GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 14:44 - 08.11.2012 SICHER o INFORMIERT Der Newsletter von www.buerger-cert.de Ausgabe vom 08.11.2012 Nummer: NL-T12/0022 Die Themen dieses Newsletters: 1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut Stiftung Warentest 2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich 3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und Air 4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8 5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8 6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein 7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft 8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome 9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher 10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware EDITORIAL Guten Tag, 28 Prozent aller Deutschen verfügen inzwischen über ein internetfähiges Smartphone, das sind rund 22 Millionen Menschen. Über die Hälfte von ihnen nutzt Apps für soziale Netzwerke, zur Kommunikation und Navigation. Doch bei Dienstleistungen wie Shopping, Banking und mobiles Bezahlen sieht das anders aus: Nur jeder zehnte bis fünfte nutzt Anwendungen dafür. Ein Grund: Die mangelnde Sicherheit. Für verschiedene Shopping-Apps ist sie belegt: Stiftung Warentest stuft 20 getestete Anwendungen als „kritisch“ ein. Mehr Infos dazu sowie weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr BUERGER-CERT-Team STÖRENFRIEDE 1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut Stiftung Warentest Viele Smartphone-Applikationen für mobiles Einkaufen werden von der Stiftung Warentest als kritisch oder sehr kritisch beurteilt. In der November-Ausgabe der Zeitschrift „test“ http://www.test.de/presse/pressemitteilungen/Shopping-Apps-Nur-zwei-sind-sicher-und-gut-4459932-0/ berichtet sie über 37 Apps, über die entweder Einkäufe abgewickelt werden können oder die beim Einkaufen beraten sollen. Die schlechteste Bewertung vergaben die Tester für die Apps der Modekette Mango (getestete Version: 2.1.1 für Android 4.1.1) und des Kino-Unternehmens Cineplex (Version 1.0), weil diese Benutzername und Passwort des Anwenders unverschlüsselt übertrugen und zudem das Nungsverhalten erfassten. Dies sei auch bei der Chat-Funktion der Schnäppchen-Finder-App MonsterDealz (Version 2.0) der Fall, die deshalb ebenfalls als sehr kritisch eingestuft wird. Die App MyTaxi sendete Zugangsdaten und Nutzungsverhalten in der getesteten Version 3.2.0 für iOS ebenfalls unverschlüsselt. Dies ist laut Auskunft des Unternehmens in einer aktuelleren Version der App inzwischen behoben. 17 weitere Apps wurden wegen ihres Umgangs mit dem Datenschutz als kritisch eingestuft. Sie senden das Nutzungsverhalten, eine Gerätekennung oder Informationen über den Netzbetreiber des Anwenders an den Herausgeber der App oder an Drittfirmen. 2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich Facebook deaktiviert „vorübergehend“ eine Funktion die zu einer Sicherheitslücke führte, die durch spezielle E-Mails aufgetreten war, darüber berichtet das Online-Magazin „ZDNet“ http://www.zdnet.de/88130080/facebook-behebt-lucke-in-passwortschutz/. Facebook verschickt in bestimmten Fällen E-Mails mit einem Link, der zu einem Benutzerkonto führt. Öffnet man diesen Link, ist man in dem verlinkten Benutzerkonto eingeloggt, ohne weitere Daten wie Passwort eingeben zu müssen. Normalerweise ist sichergestellt, dass nur der jeweilige Konteninhaber die E-Mail mit dem Link zum Konto erhält – doch jetzt ließen sich E-Mails mit Links zu insgesamt 1,3 Millionen Benutzerkonten öffentlich per Google finden. Jemand müsse die E-Mails veröffentlicht haben, teilte Facebook-Entwickler Matt Jones mit. Facebook hat zur Sicherheit die Funktion vorübergehenden deaktiviert. SCHUTZMASSNAHMEN 3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und Air Adobe, der Entwickler des Dateiformats Shockwave, schließt für den dazugehörigen Shockwave-Player sechs kritische Schwachstellen. Darüber berichtet unter anderen das IT-News-Portal ZDNet http://www.zdnet.de/88128514/adobe-schliest-sechs-kritische-sicherheitslucken-in-shockwave/. Die Sicherheitslücken betreffen die Versionen Shockwave Player 11.6.7.637 und früher. Adobe zufolge liegen noch keine Exploits vor. Nutzer sollten trotzdem möglichst schnell auf die Version 11.6.8.638 updaten. Gleichzeitig schließt Adobe Sicherheitslücken für den Flash-Player für sämtliche Plattformen. Dies berichtet heiseSecurity http://www.heise.de/security/meldung/Umfangreiches-Sicherheitsupdate-fuer-Flash-und-AIR-1744764.html unter Berufung der Meldung des Adobe Security bulletin http://www.adobe.com/support/security/bulletins/apsb12-24.html. 4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8 Seit rund zwei Wochen ist das neue Betriebssystem Windows 8 im Handel. Passend zum Verkaufsstart hat Sophos-Mitarbeiter Graham Cluley im Expertenbeitrag für ITespresso acht Sicherheitstipps für das neue Betriebssystem veröffentlicht http://www.itespresso.de/2012/10/31/acht-sicherheitstipps-fur-windows-8/. Das sei deshalb nötig, weil „die veränderte Benutzeroberfläche und der neue App-Store neue Angriffspunkte bieten“. Und das, obwohl Windows 8 „schon gut abgesichert ist.“ So sollten Anwender zum Beispiel darauf achten, dass die benutzte Sicherheitssoftware in der Lage ist, gängige Programme von installierten Apps zu unterscheiden. Zusätzlich müssten sie beide Programmarten zuverlässig von bösartigen Anwendungen unterscheiden. Ein weiterer Tipp: Anwender sollten nicht benötigte Kommunikationsmöglichkeiten blockieren. Windows 8 biete die Möglichkeiten, verschiedene Near-Field-Kommunikationsformen auszuführen. Das biete auch Angriffsflächen. 5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8 Wer auf das neue Betriebssystem Windows 8 aktualisiert oder sich ein neues Gerät mit diesem Betriebssystem kauft, sollte auch an einen passenden Virenscanner denken. Denn nicht alle IT-Schutzprogramme sind mit Windows 8 kompatibel, zum Beispiel die Antiviren-Lösung „Free Antivirus“ von Avira, wie Avira in seinen Supportinformationen für Privatanwender berichtet http://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1385. Welche Programme die passenden sind, hat das IT-Sicherheitsinstitut „AV-TEST“ aufgelistet. AV-TEST weist darauf hin, dass „nur finale und veröffentlichte Produktversionen aufgeführt sind. Allerdings unterstützen noch nicht alle Produkte sämtliche neuen Windows-8-Funktionen (z.B. die neue Benutzeroberfläche).“ Eine Liste von Sicherheitsprodukten für Privatanwender ist hier http://www.av-test.org/tests/heimanwender/windows-8/ zu finden, eine für Unternehmen hier http://www.av-test.org/tests/unternehmen/windows-8/. 6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein Das Logistikunternehmen DHL führt für ihre 2500 Packstationen in Deutschland das mTan-Verfahren ein http://www.dhl.de/de/paket/privatkunden/packstation/mtan.html. Ab sofort können Kunden ihr Paket nur noch abholen, wenn sie zu Ihrer Sendungsnummer auch die passende Transaktionsnummer haben, die auf ihr Handy geschickt wird. Bisher hat eine PIN ausgereicht, mit der sich alle Sendungen an der Packstation abholen ließen. Weil Angreifer jedoch immer wieder persönliche Daten wie Name und Adresse sowie zusätzlich die PIN erlangen konnten http://www.heise.de/security/meldung/mTans-sollen-Packstation-Missbrauch-stoppen-1739022.html, wurde jetzt auf das mTan-Verfahren umgestellt. Denn mithilfe von Adresse und PIN konnten Betrüger Waren auf einen anderen Namen bestellen und diese an der Packstation abholen. 7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft Apple hat für seinen Browser Safari und für das iPhone-, iPad- und iPod-Betriebssystem iOS Updates herausgegeben, die vor allem Fehler beheben und Sicherheitslücken schließen. Safari 6.0.2 steht für Mac-Computer mit dem Betriebssystem OS X 10.7.5 oder 10.8.2 zur Verfügung. Das Update verhindert http://support.apple.com/kb/HT5568, dass Angreifer durch manipulierte Websites Programme auf dem Rechner des Anwenders ausführen können. Zwei vergleichbare Fehler behebt das Update für Mobilgeräte auf iOS 6.0.1 laut heise Security http://www.heise.de/security/meldung/Apple-gibt-erstes-Update-fuer-iOS-6-frei-1741907.html. Außerdem wurde ein Fehler in der Apple-eignen App „Passbook“ behoben, durch den der Zugriff auf in der App gespeicherte Informationen möglich war, obwohl das Mobilgerät mit einem Zugriffsschutz gesperrt war. 8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome Der Browser von Google steht in der neuen Version 23 zur Verfügung. Die neue Version schließt vierzehn Sicherhheitslücken wie u.a. heise ix meldet http://www.heise.de/ix/meldung/Chrome-23-schliesst-Luecken-und-spart-Strom-1744887.html. Gleichzeitig nutzt Chrome den Grafikprozessor des Rechners zur Wiedergabe von Videos unter Windows. Wie im Google Chrome Blog http://chrome.blogspot.de/2012/11/longer-battery-life-and-easier-website.html berichtet, soll der Accu dann bis zu 25% länger halten. Die aktuelle Version ist über die Internetseite von Google https://www.google.com/intl/de/chrome/browser/ ober über die automatische Update-Funktion des Browsers zu beziehen. PRISMA 9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher Laut einer repräsentativen Umfrage nutzen die meisten Smartphone-Besitzer keine Anwendungen, die mit vertraulichen Daten hantieren. Nur 15 Prozent der Anwender nutzen Online-Banking mit ihrem Smartphone, neun Prozent nutzen eine App für mobiles Bezahlen. Darüber informiert das Presse- und Informationsamt der Bundesregierung http://www.bundesregierung.de/Content/DE/Pressemitteilungen/BPA/2012/10/2012-10-25-3f3a-aigner-breg.html. Laut der Umfrage würden weiterhin nur rund jeder fünfte Cloud-Dienste per Smartphone in Anspruch nehmen sowie die Funktion des Smartphones als Türschlüssel. Als ein Fazit zieht die Studie: Viele Verbraucher laden bewusst keine Apps herunter, weil ihnen das Vertrauen in deren Sicherheit fehlt. 10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware Das IT-Sicherheitsunternehmen Symantec gibt in seinem englischsprachigen Blog http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems Einblicke in aktuelle Methoden von Schadsoftware-Programmierern. Automatisierte Analysesysteme durchforsten das Internet nach Schadsoftware und finden laut Symantec jeden Tag rund eine Million neue Varianten. Dazu werden die Programme auf abgeschlossenen, sogenannten virtuellen Systemen ausgeführt und ihr Verhalten von einem Analyse-Werkzeug beobachtet. Seit langer Zeit, so Symantec, versuchen Programmierer ihre Schadsoftware vor den Analyse-Systemen zu verbergen. Die Schadsoftware versucht mit verschiedenen Methoden festzustellen, ob sie auf einem virtuellen System ausgeführt wird. In diesem Fall verhält sie sich unauffällig und kann so möglicherweise der Erkennung entgehen. Diese Tricks waren aber nur von versierten Programmierern anwendbar. Zwei neue Tricks sind hingegen recht einfach umzusetzen. Einer besteht darin, dass die Schadsoftware erst aktiv wird, wenn sie Mausbewegungen am Rechner feststellt. Da an automatischen Analyse-Systemen niemand eine Maus bewegt, kann die Schadsoftware unentdeckt bleiben. Außerdem verwenden die Systeme nur wenig Zeit auf die Analyse eines einzelnen Programms. Programmierer verzögern daher das Entpacken und Ausführen ihrer schädlichen Programmcodes um mehrere Minuten. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 08.11.2012 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.001450 | S: 1_2 |