KW 34: Sicherheitsrisiko Mailto, Sicherheitslücke bei Microsofts Multi-Faktor-Authentifizierung, Android-Malware tarnt sich als Google-Update

NACHRICHTEN

Sicherheitsrisiko Mailto: Laut einer Publikation von Forschern der Ruhr-Universität Bochum und der Fachhochschule Münster können Mailto-Links ein unerwartetes Sicherheitsrisiko darstellen. Mit einem proprietären Feature könnte über den Mailto-Link direkt einen Dateianhang ausgewählt werden. Das Feature wird unter anderem von Kmail und Evolution, aber auch in Thunderbird unterstützt. Mailto-Links finden häufig Verwendung, wenn Mailadressen auf Webseiten klickbar gemacht werden sollen. Doch mit dem Parameter Attach könnten auch lokale Dateien an Mails angehängt werden. Hacker könnten das nutzen, um beispielsweise einen SSH- oder PGP-Key zu stehlen. Diese befinden sich üblicherweise in Standardpfaden. Natürlich könnte ein ungewöhnlicher Anhang Nutzern auffallen, aber höchstwahrscheinlich nicht immer. Das spezielle Feature für Dateianhänge ist nicht Teil der Standardspezifikation für Mailto-Links, sondern eine inoffizielle Erweiterung, einiger Mailprogramme.
golem.de

Schwachstellen von IoT-Devices im Smart-Home: Ein Sicherheitsforscher von SentinelLabs, hat vier Schwachstellen bei vernetzten Geräten von HDL Automation erkannt. Tausende Geräte waren vor Fernsteuerung durch Angreifer ungeschützt, was zum Eindringen in das Netzwerk, zur unbemerkten Ausschleusung von Informationen und sogar zu Ransomware-Angriffen führen kann. Durch ihre permanente Verbindung mit Heim- oder Firmennetzwerken sind IoT-Produkte immer auch eine mögliche Sicherheitsschwachstelle, weshalb ein genaues Verständnis für die mit dem Netzwerk verbundenen Geräte und die Absicherung der Endpunkte unabdingbar sind. HDL wurde auf die Schwachstellen hingewiesen, sie wurden gepatcht.
netzpalaver.de

Sicherheitslücke bei Microsofts Multi-Faktor-Authentifizierung: Entwicklern ist es gelungen, die Mehrfaktoren-Authentifizierung von Microsoft zu umgehen. Eine Anmeldung ohne Passwort ist in der Regel nur beim erfolgreichen Durchlaufen mehrerer Hürden möglich, die Onlinedienste sind per Fido-Stick und PIN beziehungsweise Fingerabdruckerkennung geschützt. Doch der Softwareriese prüfte nicht, ob Nutzer tatsächlich eine PIN eingegeben hatten, wodurch die Multi- zur Ein-Faktor-Authentifizierung gemacht werden konnte. Per NFC konnten sich die Entwickler als Eigentümer der Fido-Sticks anmelden. Inzwischen ist die Lücke geschlossen worden.
golem.de

– Anzeige –
Ihre Botschaft gut hörbar: Podcasts führen Ihren Siegeszug fort und bieten für Unternehmen, Medienhäuser und Privatpersonen eine neue Bandbreite an Möglichkeiten Menschen zu erreichen. In unserem Podcast-Studio in Berlin-Mitte können Sie Ihre eigenen Audio-Formate aufzeichnen. Gerne unterstützen wir Sie von der Konzeption bis zur Postproduktion und dem Vertrieb.
Kommen wir in Kontakt: podcastproduktion.berlin

Android-Malware tarnt sich als Google-Update: Die neue Malware “BlackRock” macht sich auf Android-Smartphones breit. Der Virus ahmt beliebte Apps wie Paypal, Instagram oder Tinder nach und stiehlt den Nutzern dabei sensible Daten. Sicherheitsforschern von Threat-Fabric zufolge sind aktuell insgesamt 337 Android-Apps betroffen. Der Virus scheint auf dem Quellquode der 2019er Malware “Xerxes” zu beruhen, allerdings wurde er so erweitert, dass er es nicht nur auf Banking- sondern auf eine Vielzahl weitere Apps und deren Daten abgesehen hat.
chip.de

Amazon schließt einige große Alexa-Sicherheitslücken: Forscher haben bei Amazons Sprachassistenz Alexa einige gravierende Sicherheitsmängel entdeckt. Wie das israelische Sicherheitsunternehmen Check Point mitgeteilt hat, liefen Nutzer Gefahr, mit nur einem Klick viele sensible Daten oder die Sprachaufzeichnungschronik zu verlieren. Auch öffneten die Sicherheitsmängel unbemerkter Überwachung Tür und Tor. Die Kalifornier reagierten umgehend und behoben die Fehler, die zu der Sicherheitslücke geführt hatten. Diese befanden sich wohl nicht in den zum Sprachassistenten gehörigen Lautsprecher, sondern in Amazons digitaler Infrastruktur.
t3n.de

DDoS-Angriffe mehren sich: Das Internet der Dinge ist aus vielen Branchen nicht mehr wegzudenken. Für Cyberkriminelle ergibt sich so ein reichhaltiges Betätigungsfeld. Denn bis zum Ende des Jahres sollen rund 20,4 Milliarden Endgeräte mit dem Internet verbunden sein – und diese bringen oft Einfallstore für DDoS-Attacken mit. Die Abkürzung steht für “Distributed Denial of Service” – Angreifer, aus der Ferne agierende Botnets, legen Systeme durch Überlastung lahm und stehlen Daten. Doch zudem können die gehackten Geräte auch für künftige Attacken in die Botnets integriert werden. Schon jetzt steigt die Zahl der Attacken merklich: 2019 gab es rund 8,4 Millionen DDoS-Attacken – mehr als 23.000 Angriffe pro Tag oder 16 pro Minute. Ziel der Angriffe waren zumeist Unternehmen. Tendenz: Steigend.
security-insider.de

– Anzeige –
Blockchain – Ticker – Mit unserem wöchentlichen Newsletter versorgen wir Sie mit den wichtigsten Entwicklungen im Bereich der Blockchain aus Technologie und Szene. blockchain-ticker.net

DefCon: SentinelOne identifiziert IoT-Schwachstellen – ferngesteuerte Übernahme möglich infopoint-security.de
Produktionsausfall: Hacker legen Osnabrücker Kupferverarbeiter KME lahm noz.de
Gemeinsame Sache: Israel und USA wollen gemeinsame Energie-Cybersicherheits-Projekte finanzieren timesofisrael.com
Sicherheit: Hacker-Kampagne gegen Finanzinstitute und Militär in Osteuropa gestartet it-finanzmagazin.de
Instagram: Biometrische Daten gesammelt? Instagram droht 500-Milliarden-Dollar-Strafe t3n.de

ZAHL DER WOCHE

42 Prozent aller Datenlecks sind laut einer neuen Studie auf nicht-eingespielte Sicherheitsupdates zurückzuführen.
t3n.de

HINTERGRUND

Fehlende Zusammenarbeit in Sachen Cybersecurity: IT-Sicherheitsteams und Chief Security Information Officer (CISOs) wurden durch das vermehrte Homeoffice in den letzten Monaten vor die Herausforderung gestellt, ihre Netzwerke angemessen zu schützen. Wer bereits über entsprechenden Schutz verfügte, konnte sich glücklich schätzen, doch für viele Unternehmen war dies eine große Herausforderung, insbesondere in Bereichen, in denen man es gewohnt ist Maschinen zu überwachen, zu steuern und die relative Sicherheit eines Vor-Ort-Netzwerks zu gewährleisten. Die Zukunft der Cybersecurity ist auch von Integration und Kooperation abhängig, durch die Schaffung einer größeren Interoperabilität zwischen den Produkten können Sicherheitsanbieter ihren Kunden einen Mehrwert durch ausgewogene Sicherheitssysteme schaffen, die mehr Schutz bieten und für weniger Stress sorgen, bieten. So könnten Teams langfristig intelligenter – statt immer noch härter – arbeiten.
it-daily.net

Deutsche Cyberagentur gegründet: In Halle (Saale) wurde in der vergangenen Woche die Agentur für Innovation in der Cybersicherheit gegründet. Unter Zusammenarbeit des Verteidigungs- und des Bundesinnenministeriums soll von Sachsen-Anhalt aus die innere und äußere Sicherheit verbessert werden. Geleitet wird die neue Cyberagentur von Christoph Igel, welcher zuvor am Deutschen Forschungszentrum für Künstliche Intelligenz (DFKI) arbeitete, bis er zur Bundeswehr wechselte. Die Agentur wird bis zum Jahr 2023 mit 350 Millionen Euro gefördert. Nach dem Vorbild der amerikanischen Defense Advanced Research Projects Agency (DARPA) soll sie ausgebaut und bis zu 100 Arbeitsplätze geschaffen werden.
golem.de

ZITAT

“Es gab auch Sicherheitslücken und Unklarheiten beim Datenschutz. Das hat auch den Blick dafür geschärft, wie wichtig digitale Souveränität ist. Denn von heute auf morgen waren hauptsächlich US-amerikanische Tools nutzbar.”
Der Programmbereichsleiter bei der Kommunalen Gemeinschaftsstelle für Verwaltungsmanagement (KGSt) Marc Groß, zu den Learnings, die es bezüglich der digitalen Kommunikation aus der Coronakrise zu ziehen gilt.
demo-online.de

– Anzeige –
livestreaming-berlin.tv – Social Distancing schränkt unsere sozialen Begegnungsräume ein. Um den Austausch untereinander zu fördern, braucht daher es digitale Alternativen. Wir unterstützen Sie dabei, Begegnungen online zu schaffen: mit virtuellen Konferenzen oder Event-Live-Streams bringen Sie den interkulturellen Austausch voran. Kommen wir in Kontakt! livestreaming-berlin.tv

SICHER?

Google leitet Nutzerdaten unaufgefordert an Behörden weiter: Eine wenig bekannte Abteilung – die Cybercrime Investigation Group (CIG) übermittelt laut einem Bericht des Guardian offenbar detaillierte Nutzerdaten an eine kalifornische Anti-Terror-Behörde. Google selbst nahm nicht zu dem Leak Stellung, ein Sprecher des Northern California Regional Intelligence Center (NCRIC) verwies darauf, dass die Meldung entsprechender Informationen auch über die Website der Behörde möglich sei. Die Daten würden “nach Bedarf verarbeitet und zwölf Monate lang gespeichert.”
golem.de

Newsletter anmelden

Melden Sie sich hier für unseren kostenlosen Newsletter an. Sie erhalten jede Woche den kompakten Digest mit dem wichtigsten Themen zu Safety und Security der Digitalisierung:

Safety-Security-Ticker

Weitere Digibriefings

Unsere Politbriefings