SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 08.11.2012
Nummer: NL-T12/0022

Die Themen dieses Newsletters:
1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut Stiftung Warentest
2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich
3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und Air
4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8
5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8
6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein
7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft
8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome
9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher
10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware

EDITORIAL
Guten Tag,
28 Prozent aller Deutschen verfügen inzwischen über ein internetfähiges
Smartphone, das sind rund 22 Millionen Menschen. Über die Hälfte von
ihnen nutzt Apps für soziale Netzwerke, zur Kommunikation und Navigation.
Doch bei Dienstleistungen wie Shopping, Banking und mobiles Bezahlen
sieht das anders aus: Nur jeder zehnte bis fünfte nutzt Anwendungen
dafür. Ein Grund: Die mangelnde Sicherheit. Für verschiedene
Shopping-Apps ist sie belegt: Stiftung Warentest stuft 20 getestete
Anwendungen als „kritisch“ ein. Mehr Infos dazu sowie weitere Meldungen
rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter.
Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
Ihr BUERGER-CERT-Team

STÖRENFRIEDE
1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut Stiftung Warentest

Viele Smartphone-Applikationen für mobiles Einkaufen werden von der
Stiftung Warentest als kritisch oder sehr kritisch beurteilt. In der
November-Ausgabe der Zeitschrift
„test“ http://www.test.de/presse/pressemitteilungen/Shopping-Apps-Nur-zwei-sind-sicher-und-gut-4459932-0/
berichtet sie über 37 Apps, über die entweder Einkäufe abgewickelt werden
können oder die beim Einkaufen beraten sollen. Die schlechteste Bewertung
vergaben die Tester für die Apps der Modekette Mango (getestete Version:
2.1.1 für Android 4.1.1) und des Kino-Unternehmens Cineplex (Version
1.0), weil diese Benutzername und Passwort des Anwenders unverschlüsselt
übertrugen und zudem das Nungsverhalten erfassten. Dies sei auch bei der
Chat-Funktion der Schnäppchen-Finder-App MonsterDealz (Version 2.0) der
Fall, die deshalb ebenfalls als sehr kritisch eingestuft wird. Die App
MyTaxi sendete Zugangsdaten und Nutzungsverhalten in der getesteten
Version 3.2.0 für iOS ebenfalls unverschlüsselt. Dies ist laut Auskunft
des Unternehmens in einer aktuelleren Version der App inzwischen behoben.
17 weitere Apps wurden wegen ihres Umgangs mit dem Datenschutz als
kritisch eingestuft. Sie senden das Nutzungsverhalten, eine Gerätekennung
oder Informationen über den Netzbetreiber des Anwenders an den
Herausgeber der App oder an Drittfirmen.

2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich

Facebook deaktiviert „vorübergehend“ eine Funktion die zu einer
Sicherheitslücke führte, die durch spezielle E-Mails aufgetreten war,
darüber berichtet das Online-Magazin
„ZDNet“ http://www.zdnet.de/88130080/facebook-behebt-lucke-in-passwortschutz/.
Facebook verschickt in bestimmten Fällen E-Mails mit einem Link, der zu
einem Benutzerkonto führt. Öffnet man diesen Link, ist man in dem
verlinkten Benutzerkonto eingeloggt, ohne weitere Daten wie Passwort
eingeben zu müssen. Normalerweise ist sichergestellt, dass nur der
jeweilige Konteninhaber die E-Mail mit dem Link zum Konto erhält – doch
jetzt ließen sich E-Mails mit Links zu insgesamt 1,3 Millionen
Benutzerkonten öffentlich per Google finden. Jemand müsse die E-Mails
veröffentlicht haben, teilte Facebook-Entwickler Matt Jones mit. Facebook
hat zur Sicherheit die Funktion vorübergehenden deaktiviert.

SCHUTZMASSNAHMEN
3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und
Air

Adobe, der Entwickler des Dateiformats Shockwave, schließt für den
dazugehörigen Shockwave-Player sechs kritische Schwachstellen. Darüber
berichtet unter anderen das IT-News-Portal
ZDNet http://www.zdnet.de/88128514/adobe-schliest-sechs-kritische-sicherheitslucken-in-shockwave/.
Die Sicherheitslücken betreffen die Versionen Shockwave Player 11.6.7.637
und früher. Adobe zufolge liegen noch keine Exploits vor. Nutzer sollten
trotzdem möglichst schnell auf die Version 11.6.8.638 updaten.
Gleichzeitig schließt Adobe Sicherheitslücken für den Flash-Player für
sämtliche Plattformen. Dies berichtet
heiseSecurity http://www.heise.de/security/meldung/Umfangreiches-Sicherheitsupdate-fuer-Flash-und-AIR-1744764.html
unter Berufung der Meldung des Adobe Security
bulletin http://www.adobe.com/support/security/bulletins/apsb12-24.html.

4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8

Seit rund zwei Wochen ist das neue Betriebssystem Windows 8 im Handel.
Passend zum Verkaufsstart hat Sophos-Mitarbeiter Graham Cluley im Expertenbeitrag für ITespresso
acht Sicherheitstipps für
das neue Betriebssystem
veröffentlicht http://www.itespresso.de/2012/10/31/acht-sicherheitstipps-fur-windows-8/.
Das sei deshalb nötig, weil „die veränderte Benutzeroberfläche und der
neue App-Store neue Angriffspunkte bieten“. Und das, obwohl Windows 8
„schon gut abgesichert ist.“ So sollten Anwender zum Beispiel darauf
achten, dass die benutzte Sicherheitssoftware in der Lage ist, gängige
Programme von installierten Apps zu unterscheiden. Zusätzlich müssten sie
beide Programmarten zuverlässig von bösartigen Anwendungen unterscheiden.
Ein weiterer Tipp: Anwender sollten nicht benötigte
Kommunikationsmöglichkeiten blockieren. Windows 8 biete die
Möglichkeiten, verschiedene Near-Field-Kommunikationsformen auszuführen.
Das biete auch Angriffsflächen.

5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8

Wer auf das neue Betriebssystem Windows 8 aktualisiert oder sich ein
neues Gerät mit diesem Betriebssystem kauft, sollte auch an einen
passenden Virenscanner denken. Denn nicht alle IT-Schutzprogramme sind
mit Windows 8 kompatibel, zum Beispiel die Antiviren-Lösung „Free
Antivirus“ von Avira, wie Avira in seinen
Supportinformationen für Privatanwender
berichtet http://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1385.
Welche Programme die passenden sind, hat das IT-Sicherheitsinstitut
„AV-TEST“ aufgelistet. AV-TEST weist darauf hin, dass „nur finale und
veröffentlichte Produktversionen aufgeführt sind. Allerdings unterstützen
noch nicht alle Produkte sämtliche neuen Windows-8-Funktionen (z.B. die
neue Benutzeroberfläche).“ Eine Liste von
Sicherheitsprodukten für Privatanwender ist
hier http://www.av-test.org/tests/heimanwender/windows-8/ zu finden,
eine für Unternehmen
hier http://www.av-test.org/tests/unternehmen/windows-8/.

6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein

Das Logistikunternehmen DHL führt für ihre 2500
Packstationen in Deutschland das mTan-Verfahren
ein http://www.dhl.de/de/paket/privatkunden/packstation/mtan.html. Ab
sofort können Kunden ihr Paket nur noch abholen, wenn sie zu Ihrer
Sendungsnummer auch die passende Transaktionsnummer haben, die auf ihr
Handy geschickt wird. Bisher hat eine PIN ausgereicht, mit der sich alle
Sendungen an der Packstation abholen ließen. Weil Angreifer
jedoch immer wieder persönliche Daten wie Name und Adresse sowie
zusätzlich die PIN erlangen
konnten http://www.heise.de/security/meldung/mTans-sollen-Packstation-Missbrauch-stoppen-1739022.html,
wurde jetzt auf das mTan-Verfahren umgestellt. Denn mithilfe von Adresse
und PIN konnten Betrüger Waren auf einen anderen Namen bestellen und
diese an der Packstation abholen.

7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft

Apple hat für seinen Browser Safari und für das iPhone-, iPad- und
iPod-Betriebssystem iOS Updates herausgegeben, die vor allem Fehler
beheben und Sicherheitslücken schließen. Safari 6.0.2 steht für
Mac-Computer mit dem Betriebssystem OS X 10.7.5 oder 10.8.2 zur
Verfügung. Das Update
verhindert http://support.apple.com/kb/HT5568, dass Angreifer durch
manipulierte Websites Programme auf dem Rechner des Anwenders ausführen
können.
Zwei vergleichbare Fehler behebt das Update für Mobilgeräte auf iOS 6.0.1
laut heise
Security http://www.heise.de/security/meldung/Apple-gibt-erstes-Update-fuer-iOS-6-frei-1741907.html.
Außerdem wurde ein Fehler in der Apple-eignen App „Passbook“ behoben,
durch den der Zugriff auf in der App gespeicherte Informationen möglich
war, obwohl das Mobilgerät mit einem Zugriffsschutz gesperrt war.

8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome

Der Browser von Google steht in der neuen Version 23 zur Verfügung. Die
neue Version schließt vierzehn Sicherhheitslücken wie u.a.
heise ix
meldet http://www.heise.de/ix/meldung/Chrome-23-schliesst-Luecken-und-spart-Strom-1744887.html.
Gleichzeitig nutzt Chrome den Grafikprozessor des Rechners zur Wiedergabe
von Videos unter Windows. Wie im Google Chrome
Blog http://chrome.blogspot.de/2012/11/longer-battery-life-and-easier-website.html
berichtet, soll der Accu dann bis zu 25% länger halten. Die aktuelle
Version ist über die Internetseite von
Google https://www.google.com/intl/de/chrome/browser/ ober über die
automatische Update-Funktion des Browsers zu beziehen.

PRISMA
9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher

Laut einer repräsentativen Umfrage nutzen die meisten Smartphone-Besitzer
keine Anwendungen, die mit vertraulichen Daten hantieren. Nur 15 Prozent
der Anwender nutzen Online-Banking mit ihrem Smartphone, neun Prozent
nutzen eine App für mobiles Bezahlen. Darüber informiert
das Presse- und Informationsamt der
Bundesregierung http://www.bundesregierung.de/Content/DE/Pressemitteilungen/BPA/2012/10/2012-10-25-3f3a-aigner-breg.html.
Laut der Umfrage würden weiterhin nur rund jeder fünfte Cloud-Dienste per
Smartphone in Anspruch nehmen sowie die Funktion des Smartphones als
Türschlüssel. Als ein Fazit zieht die Studie: Viele Verbraucher laden
bewusst keine Apps herunter, weil ihnen das Vertrauen in deren Sicherheit
fehlt.

10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware

Das IT-Sicherheitsunternehmen Symantec gibt in seinem
englischsprachigen
Blog http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems
Einblicke in aktuelle Methoden von Schadsoftware-Programmierern.
Automatisierte Analysesysteme durchforsten das Internet nach
Schadsoftware und finden laut Symantec jeden Tag rund eine Million neue
Varianten. Dazu werden die Programme auf abgeschlossenen, sogenannten
virtuellen Systemen ausgeführt und ihr Verhalten von einem
Analyse-Werkzeug beobachtet. Seit langer Zeit, so Symantec, versuchen
Programmierer ihre Schadsoftware vor den Analyse-Systemen zu verbergen.
Die Schadsoftware versucht mit verschiedenen Methoden festzustellen, ob
sie auf einem virtuellen System ausgeführt wird. In diesem Fall verhält
sie sich unauffällig und kann so möglicherweise der Erkennung entgehen.
Diese Tricks waren aber nur von versierten Programmierern anwendbar. Zwei
neue Tricks sind hingegen recht einfach umzusetzen. Einer besteht darin,
dass die Schadsoftware erst aktiv wird, wenn sie Mausbewegungen am
Rechner feststellt. Da an automatischen Analyse-Systemen niemand eine
Maus bewegt, kann die Schadsoftware unentdeckt bleiben. Außerdem
verwenden die Systeme nur wenig Zeit auf die Analyse eines einzelnen
Programms. Programmierer verzögern daher das Entpacken und Ausführen
ihrer schädlichen Programmcodes um mehrere Minuten.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de