Tag: Sicherheit

Apple schließt drei Sicherheitslücken, neues Twitter-Design und OS X Mavericks Beta für alle

Apple schließt Sicherheitslücken in iOS, Mac OS und einigen WLAN-Routern, Twitter bringt das neue Design der Web-Version mit größeren Profilbildern für alle Nutzer, und die Beta-Version von Mac OS X Mavericks können jetzt alle Anwender testen – der Nachrichtenüberblick.

Neues Twitter-Design für alle: Vor kurzem hat Twitter für einige Nutzer ein neues Design der Web-Version ausgeführt. Jetzt erhalten alle Profile größere Fotos und Hintergrundbilder. Tweets lassen sich jetzt besser filtern und anheften. Außerdem fasst Twitter die besten Kurznachrichten zusammen und hebt beliebte Tweets automatisch hervor.

WhatsApp erreicht 500 Millionen Nutzer: Knappe fünf Jahre nach dem Start hat WhatsApp 500 Millionen aktive Nutzer erreicht. Damit hat der Messenger seit der Facebook-Übernahme im Februar 50 Millionen neue Nutzer gewonnen. Das soziale Netzwerk brauchte ein halbes Jahr länger, um die halbe Milliarde Nutzer zu erreichen.

OS X Mavericks Beta: Bisher konnten nur Entwickler die Beta-Version der neuen Ausgabe von OS X Mavericks testen. Jetzt öffnet Apple das OS X Beta Seed Program für alle Nutzer. Nach einer kostenlosen Registrierung kann jeder die Vorab-Version ausprobieren.

Windows Phone 8.1: Bereits über eine Millionen Mal haben Nutzer die Vorab-Version für Entwickler von Microsofts mobilem Betriebssystem installiert. Das Unternehmen hat Windows Phone 8.1 auf der BUILD-Konferenz 2014 vorgestellt und noch nicht offiziell veröffentlicht. Für den täglichen Gebrauch scheint es aber schon geeignet.

PGP-Verschlüsselung für Gmail: Google sucht nach Wegen, um Gmail-Nutzern die Verschlüsselung von E-Mails zu erleichtern. Die Verschlüsselungssoftware Pretty Good Privacy (PGP) ist bereits kompatibel mit Gmail. Jetzt will Google die Anbindung an den eigenen E-Mail-Dienst drastisch vereinfachen.

Google Chrome Stars: Google testet eine neue Funktion für Chrome zum Favorisieren von Internetseiten. Unter dem Code-Namen Google Stars und Google Collections experimentiert das Unternehmen mit dem einfachen Speichern, Teilen und Organisieren von Inhalten über reine Lesezeichen hinaus.

Updates

Apple schließt drei Sicherheitslücken: Mit dem Update auf iOS 7.1.1 schließt Apple eine Schwachstelle im mobilen Betriebssystem, die Angreifern das Umgehen von Verschlüsselungsmechanismen erlaubt und so das Mitlesen von Datenverkehr erlaubt. Ein Patch für Mac OS X schließt ebenfalls eine Sicherheitslücke, mit der Internetseiten Schadsoftware ausführen können. Außerdem sind die neuesten Modelle der WLAN-Router AirPort Extreme und Time Capsule vom Heartbleed-Fehler betroffen. Apple bessert hier ebenfalls mit einem Patch nach.

Spiele

Minecraft 1.8 Terrain Generator: Mojang zeigt den Terrain Generator von Minecraft 1.8 in einem Video. In der neuen Minecraft-Ausgabe können Spieler mit 16 verschiedenen Reglern die Landschaft nach ihren Vorstellungen formen. Minecraft 1.8 bringt auch die Möglichkeit zur Namensänderung, ein Veröffentlichungstermin steht noch nicht fest.

Batman Arkham-Serie: Gerüchten zufolge könnte sich die Veröffentlichung von Batman: Arkham Knight bis 2015 verzögern. Dafür hat Batman: Arkham Origins die Spielerweiterung Cold, cold heart erhalten, bei der Batman gegen den eiskalten Mr. Freeze antreten muss.

Grand Theft Auto V PC-Version: Fans wollen den Hersteller Rockstar Games mit einer Unterschriftenaktion zur Veröffentlichung des fünften Teils von Grand Theft Auto für PCs bewegen. Die Petition hat inzwischen fast 700.000 Unterschriften erreicht. Fraglich bleibt natürlich, ob sich Rockstar davon beeindrucken lässt.

Android Sicherheitslücke: Berechtigung ermöglicht Phishing-Angriff durch Verändern von Verknüpfungen

Eine Android-Sicherheitslücke erlaubt das Verändern von Icons auf dem Homescreen. Angreifer können diese Schwachstelle für Phishing-Attacken ausnutzen, indem sie bereits vorhandene Icons auf Schadsoftware oder präparierte Internetseiten umleiten. Google behebt das Problem mit einem Patch, den das Unternehmen allerdings noch ausliefern muss.

Das Problem sind vermeintlich ungefährliche Berechtigungen

Die Sicherheitsexperten von FireEye haben die Lücke entdeckt. Das Problem liegt in zwei Android-Berechtigungen, die das Verändern der Launcher-Konfiguration erlauben. Android stuft diese lediglich als normal ein, das heißt als vermeintlich ungefährlich. In der Folge kann eine Anwendung diese Berechtigung einfordern, ohne den Nutzer informieren zu müssen.

Durch Zugriff auf die Konfiguration des Launchers kann eine App bestehende Icons modifizieren und auch umleiten. FireEye hat demonstriert, dass eine im Google Play Store erhältliche App die Schwachstelle ausnutzen kann. Ein mögliches Szenario für einen Angriff ist die Weiterleitung auf eine vorbereitete Internetseite, die dann Nutzerdaten abfragt und ausspäht.

Betroffene Versionen und Fehlerbehebung durch Google

Im Test waren unterschiedliche Android-Versionen betroffen, darunter Android 4.3 Jelly Bean und Android 4.4.2 KitKat. Eine vollständige Liste hat FireEye nicht veröffentlicht, es ist aber davon auszugehen, dass die Schwachstelle in vielen Versionen zu finden ist.

Google hat das Problem erkannt und bessert die Sicherheitslücke mit einem Patch aus. Das Unternehmen hat die Lösung bereits an Hardware-Partner und Mobilfunkanbieter verteilt. Allerdings müssen Anwender auf die nächste Aktualisierung des mobilen Betriebssystems warten, um die Neuerung auch zu erhalten. Besitzer eines Nexus-Gerätes erwarten das Update auf Android 4.4.3 in Kürze, das unter anderem weitere Fehlerbehebungen bringen wird.

Was können Anwender tun?

Softonic hat mit dem Sicherheitsexperten Geoff Casely von NQ gesprochen. Zum Schutz von Android-Geräten gibt er folgende Tipps und Ratschläge:

  • Bei der Installation von Apps sollten Anwender darauf achten, welche Icons und Verknüpfungen auf dem Homescreen angelegt werden.
  • Um ganz sicher zu gehen, nicht Opfer einer bösartigen Weiterleitung zu werden, können Nutzer auf Lesezeichen und Favoriten auf dem Homescreen in der Form von Icons verzichten.
  • Umleitungen können auch vermieden werden, indem man eine zu besuchende Internetseite selbst öffnet: Entweder durch das Eintippen der Adresse im Browser, oder durch ein selbst gesetztes Lesezeichen im Browser selbst.
  • Es kommt häufig vor, dass Anwendungen zusätzliche Icons mit Verknüpfungen zu Web-Apps auf dem Homescreen anlegen. Meistens leiten diese einfach auf eine Internetseite mit einer Anzeige weiter, um Werbeeinnahmen zu generieren.
  • Eine mobile Sicherheitsapp kann zusätzlichen Schutz bieten durch das Scannen und Analysieren von Verknüpfungen und Web-Apps auf dem Homescreen.

Update 17.04.2014 11:00 Uhr: Softonic hat den Sicherheitsexperten Geoff Casely von NQ zur beschriebenen Problematik befragt. Eine Zusammenfassung seiner Antwort wurde im Artikel eingefügt.

Downloads

NQ Mobile Security & Antivirus für Android herunterladen

Lookout Security & Antivirus für Android herunterladen

avast! Mobile Security & Antivirus für Android herunterladen

Passende Artikel

Quelle: Computerworld

Phishing-E-Mails: Das BSI warnt vor gefälschten Nachrichten

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) warnt vor einer Welle von betrügerischen E-Mails. Kriminelle verschicken Nachrichten mit gefälschtem Absender im Namen des BSI und fordern zum Download eines Formulars auf. Wer derartige E-Mails erhält, sollte diese sofort löschen – dahinter steckt eine Phishing-Attacke zum Ausspionieren von Nutzerdaten.

Das echte BSI weist in einer Stellungnahme auf der offiziellen Internetseite darauf hin, dass die beschriebenen Nachrichten oder ähnliche nicht vom BSI selbst stammen.

Die gefälschten E-Mails zählen angebliche Rechtsverstöße auf. Um rechtliche Schritte zu vermeiden, sollen die Empfänger ein Formular herunterladen und ausfüllen.

Der enthaltene Link leitet aber auf eine vorbereitete Internetseite weiter, die das Ausspähen von Nutzerdaten zum Zweck hat. Wer eine solche Nachricht mit dem Betreff “Wichtige Info bezüglich Ihrer IP-Adresse” vom vermeintlichen Absender info@bsi.bund.de erhält, sollte diese ohne Antwort löschen.

BSI: Beispiel einer Phishing-E-Mail mit gefälschtem AbsenderBSI: Beispiel einer Phishing-E-Mail mit gefälschtem Absender

Das BSI rät allen Nutzern, die doch das Formular heruntergeladen haben, ihren Rechner mit einem Virenscanner auf Schadsoftware zu überprüfen. Die Bundesbehörde gibt außerdem allgemeine Informationen zu Phishing-E-Mails. Zuletzt stellte das BSI einen Sicherheitstest zur Verfügung, mit dem Nutzer abfragen können, ob sie vom groß angelegten Fall von Datendiebstahl betroffen sind. Fahnder hatten 18 Millionen gestohlene E-Mail-Konten ausfindig gemacht, drei Millionen davon in Deutschland.

Passende Artikel

Quelle / Bild: Bundesamt für Sicherheit in der Informationstechnik

Google Verify Apps: Schadsoftware auf dem Android-Handy soll durch Scan verhindert werden

Ende Februar hat Google eine Verbesserung der Überprüfung von Android-Apps auf Schadsoftware angekündigt. ÜberVerify Apps überprüft das mobile Betriebssystem installierte Apps fortlaufend im Hintergrund. Die Überwachung schützt Geräte mit Android 2.3 und höher.

Bisher hat Verify Apps neue Anwendungen nur zum Zeitpunkt der Installation auf dem Gerät überprüft. An dieser Kontrolle ändert sich nichts, aber die Google Play-Dienste führen diese Überprüfung jetzt ständig im Hintergrund aus. Ein Scan analysiert die Apps auf dem Android-Geräten und gleicht die Ergebnisse mit einer Datenbank von bekannter Schadsoftware ab. Bei einem Treffer alarmiert Android den Nutzer.Google Verify Apps Android Scan

Diese Überprüfung durch Verify Apps nach der Installation hat zwei Gründe: Anwendungen können Schadsoftware enthalten, die sich erst zu einem späteren Zeitpunkt als solche offenbart. Außerdem können Apps nach der Installation Software nachladen und so schädliche Komponenten einschleusen. Mit der ständigen Überprüfung wirkt Verify Apps beiden Gefahren entgegen.

Nach Aussage von Google haben im vergangenen Jahr lediglich 0,18 Prozent aller installierten Apps eine Warnung ausgelöst. Das Unternehmen geht davon aus, dass die Zahl auch in Zukunft nicht dramatisch ansteigt.

Passende Artikel

Quelle / Bild: Android Official Blog

Android-Scan gegen Schadsoftware, Family Guy für Android und iOS, Plattenfirmen verlieren P2P-Klage

Google bietet Android-Nutzern mehr Schutz vor Schadsoftware und scannt installierte Apps permanent im Hintergrund, Family Guy: Mission Sachensuche ist für Android und iOS erschienen und internationale Plattenfirmen verlieren eine Peer-to-Peer-Klage auf 13 Millionen Euro in Spanien – der Nachrichtenüberblick.

  • Google verbessert App-Scannen: Google integriert jetzt das angekündigte Scannen von Android-Apps im Hintergrund. Google Verify Apps gleicht installierte Apps mit einer Datenbank ab und warnt bei einem Fund von Schadsoftware.
  • Twitter Popups im Web: Der Kurznachrichtendienst führt in der Web-Version Popup-Benachrichtigungen ein. Für Ereignisse wie neue Direktnachrichten, Retweets oder Favoriten können Anwender auf Wunsch Popups erhalten, die das direkte Beantworten erleichtern.
  • Heartbleed-Fehler: Ein deutscher Entwickler ist für den Heartbleed-Fehler und die OpenSSL-Sicherheitslücke verantwortlich. Als Reaktion auf Anschuldigungen hat er sich jetzt geäußert und bezeichnet den fehlerhaften Quellcode als Versehen.
  • WhatsApp-Deal mit Facebook: Die Kartellbehörde FTC in den USA hat die Übernahme von WhatsApp durch Facebook gebilligt. Bedingung ist aber, dass WhatsApp sich an die eigenen Versprechen hält. Ohne Zustimmung der Nutzer darf die Messenger-App keine Daten an Facebook weitergeben.
  • Plattenfirmen verlieren P2P-Klage: Auf 13 Millionen Euro verklagten Sony, Universal und Warner Music den P2P-Dienst Bluster, die spanische Ausgabe von Napster. Jetzt fiel das Urteil zugunsten des Entwicklers aus und die Gerichtsentscheidung könnte zum Präzedenzfall für Europa werden.
  • Zugradar der Deutschen Bahn: Bahn-Kunden können jetzt Züge und S-Bahnen per App für Android, iOS und Windows Phone verfolgen. Die Anwendung funktioniert wie die Web-Version des Zugradars und zeigt Standort sowie Ankunfts- und Abfahrtszeiten von Zügen an.
  • Escape from Windows XP: Windows XP ist Geschichte. Oder doch nicht? Ein Gemeinde von hartnäckigen XP-Anwendern hält am betagten Betriebssystem fest. Microsoft will mit dem Browser-Spiel Escape from Windows XP zum Wechsel animieren.

Updates

Spiele

  • Family Guy für Android und iOS: Das Spiel zur TV-Serie ist jetzt für Android und iOS verfügbar. Wie auch bei Die Simpsons: Springfield ist es Aufgabe des Spielers, in Family Guy Mission Sachensuche die Stadt Quahog wieder aufzubauen.
  • Titanfall Patch: Ein großes Update für Titanfall verbessert das Gameplay für PC und Xbox One. Außerdem sind mit der Aktualisierung private Matches mit Freunden möglich.
  • Sim City 4 Deluxe: Die vierte Ausgabe der Städtebau-Simulation ist jetzt für Mac erschienen. Sim City 4 Deluxe bietet einen Detailreichtum, der besonders auf großen Bildschirmen schön zur Geltung kommt.
  • Roller Coaster Tycoon Mobile: Die vierte Ausgabe des Vergnügungspark-Simulators Roller Coaster Tycoon ist jetzt für iOS erschienen. Roller Coaster Tycoon 4 Mobile bietet dem Spieler Missionen und neue Attraktionen für den Park.
  • Age of Empires: Microsoft hat das beliebte Spiel Age of Empires jetzt auch für Windows Phone angekündigt. In der mobilen Ausgabe gibt es eine intuitive Touch-Steuerung, über 100 Helden und die Möglichkeit, Freunde zum Kampf herauszufordern.

Heartbleed-Fehler: Informationen zur OpenSSL-Sicherheitslücke und Listen der betroffenen Seiten

Der Heartbleed-Fehler wurde schon vielfach zur größten Sicherheitslücke in der Geschichte des Internet erklärt. Ein Fehler in einem Modul der weit verbreiteten Kryptographie-Bibliothek OpenSSL lässt sich zum Ausspähen des verschlüsselten Datenverkehrs ausnutzen. Seit Bekanntwerden der Schwachstelle aktualisieren Webdienste ihre Server. Anhand von Listen können Anwender überprüfen, welche Internetseiten die Sicherheitslücke schon behoben haben und welche eventuell noch betroffen sind.

Passwort erst nach der Fehlerbehebung ändern

Der Fehler lässt sich durch eine Aktualisierung der OpenSSL-Version beheben. Diese Aktualisierung müssen aber die Seitenbetreiber vornehmen. Nutzer können nur kontrollieren, wer dies bereits getan hat, und welche Seiten erst gar nicht betroffen waren. Wichtig ist aber, Passwörter und Zugangsdaten erst nach der Fehlerbehebung zu aktualisieren. Da der Fehler jetzt weit bekannt ist, sollte man das Eingeben von Passwörtern und vertraulichen Informationen auf anfälligen Seiten vermeiden – auch das Ändern der Zugangsdaten. Wir fassen in einer detaillierten Anleitung zusammen, wie Sie Ihre Internetkonten wieder sicher machen.

Google: Fast alle Dienste aktualisiert, nur Android 4.1.1 ist betroffen

Google gibt auf dem Sicherheitsblog des Unternehmens bekannt, dass fast alle Dienste bereits aktualisiert sind. Dazu zählen Gmail, Google Play, die Google Suche, Apps und YouTube. Chrome und ChromeOS sind nicht betroffen. Android ist so gut wie sicher, lediglich die Version 4.1.1 weist die Sicherheitslücke auf. Google hat hier den Softwarepatch bereits fertig gestellt und arbeitet mit Geräteherstellern und Mobilfunkunternehmen zusammen, um die Aktualisierung auszuliefern.

Listen der betroffenen Seiten

Inzwischen haben viele Anbieter bekannte Internetseiten und Portale auf die Schwachstelle geprüft. Mithilfe eines Test-Skripts haben Entwickler auf dem Portal Github eine lange Liste von betroffenen Servern zusammengetragen. Auch die Hersteller des Passwort-Managers LastPass bieten eine Liste an, außerdem stellen sie einen Heartbleed-Test zur eigenen Überprüfung beliebiger Seiten zur Verfügung. Mashable bietet eine Übersicht beliebter sozialer Netzwerke und Portale und zeigt denn aktuellen Status an.

Insgesamt lässt sich nur in etwa abschätzen, wie viele Internetseiten und Server durch den Heartbeat-Fehler angreifbar sind oder waren. OpenSSL kommt auf rund zwei Dritteln aller Internetseiten weltweit zum Einsatz. Die Schwachstelle befindet sich aber im sogenannten Heartbeat-Modul – daher der angelehnte Name Heartbleed. Dieses Modul ist weit weniger verbreitet und betrifft rund 17 Prozent aller SSL-Server. Die Schwachstelle macht aber die Kommunikation eines betroffenen Servers mit geschützten Servern angreifbar.

Sicherheitsexperte von Microsoft arbeitet für die Entdecker des Heartbeat-Fehlers

Sicherheitsexperten von Codenomicon haben den Heartbeat-Fehler entdeckt und eine entsprechende Informationsseite eingerichtet. Server-Administratoren haben kritisiert, dass Codenomicon die Schwachstelle öffentlich publiziert hat, bevor einige Betroffene reagieren konnten. Howard Schmidt, der Aufsichtsratsvorsitzende bei Codenomicon, hatte vorher den Posten des höchsten Sicherheitsbeauftragen, und zwar bei Microsoft. Für Jacob Appelbaum vom Anonymisierungsdienst Tor ist das kein Zufall, ebenso wenig wie der Zeitpunkt der Veröffentlichung.

Der Heartbleed-Fehler bestand seit zwei Jahren, aber genau am 8. April 2014 geht Codenomicon damit an die Öffentlichkeit, mit einer eigenen Internetseite und einem Logo. Zum gleichen Zeitpunkt veröffentlicht Microsoft die letzten Sicherheitsupdates für Windows XP. Howard Schmidt ist nach wie vor Mitglied der Abteilung für Sicherheitsentwicklung von Microsoft.  Aus der Linux-Gemeinde werden daher Stimmen laut, dass die Heartbleed-Bekanntmachung auch die Sicherheit von Linux und Open-Source anschwärzen will.

Passende Artikel

Quelle: Google Online Security Blog | LastPass | Mashable | Techrights | Github

OpenSSL-Sicherheitslücke: Auf welchen Internetseiten tritt der der Heartbleed-Fehler auf?

Der sogenannte Heartbleed-Fehler stellt eine gravierende Sicherheitslücke dar und betrifft unzählige Internetseiten und Server. Eine Liste mit bekannten Internetseiten gibt Einblick, wer von dem Sicherheitsproblem betroffen ist. Eine eingerichtete Testseite zur eigenen Überprüfung ist wegen der hohen Nachfrage immer wieder überlastet.

Was ist der Heartbleed-Fehler?

Der Fehler tritt im Heartbeat-Modul der Kryptographie-Bibliothek OpenSSL auf, die weit verbreitet und auf vielen Servern zur Verschlüsselung des Datenverkehrs im Einsatz ist. Durch die Schwachstelle können Angreifer den Arbeitsspeicher des Servers auslesen. Dadurch werden die Schlüssel preisgegeben und der gesamte Datenverkehr lässt sich ausspähen. Die Sicherheitsexperten von Codenomicon, die den Fehler entdeckt haben, tauften die Sicherheitslücke Heartbleed.

Welche Internetseiten sind betroffen?

Eine vollständige Liste von betroffenen Seiten gibt es zu diesem Zeitpunkt nicht. Ein Update zur Behebung der Sicherheitslücke steht schon zur Verfügung. Viele Server-Administratoren haben reagiert, wodurch die Gesamtanzahl der anfälligen Seiten also abnehmen sollte. Nach Stand vom 8. April 2014 zählten Yahoo, Flickr, OKCupid, Imgur und Eventbrite zu bekannten Seiten, auf denen eine anfällige OpenSLL-Version läuft. Mit dem Heartbleed Test lassen sich Seiten überprüfen, allerdings arbeitet der Test wegen der hohen Nachfrage nicht immer zuverlässig. Mehrere Listen zeigen die häufigsten Abfragen und das entsprechende Ergebnis.

Warum ist der Fehler so schwerwiegend?

Der Heartbleed-Fehler besteht seit 2011 und betrifft alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f. Die Kryptographie-Bibliothek kommt auf auf geschätzten zwei Dritteln aller Server im Internet zum Einsatz. Zusätzlich lässt sich das Ausnutzen der Sicherheitslücke nicht nachvollziehen, es kann also nicht festgestellt werden, welche Daten eventuell ausgespäht wurden. Die Art des Fehlers ist selten, da durch die Lücke mehr Daten gefährdet sind als ursprünglich geschützt werden sollten. Im Endeffekt ist eine fehlerhafte OpenSSL-Verschlüsselung also schlechter als gar keine Verschlüsselung.

Was können Anwender tun?

Es empfiehlt sich, häufig genutzte Seiten zu kontrollieren: Welche Verschlüsselungsmethode kommt zu Einsatz? Falls OpenSSL im Einsatz ist, welche Version? Wurde der Heartbleed-Fehler schon behoben? Das Ändern wichtiger oder sogar aller Passwörter ist nie falsch, jedoch sollte es in jedem Fall nach dem Update auf die fehlerfreie OpenSLL-Version 1.0.1f erfolgen. Anwender müssen keine Software auf ihren Rechnern nicht aktualisieren. Doppelte Verschlüsselung hilft auch: Sobald zusätzlich eine zweite Verschlüsselung wie zum Beispiel Perfect Forward Secrecy (PFS) zum Einsatz kommt, besteht keine Anfälligkeit für den Heartbleed-Fehler. PFS-Verbindungen nutzen unter anderem Posteo und Strato, bei T-Online und United Internet, also GMX und Web.de, ist die Einführung geplant.

Passwort ändern

Inzwischen sind einige Online-Dienste dazu übergegangen, nach Schließen der Sicherheitslücke zur Änderung des Passwortes aufzufordern. Wegen der Aktualisierung hat Minecraft-Hersteller Mojang gestern die Server für einige Zeit heruntergefahren. Heute rät Mojang seinen Nutzern, ihre Passwörter für Minecraft zu ändern. Auch Soundcloud ergreift entsprechende Maßnahmen: Alle Nutzer der Musik-Plattform werden im Laufe des heutigen Tages abgemeldet. Beim erneuten Anmelden erhalten Sie eine Aufforderung zur Passwort-Änderung.

Update 09.04.2014 15.30 Uhr: Wir haben Informationen zur Passwort-Änderung bei Minecraft und Soundcloud eingefügt.

Passende Artikel

Quelle / Bild: Heartbleed | Github

Via: GigaOM

Heartbleed-Fehler betrifft viele Internetseiten, Facebook-Privatsphäre, Windows 8.1 Update 1

Inzwischen gibt es eine Liste bekannter Internetseiten, welche die Sicherheitslücke und der Heartbleed-Fehler betrifft, Facebook testet neue Einstellungen zur Privatsphäre und Microsoft hat Windows 8.1 Update 1 veröffentlicht – der Nachrichtenüberblick.

  • Heartbleed-Fehler und OpenSSL: Eine massive Sicherheitslücke in der Kryptographie-Bibliothek betrifft viele Internetseiten. Inzwischen zeigt eine Liste, welche bekannten und wichtigen Seiten vom sogenannten Heartbleed-Fehler betroffen sind.
  • Facebook Privatsphäre-Einstellungen: Facebook ändert die Einstellungen zur Privatsphäre, um Nutzern die Kontrolle über ihre Inhalte zu erleichtern. Damit ist es leichter, Posts nur mit einer bestimmten Zielgruppe zu Teilen. Außerdem will Facebook Nutzer mit Popups darauf hinweisen, ihre Einstellungen öfters zu kontrollieren.
  • YouTube-Sperre in der Türkei: Die Blockade von YouTube in der Türkei ist zwar noch aktiv, dafür wurde aber die Sperre mehrerer DNS-Server aufgehoben, darunter Google und OpenDNS. Dadurch wird es für türkische Nutzer wieder leichter, die Sperre zu umgehen.
  • EU kippt Vorratsdatenspeicherung: Der Europäische Gerichtshof in Luxemburg hat das umstrittene EU-Gesetz zur Vorratsdatenspeicherung für verfassungswidrig erklärt. Die Regelung verstößt gegen EU-Recht und muss auf das Notwendigste beschränkt werden, fordert das Gericht.

Updates

  • Windows 8.1 Update 1: Microsoft hast die erst Aktualisierung für Windows 8.1 veröffentlicht. Das Update 1 verbessert die Bedienung des Betriebssystems mit der Kachel-Oberfläche für Anwender ohne Touch-Steuerung.
  • Chrome: Google hat den Browser für Windows und Mac aktualisiert. Neben Fehlerbehebungen bringt Chrome 34 neue Web-Apps und ein neues Design für Windows 8 Modern UI.

Spiele

  • Minecraft 1.7.6: Mojang veröffentlicht heute die neue Version 1.7.6 von Minecraft. Die Aktualisierung führt eine eindeutige Nutzer-ID ein und ist daher nicht mit Minecraft 1.7.5 kompatibel. Das Update stand bisher schon als Vorab-Version zur Verfügung.
  • The Walking Dead: Zwei Jahre nach dem Start des Spiels ist die erste Staffel von The Walking Dead auch auf Android angekommen. Das Spiel an sich ist kostenlos, die einzelnen Episoden müssen aber über In-App-Käufe freigeschaltet werden.
  • Rennspiel The Crew: Im Herbst startet The Crew, ein Massively Multiplayer Online-Rennspiel. Im vergangenen Jahr hat Ubisoft The Crew bereits auf der E3 vorgestellt, der Start hat sich aber verzögert. Das Spiel erscheint für PC, PlayStation 4 und Xbox One.

Virus Shield: Mit Abzocke statt Virenschutz hatte die Android-App Erfolg

Die kostenpflichtige Android-App Virus Shield hat es innerhalb kürzester Zeit an die Spitze der Charts im Google Play Store geschafft. Allerdings handelte es sich bei der Anwendung nicht wie angegeben um einen Virenscanner. Virus Shield zockt Nutzer ab und bietet keinen Schutz vor Viren oder Schadsoftware. Google hat die App aus dem Play Store entfernt, die Entwickler wollen die Beträge zurückerstatten.

Android Police hat den Quellcode der App analysiert und festgestellt, dass es sich bei Virus Shield um einen Betrug handelt. Die App verspricht 1-Klick-Schutz vor Viren und Malware, Datenschutz und minimalen Akkuverbrauch. Die Anwendung täuscht all diese Funktionen aber nur vor. Statt das Smartphone wirklich zu überprüfen zeigte sie nur ein Bild an, als ob alles in Ordnung sei.Virus Shield X und Haken

Google hat Virus Shield inzwischen aus dem Play Store entfernt. Allerdings erzielte die Anwendung in nur zwei Wochen mehr als 10.000 Installationen bei einem Preis von 3,99 US-Dollar beziehungsweise Euro. Die Entwickler wollen die Einnahmen zurückerstatten. Nach eigener Aussage haben die Hersteller versehentlich eine frühe Version ohne Funktionalität im Play Store angeboten. Als Entschädung überlegen die Entwickler, die Vollversion kostenlos verfügbar zu machen.

Google überprüft jede App, bevor sie im Play Store angeboten wird. Zusätzlich scannen die Google Play-Dienste von Android installierte Apps fortlaufend im Hintergrund. Allerdings kann diese Überprüfung nur Schadsoftware finden. Virus Shield stellt keine Gefahr oder Schaden für das System dar. Der Schaden findet sich lediglich im Geldbeutel des geprellten Nutzers, der eine bezahlte Funktion nicht erhält.

Update 11.04.2014 12:00 Uhr: Wir haben die Information zur Stellungnahme der Entwickler von Virus Shield zum Artikel hinzugefügt.

Passende Artikel

Quelle: Artem Russakovskii auf Google+ | The Guardian

Via / Bild: Android Police

Verschlüsselung: Mehr als die Hälfte aller Internetseiten betrifft die OpenSSL-Sicherheitslücke Heartbleed

Sicherheitsexperten haben eine gravierende Sicherheitslücke in der Verschlüsselungsbibliothek OpenSSL ermittelt. Der sogenannte Heartbleed-Fehler betrifft unzählige Web- und Mailserver und Schätzungen zufolge mindestens die Hälfte aller Internetseiten. Server-Administratoren müssen das Problem mit einem Update beheben. Anwender können mit einer Testseite überprüfen, ob die von ihnen genutzten Internetseiten betroffen sind. Derzeit sind Yahoo und flickr gefährdet und haben das Problem noch nicht behoben.

Was ist OpenSSL und der Heartbleed-Fehler?

OpenSSL ist eine weit verbreitete Kryptographie-Bibliothek, die auf Servern zur Verschlüsselung des Datenverkehrs eingesetzt wird. Sicherheitsexperten von Codenomicon haben eine Schwachstelle ausfindig gemacht, über die sich der Arbeitsspeicher des Servers auslesen lässt. Dadurch können Angreifer an die Schlüssel gelangen und den Datenverkehr mitlesen. Somit sind von betroffenen Servern übertragene Daten, E-Mails, Passwörter und Chatnachrichten nicht mehr sicher. Weil der Fehler im sogenannten Heartbeat-Modul von OpenSSL auftritt, tauften ihn die Endecker Heartbleed.

So lassen sich Seiten auf Sicherheit überprüfen

Auf der Internetseite Heartbleed Test können Nutzer eine Internetadresse eingeben und überprüfen, ob diese vom Heartbleed-Fehler betroffen ist. Wegen der großen Nachfrage ist die Seite aber zeitweise überlastet. Die Server-Administratoren müssen betroffene Seiten aktualisieren, Anwender können selbst nur warten. Alle OpenSSL-Versionen von 1.0.1 bis 1.0.1f sind anfällig, Version 1.0.1g behebt den Fehler.Flickr Hearbeet Fehler

So sieht ein Treffer aus: Flickr ist vom Heartbleed-Fehler betroffen.

Yahoo und Flickr betroffen, Posteo hat schon ausgebessert

Aktuell sind Yahoo.com und Flickr.com von der Sicherheitslücke betroffen. Der Heartbleed Test ergibt, dass die Verschlüsselung geknackt werden kann. Das Ergebnis heißt nicht, dass auf die Seiten ein Angriff bereits stattgefunden hat.

Der deutsche E-Mail-Anbieter Posteo hat eine Stellungnahme zum Heartbleed-Fehler veröffentlicht und versichert seinen Nutzern, die Verschlüsselungssoftware bereits aktualisiert zu haben. Zusätzlich hat der Anbieter neue Schlüssel generiert und diese der Zertifizierungsstelle zur Beglaubigung vorgelegt. Wenn diese verfügbar sind, wird Posteo erneut informieren.

Es empfiehlt sich, tatsächlich betroffene Seiten vorerst nicht zu besuchen oder zumindest dort keine vertraulichen Daten einzugeben, bis die entsprechende OpenSSL-Version nachgebessert wurde. Eine kriminelle Ausnutzung des Fehlers ist bisher noch nicht bekannt, allerdings ist es nahezu unmöglich, einen Angriff festzustellen.

Update 08.04.2014 15:15 Uhr: Wie eine Überprüfung mit dem Heartbleed Test zeigt, sind derzeit Yahoo und das zu Yahoo gehörende Foto-Portal Flickr von der Sicherheitslücke betroffen. Posteo hat eine Stellungnahme veröffentlicht und den Fehler breits ausgebessert.

Passende Artikel

Quelle / Bild: Heartbleed