Befragten im Alter von 16 bis 24 greifen von privaten Geräten aus auf Arbeitsdaten zu. 73 Prozent haben schon einmal ein mobiles Endgerät verloren und 52 Prozent wurde schon einmal ein Handy, Laptop oder Tablet gestohlen.
Dieser Umstand ist nicht nur ärgerlich für die Betroffenen, sondern kann mitunter, durch den möglichen Verlust geschäftsinterner Daten, sogar negative Auswirkungen für den Arbeitgeber mit sich bringen. So verwundert es nicht, dass nur 24 Prozent der Befragten angeben, dass ihr Arbeitgeber mobile Arbeitskonzepte unterstützt.
21. Mai 2014
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Sicherheitslücke in iTunes, durch die lokale Angreifer durch eine Rechteveränderung beim Benutzer-Ordner sämtliche anderen Benutzerkonten auf dem jeweiligen Mac einsehen und modifizieren können. Das Sicherheitsrisiko bestehe bei iTunes bis zu Version 11.2 in Verbindung mit Mac OS X ab 10.6.8. Den Anwendern wird ein Update auf die aktuellste iTunes Version 11.2.1 empfohlen.
15. Juli 2013
Amazons 1Button App, welche es als Erweiterung für Firefox und Chrome gibt, bietet direkten Zugriff auf die Amazon-Suche und zeigt Angebote und Topseller übersichtlich an.
Doch das ist nicht alles, was das Programm kann! Wie wahrscheinlich kaum ein Nutzer weiß, übermittelt die Erweiterung sämtliche aufgerufenen Websites nicht nur an Amazon selber, sondern teilweise auch an den Webstatistik Dienst Alexa, welcher zum Amazon Konzern gehört. Wie der der polnische Sicherheitsfachmann Krzysztof Kotowicz herausgefunden hat, werden dabei sogar die URLs von verschlüsselten HTTPS-Verbindungen an die Amazon-Server übertragen.
In den Datenschutzbestimmungen zur App findet sich zu diesem Verhalten folgender Passus: “The Amazon Browser Apps may also collect information about the websites you view, but that information is not associated with your Amazon account or identified with you.” Dem Wortlaut nach ist also nur von Sammeln, nicht aber von Übermitteln die Rede. Auch die Angabe, dass die übermittelten Daten nicht mit dem Amazon-Account verbunden werden oder zur Identifizierung genutzt werden, scheint fragwürdig, weil Amazon bei der Übermittlung das gleiche Cookie verwendet, wie auch zur Identifikation der Nutzer im Onlineshop.
Doch damit nicht genug: Amazon überträgt von bestimmten Seiten sogar die Inhalte an die eigenen Server. So werden beispielsweise die über eine verschlüsselte HTTPS-Verbindung aufgerufenen Ergebnisse einer Google-Suche an Alexa übertragen. In Bezug auf diese Übermittlung an Alexa finden sich folgende Angaben in den Datenschutzbedingungen: “In some cases, that information may be personally identifiable, but Alexa does not attempt to analyze web usage data to determine the identity of any user.” Damit gibt Amazon recht unverhohlen zu, dass durch die Übermittlung einzelne Nutzer identifizierbar sind. Die übermittelten Daten enthalten dabei nicht nur identifizierende Merkmale, sondern auch sämtliche URL-Parameter wie Session-IDs, die zumindest theoretisch dazu genutzt werden können, die Identität des Nutzers gegenüber den besuchten Webdiensten zu übernehmen.
21. Februar 2013
Das kanadische Unternehmen BlackBerry (früher Research in Motion), dessen Smartphones insbesondere von großen Unternehmen eingesetzt werden, hat eine Warnung mit der höchsten Dringlichkeitsstufe für seine Blackberry Entererprise Server Software ausgegeben. Auf Grund einer Lücke in einer verwendeten DLL Datei reicht bereits der Versand einer mit E-Mail oder SMS mit einer speziell präparierten TIFF Datei, um auf den Blackberry Enterprise Server zugreifen und dort Code ausführen zu können. Die fehlerhafte DLL, welche vom BlackBerry MDS Connection Service und BlackBerry Messaging Agent verwendet wird, kann dabei bereits ohne jegliche Nutzerinteraktion zur Kompromittierung des Systems führen; ein Öffnen der präparierten SMS oder E-Mails ist dabei nicht notwendig. Vor diesem Hintergrund erklärt sich auch die Einstufung der Sicherheitslücke in die höchste Gefahrenstufe.
Für folgende Versionen steht ein Update auf 5.0.4 MR2 bereit, welches die Sicherheitslücke schließt:
- BlackBerry Enterprise Server Express 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino
- BlackBerry Enterprise Server 5.0.2 bis 5.0.4 für Microsoft Exchange und IBM Lotus Domino
- BlackBerry Enterprise Server 5.0.1 und 5.0.4 für Novell Groupwise
Um die Lücke in älteren (nicht mehr durch Support unterstützten) Versionen zu schließen, empfiehlt Blackberry ein Update auf die Versionen, für welche der Patch bereit steht. Wer ein solches (u.U. kostenpflichtiges) Update scheut, kann sich jedoch mit einem Workaround, welches die serverseitige Bildkompression deaktiviert, behelfen.
10. Dezember 2012
Zumindest die Nutzer, die WhatsApp auf ihren Android und iOS Geräten verwenden, dürfen aufatmen: Mit der aktuellsten Version des populären Messengers, der allein auf Geräten mit Googles Android bereits über 100 Millionen mal installiert wurde, ist eine (neuerliche) Lücke, die die Übernahme von fremden Accounts ermöglichte, geschlossen worden.
Bezüglich jeglicher Schwachstellen gibt sich der Hersteller der App, die US-amerikanische WhatsApp Inc., wie üblich sehr zugeknöpft und lässt in den Release Notes lediglich verlauten, dass Verbesserungen bei der Telefonnummerverifikation (improvements to phone number verification) vorgenommen wurden.
Medienberichten zufolge bleiben die Nutzer von Windows Phone 7.5 mit der aktuellsten Version 2.8.8.0 für dieses Betriebssystem jedoch weiterhin verwundbar. Bezüglich der Frage, ob und wann auch ein Bugfix für Windows Phone 7.5 Nutzer kommt, gibt es bisher keine Aussage der WhatsApp Inc.
16. November 2012
Medienberichten zu folge, wurde eine große Sicherheitsgefahr in Skype entdeckt:
Beim Zurücksetzen eines Kennwortes wird gewöhnlich bei anderen Anbietern eine E-mail zu der hinterlegten E-mailadresse geschickt. Mittels Abrufen und Anklicken eines Links aus dieser Mail, muss sich der Zurücksetzende somit identifizieren.
Nicht so bei Skype, denn hier konnten auch Unbefugte das Kennwort für beliebige andere Skype-Konten zurücksetzen, wenn sie Kenntnis einer mit dem jeweiligen Konto verknüpften E-Mail-Adresse hatten, wie vor zwei Monaten in einem russischen Forum berichtet wurde. Mit Hilfe der Beschreibung des Forums war es möglich, nur mittels der Email-Adresse einer Person ihren Skype-Account zu übernehmen
Wie Skype in seinem Blog mitteilt, konnte die Sicherheitslücke zwischenzeitlich geschlossen werden und es sei nicht mehr möglich, über die Passwort-zurücksetzen-Funktion das Skype-Konto eines anderen Nutzers zu übernehmen.
Folgende Beiträge könnten Sie auch interessieren
https://www.datenschutzticker.de/index.php/2012/11/google-sicherheitsluecken-in-eigenen-e-mail-signaturen/
https://www.datenschutzticker.de/index.php/2012/09/sicherheitsluecke-im-messenger-dienst-whatsapp/
https://www.datenschutzticker.de/index.php/2012/07/sicherheitsluecke-bei-der-singleboerse-meetone/
6. August 2012
Die Datingplattform meetOne soll einem Bericht von heise.de zufolge die Adressbücher auf den Smartphones der Nutzer heimlich kopiert haben. Anschließend seien die Kontakte der Nutzer mit Spam-E-Mails zur Anmeldung bei meetOne aufgefordert worden.
Zudem seien die Adressdaten über eine ungesicherte Verbindung unverschlüsselt auf die Server von meetOne übertragen worden. Die Empfänger erhielten später Benachrichtigungen, wonach eine Flirtnachricht bei meetOne für sie eingegangen sei. Auf Nachfrage von heise Security bei dem Mitbegründer von meetOne, Nils Henning, sah dieser sich außer Stande, Angaben über die Herkunft der Adressen machen. Betreiber der Plattform sei inzwischen die Meetone International LLC mit Sitz in den USA. Nur dort könne aufgeklärt werden, woher die Daten stammen.
Erst Ende Juli war eine Sicherheitslücke bei meetOne bekannt geworden, über die zahlreiche persönliche Daten inklusive Passwörter in Klartext durch die Änderung von URL-Parametern ausgelesen werden konnten.
27. Juli 2012
Durch eine Sicherheitslücke bei dem Singleportal meetOne konnte auf alle von etwa 900.000 Nutzern hinterlegten Daten – wie etwa E-Mail Adressen, Echtnamen, private Nachrichten und Fotografien aber auch das Passwort – im Klartext zugegriffen werden. Um an die Daten zu gelangen war ein Login bei der Plattform nicht notwendig, vielmehr konnte jede Person durch das Hochzählen eines URL-Parameters die Daten einsehen. Nach Informationen von heise online wurde die Lücke inzwischen geschlossen. Nutzern werde dennoch empfohlen ihr Zugangspasswort bei meetOne sowie bei anderen Diensten, bei denen das gleiche Passwort genutzt wurde, umgehend zu ändern.
