EDV-Sicherheit

Google hat mehr als 40 Schwachstellen in Android gepatcht. Eine davon wird aktiv ausgenutzt, eine andere gilt als kritisch und betrifft Qualcomm-Chips.

Die Entwickler geben an, die Sicherheitsprobleme in den DD-OS-Ausgaben 7.10.1.50, 7.13.1.20 und 8.3.0.0 gelöst zu haben. Bislang gibt es keine Berichte zu Attacken. Admins sollten aber nicht zu lange zögern.

Durch die Backdoor fließen nicht nur laufend Patientendaten nach China. Auch lassen sich die Geräte von dort aus vollständig kontrollieren.

Die US-Cybersicherheitsbehörde Cisa hat eine Warnung vor Patientenmonitoren des Typs Contec CMS8000 herausgegeben. In mehreren untersuchten Firmwareversionen ist demnach eine Backdoor zum Datenaustausch mit einer fest kodierten IP-Adresse enthalten. Einen effektiven Patch gibt es bisher nicht. Die Cisa empfiehlt, die Geräte vorsichtshalber vom Netz zu nehmen, um den Datenaustausch effektiv zu unterbinden.

Archiv

Bei dieser Ausgabe des Wettbewerbs haben sich die Sicherheitsforscher Infotainmentsysteme und Ladegeräte für E-Autos vorgenommen. Die Erfolgsquote war sehr hoch. Das Team PHP Hooligans attackierte etwa den Wall Connector von Tesla erfolgreich.
Das Synacktiv-Team nutze erfolgreich eine Schwachstelle im Infotainmentsystem Kennwood DMX958XR aus. Als Beweis ließen sie ein Video des Spiels "Doom" auf dem Bildschirm des Systems laufen.

Archiv

Der Fehler wurde demnach bereits im vergangenen Oktober gemeldet, nun erfolgt die koordinierte Veröffentlichung von Informationen. Die Sicherheitslücke schließt 7-Zip Version 24.09 oder neuer, die auf der Download-Seite von 7-Zip bereits seit Ende November vergangenen Jahres zum Herunterladen bereitsteht.
Da 7-Zip keinen integrierten Update-Mechanismus enthält, müssen Nutzerinnen und Nutzer der Software selbst aktiv werden und die aktualisierte Version herunterladen und überinstallieren. Andernfalls bleibt ihr System anfällig für diese hochriskante Sicherheitslücke. Im 7-Zip-Dateimanager lässt sich im Menü unter "Hilfe" – "Über 7-Zip ..." herausfinden, welche Version derzeit auf dem Rechner aktiv ist.

Archiv

ei der D-Trust GmbH ist es am 13. Januar 2025 zu einem Cyberangriff gekommen. Betroffen ist laut D-Trust das Antragsportal für Signatur- und Siegelkarten. Bei dem Angriff seien möglicherweise personenbezogene Daten von Antragstellern entwendet worden. "Ausgegebene Signatur- und Siegelkarten wurden nicht kompromittiert und können weiter genutzt werden. PINs, Passwörter, Zahlungsinformationen sowie andere Systeme sind nicht betroffen", heißt es in einer Pressemitteilung von D-Trust.

In einem Schreiben informieren die Geschäftsführer ihre Kunden darüber, dass zu den abgegriffenen Daten "Vor- und Nachname, E-Mail-Adresse, Geburtsdatum, ggfls. Adressdaten sowie ggfls. Nummer des Ausweisdokuments" gehören. Auf eine Anfrage, welche Kartentypen betroffen sind, hat D-Trust bisher nicht reagiert. Laut dem Hinweis eines Lesers sind zum Beispiel auch Signaturkarten für Tragwerksplaner (Bauingenieure) betroffen. Ob auch das Gesundheitswesen betroffen ist, ist unklar. Viele Kunden gehören zum Gesundheitswesen. Das Unternehmen stellt auch Signatur- und Siegelkarten für Ärzte, Apotheker und andere am Gesundheitswesen Beteiligte bereit, um digitale Dienste im Gesundheitswesen zu nutzen.

"Die elektronische Patientenakte startet trotz Sicherheitslücke in Teilen Deutschlands. Dokumente, die ZEIT ONLINE vorliegen, zeigen: Das Problem war schon länger bekannt. (...)

Die ePA läuft innerhalb eines geschlossenen Systems, der sogenannten Telematikinfrastruktur. In Arztpraxen und Krankenhäusern müssen Patienten ihre elektronische Gesundheitskarte in ein spezielles Lesegerät stecken, um der Praxis die Erlaubnis zu erteilen, auf die eigene ePA zugreifen zu dürfen. Dabei wird die Versichertennummer der jeweiligen Person ausgelesen und an einen Server geschickt. Allerdings – und das ist das Problem – wird sie dabei nicht verschlüsselt.

Ein Angreifer kann also beliebige Nummern an den zentralen Server schicken und bekommt die entsprechenden Akten zurück. Allerdings funktioniert das nur, wenn man bereits Zugriff auf die Telematikinfrastruktur hat. Dafür müssten sich Angreifer zum Beispiel eines der Terminals besorgen, die in Arztpraxen stehen, und eine spezielle Chipkarte, mit der sich eine Arztpraxis in der Telematikinfrastruktur anmeldet. (...)

Versichertenkarten und Arztausweise lassen sich einfach besorgen

Tatsächlich haben Tschirsich, Kastl und andere Fachleute in den vergangenen Jahren immer wieder öffentlich gezeigt, wie einfach man an Praxisausweise, Versichertenkarten und auch die benötigten sogenannten Konnektoren (also die Schnittstellen zur Telematikinfrastruktur) kommen kann. Mitunter genügte es, einer Versicherung eine E-Mail im Namen eines Versicherten zu schreiben, dass sich die eigene Adresse geändert habe, um eine Versichertenkarte an diese Adresse zugeschickt zu bekommen. Ähnlich funktionierte es mit Arztausweisen.

Gematik ignoriert Warnungen seit 2022 (...) "

DeepL:

Hier liegt das Problem: Googles OAuth-Anmeldung schützt nicht davor, dass jemand die Domain eines gescheiterten Startups kauft und sie verwendet, um E-Mail-Konten für ehemalige Mitarbeiter neu zu erstellen. Und während Sie nicht auf alte E-Mail-Daten zugreifen können, können Sie diese Konten verwenden, um sich bei all den verschiedenen SaaS-Produkten anzumelden, die das Unternehmen verwendet hat.

Ich habe nur eine dieser nicht mehr existierenden Domains gekauft und festgestellt, dass wir durch die Anmeldung bei den folgenden Diensten Zugriff auf alte Mitarbeiterkonten hatten:
ChatGPT
Slack
Notion
Zoom
HR-Systeme (mit Sozialversicherungsnummern)
Mehr...
Zu den sensibelsten Konten gehörten die HR-Systeme, die Steuerdokumente, Gehaltsabrechnungen, Versicherungsinformationen, Sozialversicherungsnummern usw. enthielten. Vorstellungsgesprächsplattformen enthielten ebenfalls sensible Informationen über Bewerber-Feedback, Angebote und Ablehnungen. Und natürlich enthielten Chat-Plattformen Direktnachrichten und alle Arten von sensiblen Informationen, die ein Angreifer niemals in die Hände bekommen sollte.

Archiv

Die Sicherheitskriterien für kryptografische Schlüssel ändern sich bisweilen. So etwa bei DKIM-Schlüsseln zur Signatur von Mailheadern: Eine Studie testete die DKIM-Informationen von mehr als 400.000 der populärsten Domains und stellte dabei fest, dass viele dieser Domains unsichere Schlüsselgrößen verwenden. Mit einem geknackten DKIM-Schlüssel schleusten die Forscher dann gefälschte Mails ein.
Das klappt jedoch nur, wenn Angreifer den privaten Schlüssel einer Domain nicht erraten können. Könnten sie das, wären sie in der Lage, eine DKIM-Signatur für jede beliebige, also auch eine gefälschte E-Mail, auszustellen. Die Ergebnisse des Tests zeigen: Falsch gewählte Schlüssel können die DKIM-Sicherheit aushebeln.

Eine Hackergruppe missbraucht eine Verschlüsselungsfunktion von AWS, um Kunden des Cloudanbieters zu erpressen. Ein permanenter Datenverlust droht.

Archiv

In Unternehmen haben Mitarbeiter im vergangenen Jahr fast dreimal so häufig auf Phishing-Links geklickt als noch 2023, wie aus Zahlen des Sicherheitsunternehmens Netskope hervorgeht. Über 0,8 Prozent der Angestellten folgte demnach einem solchen Link, im Vorjahr lag der Anteil bei unter 0,3 Prozent. Insbesondere Cloud-Speicher waren dabei die Ziele der Angreifer.

Ein Großteil der Unternehmen schult seine Mitarbeiter im Umgang mit Phishing. Dass sie dennoch gefälschte Links anklicken, führen die Forscher auf kognitive Ermüdung durch die hohe Anzahl der Phishing-Versuche und die Kreativität der Angreifer zurück. Nachgeahmte Websites seien inzwischen schwieriger zu erkennen als zuvor. Da das Bewusstsein für Phishing in E-Mails inzwischen hoch ist, stammen die meisten Klicks auf Links aus anderen Quellen.

Asus gibt an, die Sicherheitsprobleme in den Firmwares 3.0.0.4_386 series, 3.0.0.4_388 series und 3.0.0.6_102 series gelöst zu haben. Welche Routermodelle konkret betroffen sind, führt der Hersteller zurzeit nicht aus. Wer einen Asus-Router besitzt, sollte dementsprechend sicherstellen, dass die Firmware auf dem aktuellen Stand ist. Nicht mehr im Support befindliche Geräte bekommen keine Sicherheitsupdates mehr. An dieser Stelle sollte das Gerät gewechselt werden.

Archiv

User können mittels CSS in ihren E-Mails getrackt werden. Analog zu Nutzungsdaten im Web können Absender von Mails Daten erfassen und so Rückschlüsse auf das genutzte System ziehen. Das zeigt eine Untersuchung des CISPA Helmholtz-Zentrums für Informationssicherheit. So lassen sich in den Daten der Browser oder Mail-Client, das Betriebssystem und weitere installierte Programme erkennen. Auch die Systemsprache ist über das CSS-Tracking sichtbar.

Die Kombination aus Benutzername und Passwort ist zwar ein wichtiges Schutzprinzip im Internet, sorgt aber regelmäßig auch für Probleme: Passwörter sind schwer zu merken, jeder Account sollte ein individuelles Kennwort erhalten. Bei Datenleaks oder durch Phishing können sie dann doch gestohlen werden. Zahlreiche Onlinedienste und Hersteller werben immer häufiger für eine Technologie, die sicher und zugleich einfach sein soll - und Passwörter überflüssig macht.

Wenn von Passkey die Rede ist, ist ein passwortloses Anmelden gemeint. Das funktioniert wie folgt: Wenn Sie auf eines Ihrer Benutzerkonten bei einem Onlinedienst zugreifen möchten, müssen Sie zuerst bestätigen, dass dies tatsächlich Ihr Benutzerkonto ist. Heute nutzen Sie dafür wahrscheinlich ein Passwort, Sie haben aber auch die Möglichkeit, stattdessen einen Passkey zu verwenden. Einen Passkey richten Sie einmalig und mit wenigen Klicks in den Sicherheitseinstellungen der Webseite oder App ein.

Archiv

Zahlreiche Entwickler von Erweiterungen für den Google Chrome Browser wurden über Weihnachten Opfer eines Phishing-Angriffes – mit drastischen Konsequenzen: Unbewusst gewährten sie den Tätern Zugriff auf den im Chrome Web Store hinterlegten Quellcode ihrer Anwendungen. Die Cyberkriminellen nutzten das, um neue, schädliche Versionen der Chrome-Extensions zu hinterlegen. So erhielten sie Zugriff auf sensible Nutzerdaten auf rund 2,6 Millionen Geräten.

Microsoft sieht Bitlocker als sichere Methode für das Verschlüsseln von Laufwerken an. Offenbar ist das wohl nicht ganz die Wahrheit.

38C3-Vortrag: Windows BitLocker: Screwed without a Screwdriver

Video: 1080p | 576p - Dauer: 56 min

Ever wondered why your web server seems to be under constant attack from what feels like everyone on the internet?

Me too!

Join me in this session where we'll explore the data of millions of attacks from hundreds of sensors around the world, to identify who is attacking us from where and why. Additionally, we will have a look into how we can use that data to get abusive systems taken down, and how successful this approach actually is.

Video: 1080p - Duration: 61 min

Note: German audio track should be available.