Tag: Heartbleed-Fehler

Heartbleed-Fehler: Eine Welle von Phishing-E-Mails bezweckt das Ausspähen von Amazon-Kundendaten

Bei einer aktuellen Welle von Phishing-E-Mails verschicken Betrüger Nachrichten, die es auf Amazon-Kunden abgesehen haben. Die Täter versuchen, sich die Sicherheitsproblematik des Heartbleed-Fehlers zunutze zu machen: Die Nachrichten mit gefälschtem Absender fordern die Empfänger auf, ihr Amazon-Konto aus Sicherheitsgründen durch erneute Passworteingabe zu verifizieren.

Die Nachrichten tragen den Absender safer@amazon.de und können durch ihre Gestaltung gutgläubige Anwender durchaus täuschen. Um eine Sperrung des Amazon-Kontos zu vermeiden, fordern die Betrüger zu einem Verifizierungsprozess auf. Der in der E-Mail enthaltene Link leitet natürlich auf eine präparierte Internetseite der Angreifer weiter, auf der dann die Nutzerdaten ausgespäht werden sollen. Mit Hilfe dieser könnten die kriminellen Urheber entweder Waren bestellen oder an Zahlungsdaten gelangen.

Sollte es eine derartige Phishing-Mail durch den Spam-Filter schaffen, empfiehlt es sich, diese als Spam zu markieren und zu löschen. Amazon selbst fordert Kunden nicht zu einer derartigen Verifizierung auf. Anwender können außerdem auf einen Passwort-Manager zurückgreifen: Damit lassen sich einerseits sichere Passwörtern erstellen, außerdem speichert die Software ein Passwort immer an eine Internetadresse gebunden. Die automatische Anmeldung funktioniert dann nur auf der Originalseite, nicht aber auf einer gefälschten Seite von Betrügern.

Dem Autor Jakob Straub auf Twitter und Google+ folgen.

Passende Artikel

Quelle: Caschys Blog

Heartbleed-Fehler: Die OpenSSL-Sicherheitslücke betrifft noch unzählige Geräte wie Router und Internetdrucker

Der Heartbleed-Fehler und die dadurch verursachte Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL sind noch nicht ausgestanden. Experten der Universität in Michigan haben das Internet nach Geräten durchsucht, die sich durch Ausnutzung der Schwachstelle hacken lassen.

Ausfindig gemacht haben die Experten unzählige anfällige Router, Drucker-Server, Firewalls, Video- und Überwachungskameras, Cloudspeicher und weitere Geräte. Während die allermeisten Internetseiten bereits Sicherheitsupdates installiert haben, herrscht beim Internet der Dinge noch großer Nachholbedarf.

Der Informatiker Nicholas Weaver von der Universität von Kalifornien in Berkeley nennt die Zahl der betroffenen Geräte im höchsten Grade verstörend. Durch den Heartbleed-Fehler in Geräten sind sozusagen die Ränder des Internet durchlässig, also genau da, wo das Netz in unser tägliches Leben eingreift.

Firewalls, Router, Druck-Server und Video-Systeme

Besonders brisant ist die OpenSSL-Sicherheitslücke, wenn sie Geräte anfällig macht, die eigentlich erhöhte Sicherheit bieten sollen, also Router und Firewall-Lösungen zum Beispiel. Apple hat bereits Patches für zwei betroffene WLAN-Router herausgegeben. Nach der Auswertung ihres groß angelegten Scans von betroffenen Geräten verzeichnen die Sicherheitsexperten aus Michigan aber eine lange Liste, auf der sich Cloudspeicher von Western Digital, Drucker von HP, ein Videokonferenz-System von Polycom, Firewalls von WatchGuard und Speicher-Lösungen von Synology finden.

FortiGate ist eine angreifbare Firewall vom Anbieter Fortinet und ein gutes Beispiel dafür, wie eine fehlerhafte Sicherheitslösung mehr Daten preisgeben kann, als sie ursprünglich schützen soll. Der Hersteller hat die Anfälligkeit bestätigt und gibt eine Anleitung zur Ausbesserung. Ein Update ist aber nur manuell möglich.

Nicholas Weaver konnte über das Internet etliche Drucker-Modelle ermitteln, welche auf den Heartbleed-Fehler reagierten, darunter einige des Herstellers HP. Ein Sprecher von HP gab an, das Unternehmen arbeite an einem Firmware-Update, die Zahl der betroffenen Modelle sei klein.

Wie können sich Anwender schützen?

Wie betroffene Internetseiten auch, müssen viele der anfälligen Systeme und Geräte manuell von den Betreibern aktualisiert werden. Heimanwender sollten aber überlegen, welche Hardware mit Internetzugang sie zu Hause betreiben. Dazu können zählen unter anderem: Internet-Router, Firewall-Lösungen, Netzwerkfestplatten, WLAN-Drucker, Internetradios, Netzwerkplayer, Smart-TVs sowie intelligente Thermostate und Wetterstationen.

In den meisten Fällen ist eine Aktualisierung der Firmware des Gerätes nicht automatisch möglich. Die Installation eines Updates ist je nach Hardware unterschiedlich, eine Auseinandersetzung mit dem Handbuch oder einer entsprechenden Anleitung ist häufig erforderlich. Die Internetseiten des jeweiligen Herstellers können weiterhelfen, auch bei der Suche nach einem verfügbaren Software-Update.

Die gute Nachricht: Weaver und die Informatiker aus Michigan haben auch festgestellt, dass ein Großteil der Geräte, auf denen OpenSSL zum Einsatz kommt, nicht für den Heartbleed-Fehler anfällig sind. Entweder, weil sie eine fehlerfreie Version einsetzen, oder weil das fehlerhafte Modul nicht aktiviert ist.

Passende Artikel

Quelle: Wired.com

Heartbleed-Fehler in Android-Apps: Nur zwei Heartbleed-Scanner arbeiten zuverlässig

Die Sicherheitsexperten von FireEye haben sowohl Android-Apps als auch Heartbleed-Scanner zur Überprüfung auf die OpenSSL-Schwachstelle Heartbleed analysiert. Nach der Einschätzung von FireEye sind derzeit etwa 150 Millionen Downloads aus dem Google Play Store von der Sicherheitslücke betroffenen. Von 17 getetesteten Heartbleed-Scannern eigneten sich nur zwei zur Überprüfung von installierten Android-Apps.

Android an sich ist nicht von der Schwachstelle betroffen, mit der Ausnahme der Versionen 4.1 und 4.1.1 Jelly Bean sowie einigen Custom-ROMs. Auf der Ebene des mobilen Betriebssystems sind derzeit also rund fünf Prozent aller Android-Geräte angreifbar. Unabhängig von der installierten Version kann der Heartbleed-Fehler dennoch alle Android-Nutzer treffen, wenn der problematische Code in einer installierten App auftritt.

Spiele und Office-Apps

FireEye berichtet, dass es sich bei den meisten Apps mit einer fehlerhaften OpenSSL-Version um Spiele handelt. Die von Spielen übertragenen Daten sind selten sicherheitsrelevant. Allerdings ist bei einer Anbindung an Facebook, Twitter, Google+ oder sonstige soziale Netzwerke Vorsicht geboten. Theoretisch können Angreifer darüber Zugriff auf die verknüpften Profile gelangen.

Bei der Überprüfung von Office Apps stellten die Tester fest, dass einige zwar den Heartbleed-Fehler enthalten, in allen Fällen aber auf die Verschlüsselung des Betriebssystems zurückgreifen. Dadurch lässt sich die Schwachstelle nicht ausnutzen, selbst wenn sie vorhanden ist.

Heartbleed-Scanner im Test

FireEye hat keine Liste der anfälligen Android-Apps veröffentlicht und stattdessen die jeweiligen Entwickler informiert. Eine Überprüfung der 17 im Google Play Store angebotenen Heartbleed-Scanner ergab folgendes:

  • Lediglich sechs der getesteten Apps bieten auch die Möglichkeit zum Scannen von installierten Apps.
  • Von diesen sechs Anwendungen arbeiteten nur zwei zuverlässig beim Scan.
  • Etliche der Heartbleed-Scanner im Google Play Store sind Fälschungen und dienen einzig dem Anzeigen von Werbung.

Im Testzeitraum vom 10. Mai bis zum 17. Mai 2014 konnte FireEye einen Rückgang der Downloads von angreifbaren Apps verzeichnen. Das ist auf die Reaktion der Entwickler zurückzuführen, die nach und nach ihre Anwendungen mit einer fehlerfreien OpenSSL-Version aktualisieren. Die Zahl der betroffenen Apps nimmt insgesamt also ab.

Was können Anwender tun?

Unsere detaillierte Anleitung zeigt, wie die Überprüfung funktioniert. Nutzer einer anfälligen Android-Version müssen auf eine Aktualisierung des Betriebssystems warten. Google hat die fehlerfreien Versionen schon bereit gestellt. Nun liegt es bei den Anbietern, diese aktualisierte Android-Version auch auszuliefern. Informationen und Erklärungen zum Heartbleed-Fehler geben wir in unserer Zusammenfassung der OpenSSL-Sicherheitslücke.

Downloads

Passende Artikel

Quelle: FireEye