GREENHORN COMPUTER-FORUM - Freundliche Hilfe für PC-Einsteiger und Fortgeschrittene |
|
Seiten mit Postings: | zum Seitenende |
|
Autor | Mitteilung |
Nubira Moderator Beiträge: 15134 | Gesendet: 16:05 - 10.07.2014 SICHER o INFORMIERT ------------------- Der Newsletter des Bürger-CERT Ausgabe vom 10.07.2014 Nummer: NL-T14/0014 Die Themen dieses Newsletters: 1. Android: WLAN-Datenleck 2. Betrugsversuch: Gefälschte Rechnungen von Vodafone und der Deutschen Telekom 3. Noch ein Betrugsversuch: Virus tarnt sich als Abmahnung 4. Microsoft: Juli-Patchday 5. Safari und iOS: Apple schließt mehrere Schwachstellen 6. Adobe: Sicherheitsupdates für den Flash Player 7. Internet der Dinge: Glühbirnen verraten WLAN-Passwörter 8. Wirtschaftsspionage: Verfassungsschutz warnt vor Spionage aus China 9. iPhone: ChronicUnlocks kann angeblich Sperre aufheben EDITORIAL Guten Tag, dass Ihr Mobiltelefon preisgeben kann, wo Sie sich aufgehalten haben, ist für Sie sicher nichts Neues. Aber dass viele Android-Smartphones das über WLAN tun, während sich das Gerät im Standby-Betrieb befindet und nicht im Netz angemeldet ist, ist in der Tat neu. Neu ist auch die Lampe Lifx, die sich über Ihr Smartphone steuern lässt – und das Passwort für Ihr WLAN ausgeplaudert hätte, wäre die Schwachstelle nicht gefunden worden. Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen Ihr Buerger-CERT-Team STÖRENFRIEDE 1. Android: WLAN-Datenleck Benutzen Sie ein Smartphone unter Android, das weniger als drei Jahre alt ist? Wenn ja, besteht Grund zur Annahme, dass Ihr Gerät über WLAN verrät, wo Sie sich überall aufgehalten haben. Und zwar selbst dann, wenn sich Ihr Gerät im Standby-Modus befindet und nicht erkennbar mit dem WLAN verbunden ist. Das ist das Ergebnis, zu dem die Electronic Frontier Foundation (EFF, Englisch) https://www.eff.org/deeplinks/2014/07/your-android-device-telling-world-where-youve-been gekommen ist. (Deutscher Artikel http://www.chip.de/news/Android-Datenleck-WLAN-Chip-verraet-Nutzer-Infos_70798893.html) Betroffen sind Android-Versionen ab 3.1, jedoch nicht alle Geräte (Geräteliste https://www.eff.org/files/2014/07/02/ssid_leaking_devices.txt). Google hat Besserung versprochen; zur Zeit kann man sich behelfen, indem man in den erweiterten WLAN-Einstellungen die Option "WLAN im Ruhemodus aktiviert lassen" abschaltet. EFF hat allerdings auch Fälle beobachtet, in denen dies nicht ausreichte. Zudem könne das Deaktivieren dazu führen, dass Apps verstärkt Strom verbrauchen und dass das Datenvolumen erhöht wird. 2. Betrugsversuch: Gefälschte Rechnungen von Vodafone und der Deutschen Telekom Zur Zeit sind täuschend echt gefälschte Rechnungen http://www.spiegel.de/netzwelt/web/gefaelschte-rechnungen-von-telekom-und-vodafone-sind-im-umlauf-a-979696.html von Vodafone und der Deutschen Telekom im Umlauf. Die unpersönliche Anrede und die konstruierten Kundennummern sind jedoch Hinweise darauf, dass die Rechnungen nicht echt sind. Sollten Sie per E-Mail eine Rechnung zugeschickt bekommen, von der Sie nicht sicher sind, ob sie berechtigt ist: Fragen Sie nach. Dabei verwenden Sie bitte nicht die Kontaktangaben in der betreffenden E-Mail. 3. Noch ein Betrugsversuch: Virus tarnt sich als Abmahnung Online-Kriminelle verschicken gerade eine Vielzahl gefälschter Abmahnungen, wie die Süddeutsche Zeitung berichtet http://www.sueddeutsche.de/digital/schadsoftware-computervirus-tarnt-sich-als-abmahnung-1.2035029. In ihren E-Mails beschuldigen sie Internetnutzer, illegal Musik heruntergeladen und so das Urheberrecht verletzt zu haben. Deshalb sei eine Zahlung von mehreren Hundert Euro fällig und ein angehängtes Dokument zu beachten. In diesem verbirgt sich ein Computervirus. Wie immer sollten Sie derartige Post einfach löschen und sich nicht von der vorgegaukelten Dringlichkeit dazu verleiten lassen, Links zu folgen oder Dateianhänge zu öffnen. SCHUTZMASSNAHMEN 4. Microsoft: Juli-Patchday Mehrere Sicherheitsupdates https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0069, von denen der Hersteller zwei als "kritisch", drei als "hoch" und einen als "mittel" einstuft, betreffen DirectShow sowie verschiedene Versionen von Windows und des Internet Explorers. Die beiden behobenen kritischen Fehler erlauben das Einschleusen und Ausführen von fremdem Programmcode. Die Sicherheits-Updates installieren sich bei entsprechender Voreinstellung mit aktiver Internetverbindung automatisch, was dem empfohlenen Weg entspricht. Alternativ können Sie Updates auch von MIcrosofts Website http://www.windowsupdate.com herunterladen. 5. Safari und iOS: Apple schließt mehrere Schwachstellen Das Sicherheitsupdate auf Safari 6.1.5 und 7.0.5 schließt mehrere Schwachstellen https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0068, die es einem Angreifer aus dem Internet ermöglichen, den Browser zum Absturz zu bringen oder beliebige Programme auszuführen. Apple hat zudem ein Update auf das Betriebssystem iOS 7.1.2 herausgebracht, durch das mehrere Sicherheitslücken geschlossen werden https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0067. Diese ermöglichen es Angreifern, beliebige Befehle mit den Rechten des angemeldeten Benutzers auszuführen, falsche Informationen einzuschleusen, das System zum Absturz zu bringen oder Informationen auszuspähen. 6. Adobe: Sicherheitsupdates für den Flash Player Adobe schließt mehrere Sicherheitslücken im Adobe Flash Player https://www.buerger-cert.de/archive?type=widtechnicalwarning&nr=TW-T14-0070. Die Lücken erlauben Angreifern, das betroffene System zu übernehmen. Aktualisieren Sie deshalb den Adobe Flash Player über das Adobe Flash Player Download Center, sofern Sie nicht die automatische Update-Funktion innerhalb des Produktes nutzen. PRISMA 7. Internet der Dinge: Glühbirnen verraten WLAN-Passwörter Lifx ist eine LED-Lampe, deren Licht sich über ein Android-basiertes Smartphone anpassen lässt. Dafür wird die Lampe in das heimische WLAN-Netz integriert; die Lampen tauschen dann das WLAN-Passwort untereinander aus. Das passiert zwar verschlüsselt, der zugrunde liegende Schlüssel bleibt jedoch derselbe. Wie Ars Technica (englisch) http://arstechnica.com/security/2014/07/crypto-weakness-in-smart-led-lightbulbs-exposes-wi-fi-passwords/ und Spiegel Online http://www.spiegel.de/netzwelt/gadgets/led-birnen-koennen-w-lan-passwoerter-verraten-a-979822.html berichten, haben White-Hat-Hacker die Verschlüsselungstechnik geknackt und konnten 30 Meter um die Glühlampen herum das heimische WLAN-Passwort erspähen. Sogenannte White-Hat-Hacker, möchten keinen Schaden anrichten, sondern auf bestehende Sicherheitsmängel hinweisen. Der Hersteller hat daraufhin Lifx mit einer neuen Firmware versehen, die Abhilfe schaffen soll. Dennoch bleibt die Frage nach neu entstehenden Sicherheitsrisiken im Zusammenhang mit dem "Internet der Dinge" unbeantwortet. 8. Wirtschaftsspionage: Verfassungsschutz warnt vor Spionage aus China Der chinesische Geheimdienst betreibt einen enormen Aufwand, um an wichtige Daten zu gelangen, sagt der Präsident des Bundesverfassungsschutzes Hans-Georg Maaßen im Interview mit der Welt am Sonntag (Online-Artikel http://www.welt.de/newsticker/dpa_nt/infoline_nt/wirtschaft_nt/article129841253/Verfassungsschutz-warnt-Wirtschaft-vor-Spionage-aus-China.html). Vor allem mittelständische Unternehmen sieht Maaßen in Gefahr. 9. iPhone: ChronicUnlocks kann angeblich Sperre aufheben Mit der Aktivierungssperre in iOS 7 können Besitzer eines iPhones ihr Gerät unbrauchbar machen, wenn dieses gestohlen worden ist. Das neu gegründete Unternehmen ChronicUnlocks möchte diese Sperre nun aufheben können. 150 US-Dollar soll der Dienst kosten, der gleich in vielerlei Hinsicht fragwürdig ist, wie Heise Online http://www.heise.de/security/meldung/ChronicUnlocks-kann-angeblich-iPhone-Sperre-aufheben-2250516.html bemerkt. ----------------------------------------------------------------------- Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14 Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit und Richtigkeit nicht übernommen werden. Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de |
Seiten mit Postings: | - SICHER • INFORMIERT vom 10.07.2014 - | zum Seitenanfang |
|
Version 3.1 | Load: 0.002739 | S: 1_2 |