Mit einem WhatsApp Videoanruf könnten Milliarden Smartphones gekapert werden, Android als auch iPhones.
Eine Sicherheitslücke im Code von WhatsApp erlaubt es Angreifern die Kontrolle über die Endgeräte zu erlangen.
Googles Project Zero hat die Sicherheitslücke identifiziert und veröffentlicht. WhatsApp stellt bereinigte Versionen der App bereits zur Verfügung und liefert diese über den Play Store bzw. App Store aus.
Überprüft eure App auf verfügbare Updates und spielt diese umgehend ein, denn obwohl die Lücke aktuell noch nicht aktiv ausgenutzt wird, kann man davon ausgehen, dass dies in Kürze passieren wird.
Bei mir befand sich noch die gefährdete Version 2.18.293 auf meinem Gerät.
Aktuell sind die Version 2.18.302 (Android direkt über WhatsApp, bzw 2.18.306 aus dem Play Store), sowie 2.18.93 für iOS.
Sollte die Version noch nicht im PlayStore für euch verfügbar sein, könnt ihr diese auch manuell von der WhatsApp Webseite laden: https://www.whatsapp.com/android/
Ich empfehle euch das Telefon einfach einmal zu starten und im PlayStore erneut nach Update zu suchen, falls euch keine aktuelle Version angezeigt wird.
Weitere Informationen zum Exploit erhaltet ihr direkt über Googles Bug-Report
Eine neue Funktion soll die Sicherheit von Facebook spürbar verbessern und mit ein bisschen Benutzeraufklärung hätte sie auch die Chance dazu. Facebook führt nämlich die Verschlüsselung mittels PGP ein, wenn Facebook mit dem Benutzer kommuniziert.
Hin und wieder kommuniziert Facebook mit seinen Benutzern, gerade wenn es um Benachrichtigungsnachrichten geht. Leider schwimmen auf dieser Welle zunehmend Phishing-Mails mit, die die Benutzer verführen präparierte Links zu klicken und schon ist das Profil oder die verwaltete Seite in der Hand des Angreifers. Hier will Facebook eingreifen und lässt ab sofort seine Benutzer ihren eigenen öffentlichen PGP-Schlüssel im Profil hinterlegen, den man für die Verschlüsselung der Kommunikation in der Zukunft nutzen wird. Nach einer Testmail, um die reibungslose Kommunikation zu testen, kann man die Verschlüsselung für die zukünftige Kommunikation aktivieren.
Habt ihr euch schon immer einmal gefragt, welche Daten Facebook über euch speichert? Ab sofort könnt ihr euer persönliches Archiv bei Facebook herunterladen.
Facebook bietet in den Einstellungen eine neue Option zum Download der eigenen Facebookdaten an. Nachdem man den Download der eigenen Daten beantragt hat, bekommt man per Mail einen Downloadlink, bzw. parallel eine Facebook-Nachricht, die darauf hinweist, dass die persönlichen Daten nun zum Download bereit stehen.
Erreichbar ist die Option als Link im Einstellungsmenü:
Facebook verweist auf die folgende Infoseite, auf der beschrieben wird, welche Daten enthalten sind. So finden sich alle Pinnwandeinträge, Kontakte und Loginsessions im Paket. Der Inhalt der Zip-Datei ist eine lokal aufrufbare „Webseite“, die menügeführt Zugang zu den unterschiedlichen Datenbereichen liefert.
Die ISRG will mit Let’s Encrypt eine CA starten, die kostenlos SSL Zertifikate ausgibt, die obendrein leicht verwaltbar und verlängerbar sind.
Woran hapert es bei Zertifikaten meist?
Wenn man an SSL Verschlüsselung für Webseiten denkt, dann gehen vielen Anwendern die Alarmglocken an. Ja, man weiss, man sollte viel mehr verschlüsseln und gerade Kontaktformulare oder alles worüber Daten erhoben werden kann sowieso. Nur macht man es häufig nicht, entweder aus Bequemlichkeit, oder einfach weil man für viele dieser Anwendungsfälle einfach kein Geld ausgeben will oder kann. Häufig geht es nur darum, die elende Fehlermeldung im Browser loszuwerden, aber dafür dann auf der privat betriebenen Webseite, oder einem Testprojekt, ein öffentliches, im Browser akzeptiertes Zertifikat erwerben? In vielen Fällen gilt „NEIN“ hier als die Standardantwort.
Geht es nicht um den Preis und man hat sich durchgerungen ein Zertifikat zu beantragen, dann geht das Problem erst richtig los. Hier will eine Zertifikatsanforderung erstellt werden, für die man zuvor einen entsprechenden privaten Schlüssel auf dem Server generiert haben sollte. Hat man die Zertifikatsanforderung (CSR, also Certificate Signing Request) erstellt, dann geht es an die Anbietersuche. Hat man den passenden Anbieter gefunden, dann muss man nachweisen, dass die Domain von einem selbst rechtmässig administrativ verwaltet wird, im Regelfall über die Zusendung einer E-Mail an eine administrative Empfängeradresse (admin@, administrator@, hostmaster@, postmaster@ oder webmaster@eigenerdomain.de), diese sind durch das CA-Browser Forum vorgegeben. Alternativ kann man sich natürlich auch per Hash-Verfahren per HTTP oder CNAME-Hash authentifizieren lassen.
Wer nun noch nicht ausgestiegen ist, für den ist Let’s Crypt ohnehin nur eine nette Spielerei und der Rest der Seitenbetreiber nur Stümper! 😉
Was möchte Let’s Encrypt anders machen?
Mit Mozilla als einer der Hauptsteuerer in der Gruppe hinter Let’s Encrypt, hat man bereits einen großen Browseranbieter an Bord, der die CA mit Sicherheit im eigenen Browser wohlwollend aufnehmen wird. Grundlegend möchte Let’s Encrypt vor allem das Zertifikatshandling vereinfachen. Hierzu soll eine Zertifikatsverwaltung auf den Server eingespielt werden, die die Beantragung, sprich Schlüsselerstellung, CSR-Generierung und HASH-Verfahren automatisch durchführt und das Zertifikat dann selbständig auf dem Server einspielt und die notwendigen Konfigurationen im Webserver ebenfalls vornimmt.
Für den Benutzer ideal, man installiert einmalig eine Verwaltungssoftware und kann dann mit geringem Aufwand neue Zertifikate beschaffen und dies vor allem kostenlos, denn Let’s Encrypt will ähnlich wie es CACert versucht, die Zertifikate kostenlos anbieten. Bei CACert scheiterte es daran, dass man nicht in die Browser aufgenommen wurde, bei Let’s Encrypt sieht es hier besser aus, wenn gleich man auch dazu sagen muss, dass ein Gegenwind der bestehenden CAs im CA-Browser Forum zu erwarten sein dürfte, denn eine so elegante und kostenfreie Alternative dürfte den Wenigsten schmecken!
Was ist wenn mein Zertifikat abläuft?
Let’s Encrypt hat sich die Gedanken gemacht, die man sich von den bestehenden CAs schon lange gewünscht hat, denn auch wenn ein Zertifikat abläuft, hört die Bequemlichkeit noch lange nicht auf. Die Zertifikatsverwaltung soll zum einen die Laufzeit überwachen und zum Ende der Laufzeit automatisch ein neues Zertifikat beantragen und einspielen, so dass es zu keiner Unterbrechung im Betrieb kommt. Da Zertifikate, zumindest von Anbietern, die in den Browsern als vertrauenswürdige CAs aufgenommen wurden, eine feste Laufzeit haben müssen, kommt man hin und wieder in die unangenehme Situation, dass ein Zertifikat unbemerkt abläuft und die Webanwendung ihren Dienst aufgrund des abgelaufenen Zertifikates versagt. Mit Let’s Encrypt soll dies der Vergangenheit angehören.
Für wen ist denn Let’s Encrypt interessant?
Prinzipiell ist Let’s Encrypt primär für alle die Betreiber interessant, die als oberstes Ziel haben, die Fehlermeldung im Browser los zu werden, die so wunderschön jammert „Diese Webseite ist nicht vertrauenswürdig“. Wie es im Detail aussehen wird ist noch nicht ganz klar, es werden jedoch nur DV-Zertifikate angeboten (Domain Validation), also Zertifikate, bei denen der Domaininhaber über die oben beschriebenen „Prüfverfahren“ validiert wurde. Zertifikate die ein Unternehmen prüfen (OV) oder gar für eine grüne Leiste im Browser sorgen (EV), werden von Let’s Encrypt nicht angeboten, da man diese nicht komplett automatisieren kann.
Für einen großen Teil der kleineren Webseitenbetreiber ist Let’s Encrypt jedoch sehr interessant und könnte auch viele Betreiber dazu animieren überhaupt zu verschlüsseln. Voraussetzung dafür, das Serverbetriebsystem wird von Let’s Encrypt unterstützt und kann die Verwaltungssoftware ausführen (Python basiert und aktuell mit Unterstützung für den Apache Webserver versehen). Etwas speziellere Systeme wie viele Firewalls, Router usw. fallen hier also schonmal raus, genauso wie Windowsserver mit IIS oder Linuxserver die auf NGINX oder Lighttp setzen.
Wo bekomme ich weitere Informationen?
Let’s Encrypt hat eine englischsprachige Webseite online, auf der man bereits viele Informationen finden kann. Eine Preview der Clientsoftware ist ebenfalls verfügbar und für weitere Fragen kann man sich in die Mailingliste eintragen.
Blackphone, das Smartphone welches sich den Schutz der Privatsphäre als Ziel gesetzt hat, kann ab sofort vorbestellt werden.
Silent Circle und Geeksphone gaben im vergangenen Jahr ihre Kooperation bekannt und machten sich zum Ziel ein Smartphone, basierend auf Android, mit angepasstem Betriebssystem und einer umfangreichen Auswahl an speziellen Apps, die der Sicherheit zuträglich sein sollen, zu entwickeln.
Die Frucht dieser Kooperation heisst Blackphone und kann ab sofort für 629 US Dollar vorbestellt werden, die Auslieferung erfolgt dann im Juni diesen Jahres. Zu den 629 US Dollar kommen noch Steuern und Zölle des jeweiligen Landes, so dass wir in Deutschland bei einem Gesamtpreis von 748,51 US Dollar angekommen sind, zum aktuellen Tageskurs sind dies rund 545 €.
Die 100 prozentigen Spezifikationen zum Gerät sind noch mit Vorsicht zu geniessen, man spricht aktuell von einem QuadCore SoC mit mehr als 2 GHz, der Bildschirm soll ein 4,7 Zoll IPS HD IPS Vertreter sein, was wohl alles ab einer 720p Auflösung sein könnte. Der interne Speicher beträgt 16GB welchem 2 GB DDR3 RAM zur Seite stehen. Über eine Erweiterbarkeit des Speichers schweigt man sich leider aus. Eine > 8 Megapixel Hauptkamera, sowie eine 1,3 Megapixel Frontkamera und HSPA+, LTE, Bluetooth 4, Wifi 802.11n, sowie GPS und sonstige Sensoren runden das Paket ab.
Interessant ist die OS Anpassung PrivatOS welche die Suche komplett anonymisiert, WLAN nur in vertrauenswürdigen HotSpots aktiviert sowie viele weitere Apps für sicheres Telefonieren, Mailen und Texten mitbringt. Bereits mitgelieferte Apps für die Nutzung eines VPN-Dienstes, Firewall und Ähnlichen runden das Paket ab.
Wie steht ihr dazu, sind euch Phil Zimmermann, Silent Circle und Geeksphone vertrauenswürdige Partner, denen ihr euer Geld im Sinne des Daten-, Informations- und Persönlichkeitsschutzes anvertrauen wollt?
Canonical gab bekannt, dass das offizielle Ubuntu-Forum unter www.ubuntuforums.org einen Sicherheitsvorfall erlitt.
Bereits am gestrigen 20.07.2013 habe sich der Vorfall ereignet, bis dahin wurde die Forenseite vom Netz genommen und die Benutzer über den aktuellen Zustand informiert. Laut Canonical wüsse man, dass:
Unfortunately the attackers have gotten every user’s local username, password, and email address from the Ubuntu Forums database.
The passwords are not stored in plain text. However, if you were using the same password as your Ubuntu Forums one on another service (such as email), you are strongly encouraged to change the password on the other service ASAP.
Ubuntu One, Launchpad and other Ubuntu/Canonical services are NOT affected by the breach.
Das heisst also, absolut jeder Benutzername, sowie die dazugehörige E-Mail Adresse, als auch das verschlüsselte Passwort sind in die Hände der Angreifen gefallen. Man rät seinen Benutzern dringend zur Passwortänderung bei allen Diensten, bei denen man die gleiche Kombination aus Benutzer und E-Mail, bzw. das identische Passwort wie in den Ubuntu-Foren nutzt!
Der Datenverlust bezieht sich „lediglich“ auf das Forum, andere Dienste von Ubuntu/Canonical sind nicht betroffen und man wollen die Benutzer weiter auf dem Laufenden halten.
Es ist also mal wieder an der Zeit, dass man sich seine Passwortstruktur überdenkt und möglichst sichere Passwörter generiert – möglichst für jeden Dienst ein eigenes! Wie man das bewerkstellige könnte, zeigt der folgende Artikel: Passwörter aufschreiben ist sicher!
Wirklich viele Internetbenutzer wehren sich vehement dagegen, dass Firmen ihre Daten farmen. Dazu nutzen sie VPN Verbindungen, verschleiern ihre Identität, löschen im Minutentakt Cache und Cookies und was ihnen nicht noch alles einfällt. Nur was bringt das alles, wenn man mit einem kleinen großen Fehler, mehr oder weniger seine gesamte Netzidentität, für ein par Euros verkauft, natürlich ganz freiwillig unfreiwillig und das ganze bekommt man noch nicht einmal mit.
Der Verkauf gebrauchter Festplatten – CC egaistek
Folgendes ist passiert:
Ich bin gerade dabei mir für ganz wenig Geld einen kleinen PC für Elektronik und Schaltpläne zusammenzustellen – Kostenpunkt unter 100€. Also musste ebay her und das geht ja erstaunlich schnell. Arbeitsspeicher gab es für 3€, das Mainboard für 24 und ganz wichtig, eine Festplatte für die ich nur 5€ bezahlt habe. Nach einigen Tagen traf alles ein und ich hab glücklich zusammengeschraubt. Danach schnell das Linux auf den USB Stick gezogen, einstecken und es kann losgehen. Ich war jedoch scheinbar zu langsam im Bootmenü, so dass er doch lieber die Festplatte nahm und was sehe ich dann: „Windows wird gestartet“
Es war ein intaktes Windows auf der Festplatte, der Hardwarewechsel hat es nicht sonderlich gestört und es bootet fröhlich durch. Danach kam für mich die nächste Überraschung: Automatischer Login. Ich saß etwas verdutzt vor dem Monitor, denn ich bin davon ausgegangen, dass jeder der Festplatten verkauft diese vorher formatiert, außerdem sollte sie noch mindestens einmal überschrieben werden, damit man die Daten nicht wiederherstellen kann. Allein der Gedanke jemand könnte auf meiner Festplatte rumschnüffeln ist blöd, also beschloss ich es (erst mal) nicht zu tun. Die Spitze vom Eisberg war allerdings nicht nicht erreicht! Neben dem ganz offensichtlich illegal installierten Windows 7 Ultimate, lag auf dem Desktop etwas abgelegen ein Ordner mit der Aufschrift BACKUP. Dort hatte ich reingeschaut und ich erschrak: Alle möglichen Dokumente wie Bewerbungen, Anschreiben, Rechnungen etc… daneben Bilder, Musik und Spiele, sowie eine Datei „Passwörter.txt“, wo ich nur den Kopf schütteln musste. Eine fein säuberlich zusammengestellte Liste aller Dienste (Facebook, Google Konto, MSN, ICQ, Dropbox…) mit Benutzername und Passwort!
Ich habe im Prinzip jetzt viele Zugangsdaten gekauft: Für 5€ + Versand.
Der Verkäufer wollte wohl alles Sichern und danach die Festplatte löschen, vergaß dies jedoch. Wäre ich jetzt ein böser Mensch, hätte ich diese Daten ausnutzen können und seine gesamte digitale Identität kapern können, immerhin hätte ich durch die Dokumente auch Adresse und Geburtstage haben können. Danach habe ich den Besitzer der Festplatte angeschrieben, um ihn daran zu erinnern, bei zukünftigen Verkäufen die Festplatte zu löschen und zu überschreiben.
Wie ich dann anhand Webprofile gesehen habe, war er seines Standes Fachinformatiker in Ausbildung :\ aber das kommentiere ich lieber nicht weiter.
Das soll ein Appell an Alle sein: Wenn ihr eure Festplatten verkauft, sichert euch ab! Es gibt genügend Tools für Windows, die die Festplatte überschreiben, in Linux reicht das Programm dd schon aus. Ich hab die Festplatte danach gelöscht, ohne mich weiter umzusehen, jedoch gibt es genügend Leute die das nicht machen.
Ist euch das schonmal passiert? Was sagt ihr dazu?
Carrier IQ, eine Software die das Nutzungsverhalten von Smartphonebenutzern aufzeichenen kann, ist in aller Munde. Auf über 140 Millionen Endgeräten soll die Software installiert sein, das bezieht sich nicht nur auf Android Smartphones. Offensichtlich wird die Software primär in den USA genutzt, ich habe noch von keinem Benutzer aus Deutschland gehört, der die Software auf seinem Gerät entdeckt hat.
Wer allerdings auf Nummer sicher gehen möchte und sein Gerät auf die Carrier IQ Software überprüfen will, der kann es mittels einer kleinen App aus dem Android Market tun. Die App „Voodoo Carrier IQ detector“ (Android Market Direktlink), benötigt keinen Root Zugriff um die App zu erkennen. Sollte CarrierIQ auf dem Gerät gefunden werden, braucht es allerdings Root-Zugriff um sich dieser zu entledigen. Benutzer von Mods, wie dem Cyanogen Mod, sind nicht betroffen, hier ist die Software nicht enthalten.
Was Carrier IQ alles aufzeichnet hat Trevor Eckhart in einem Video festgehalten, äusserst informativ und sehenswert:
Carrier IQ ist jedoch recht leicht zu finden, auch ohne die oben vorgestellte App, die Bezeichnung als „Rootkit“ ist hier etwas inflationär verwendet worden, denn Rootkits bestechen vor allem dadurch, dass sie nicht sichtbar ihre düstere Arbeit verrichten.
Was sagt ihr zum Carrier IQ Thema? Lasst es uns in den Kommentaren wissen!
Auf Computern werden sie von jedem Virenscanner hochkant rausgeworfen: Die Keylogger. Berechtigt, denn jeder einzelne Tastenanschlag wird gespeichert und kann an Dritte übertragen werden. Die meisten werden sich denken, dass sie durch Virenscanner und Erfahrung sicher davor sind … wäre da nicht das geliebte Smartphone neben der Tastatur.
Patrick Traynor, Professor an der Georgia Tech’s School of Computer Science hat ein Verfahren vorgestellt, mit dem es möglich ist, mithilfe eines Smartphones, Tastatureingaben direkt von der Tastatur „abzulesen“. Was das kleine Smartphone doch nicht alles kann? Nun sind Passwörter und Adressen nicht einmal mehr davor sicher. Das Verfahren ist einfach erklärt, benötigt aber eine enorme Feinjustierung. Getestet wurde es mit einem iPhone4 jedoch sind prinzipiell alle neueren Smartphones dafür geeignet.
Bei jedem Tastaturanschlag entstehen kleine Vibrationen, für uns natürlich nicht spürbar. Das Smartphone verfügt jedochüber eine ganze Reihe empfindlicher Sensoren, die es sogar möglich machen, ein Smartphone als Belichtungsmesser zu benutzen, oder um den eigenen Herzschlag zu ermitteln. Der Beschleunigungssensor kann nun dazu verwendet werden diese Vibrationen aufzuzeichnen. Anhand der Reihenfolge und Intensität der Vibrationen lässt sich eine ungefähre Position des Anschlages berechnen. Danach wird in einem Wörterbuch gesucht welches Wort denn in Frage kommt und darauf abgeglichen. Wer jetzt sagt das klappt doch nie … die Entwickler geben eine Erfolgsquote von 80% an.
Das Verfahren lässt sich nicht mit jedem Smartphone umsetzen, es kommt auf die Qualität der Sensoren an. Mit einem iPhone 3 war es beispielsweise absolut nicht möglich die Vibrationen präzise aufzuzeichnen. Im iPhone 4 ist zusätzlich ein Gyroskop verbaut, was die Qualität des Beschleunigungssensors steigert. Wenn man sich nun die neueren Smartphones mal anschaut, ein Galaxy Nexus kommt ebenfalls mit einem Gyroskop, ein paar andere High-End Geräte haben ebenfalls eines verbaut.
Diese Art Vibrationen aufzuzeichnen ist nicht neu, es ist schon mit Hilfe des eingebauten Mikrofons möglich . Das Mikrofon ist um einiges empfindlicher als die Sensoren. Das große aber allerdings: Die Betriebssysteme fragen bei der Installation einer App, die auf das Mikro zugreifen wollen, nach und zeigen dies an. Bei den Sensoren ist das in der Regel nicht so, was einen Angriff einfacher werden lässt. Zwar muss auf dem Smartphone erst die entsprechende Software installiert sein um die Tastatur zu belauschen aber es ist durchaus möglich das Spyware im Market etc. landet, was die Vergangenheit oft genug gezeigt hat.
Sollte nun doch jemand Angst davor haben abgehört zu werden: Lasst das Handy einfach in der Hosentasche oder legt es nicht in de Nähe der Tastatur! 🙂
Was meint ihr? Haltet ihr solche Angriffe für eine ernstzunehmende Gefahr?
Es geistert durch die Onlinewelt, das unsichere Face Unlock, erstmals auf dem Samsung Galaxy Nexus zu sehen, lässt sich sogar mit einem Bild der im Gerät hinterlegten Person entsperren.
Nur warum ist das so und warum schreibt man aktuell soviel über die unsichere Funktion sein Gerät mit dem eignen Gesicht entsperren zu lassen. Schauen wir uns einfach mal an, wie Google auf Android.com Face Unlock bewirbt:
Android 4.0 introduces a completely new approach to securing a device, making each person’s device even more personal — Face Unlock is a new screen-lock option that lets users unlock their devices with their faces. It takes advantage of the device front-facing camera and state-of-the-art facial recognition technology to register a face during setup and then to recognize it again when unlocking the device. Users just hold their devices in front of their faces to unlock, or use a backup PIN or pattern.
Man nimmt die Phrase „securing a device“ in den Mund und spricht von der „state-of-the-art facial recognition technology„, kein Wunder also, dass man darüber spricht und vom unsicher redet – sollte man meinen.
Letzlich ist und kann Face Unlock, mit der verbauten Hardware, also keine 3D Kameras, kein Ersatz für eine biometrische Gesichtserkennung sein, das Gesicht wird nunmal ohne „Höheninformationen“ aufgenommen und gleich somit jedem Bild, egal ob nun auf dem Smartphonedisplay oder auf Fotopapier angezeigt.
Face Unlock kann also nur ein Bequemlichkeitsfeature sein, nicht mehr als die normale Bildschirmsperre, nur dass man die Frontkamera und das eigene Gesicht und nicht den Finger zum Entsperren nutzt. Ob das nun schneller geht, lasse ich bewusst offen, aber es erzielt sicherlich einen grösseren Aha-Effekt bei Zuschauern.
Android 4 Ice Cream Sandwich kommt jedoch mit anderen Sicherheitsfunktionen, die in meinen Augen dringend notwendig sind. Zwar konnte man schon lange VPN-Verbindungen anlegen, also direkte Zugänge in Netzwerke, meist natürlich das Firmennetz, aber keiner hat sich über die periphäre Sicherheit Gedanken gemacht. VPNs kommunizieren verschlüsselt durch eine Internetverbindung mit dem Zielnetz, was ist aber mit dem darauf zugreifenden Gerät. Daten, die man sich aus den Unternehmensnetzen zieht liegen unverschlüsselt auf dem Android Smartphone/Tablet, welches keinen eigenen Zugangsschutz aufweist.
Android Ice Cream Sandwich kommt mit der Möglichkeit zur Geräteverschlüsselung (siehe Screenshot) und mindestens genauso wichtig: Erstellt ein Benutzer eine VPN Verbindung, wird er dazu aufgefordert das Gerät mit einer PIN oder einem Passwort zu schützen, die Auswahl der reinen Bildschirmsperre oder eines Musters reicht hier nicht aus.
Leider werden solche neuen Sicherheitsfunktionen in den wenigsten Artikeln erwähnt, aber es klint auch besser wenn man schreiben kann „Face Unlock ist unsicher“.
Wie steht ihr zur Diskussion um Face Unlock für Android Ice Cream Sandwich, ein tatsächliches Problem oder viel Lärm um nichts?