Skip to content

Neues zur iOS-Sicherheit, bösartigen E-Mails und Überwachungsmöglichkeiten

Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Los geht es mit einem Hinweis auf eine Diskussion im Blog von Bruce Schneier: Ist die "GOTO FAIL"-Lücke in iOS und Mac OS X Mavericks ein Fehler oder eine absichtliche Hintertür?

Neues zur iOS-Sicherheit

Apples Paper zu den Sicherheitsfunktionen von iOS (PDF) wurde endlich mal wieder aktualisiert und deckt nun auch iOS 7 ab. Enthalten sind nun auch einige Informationen zum Fingerabdrucksensor-System der Touch ID und der "Secure Enclave" im A7-Chip des iPhone 5s, in dem die Fingerabdrücke gespeichert werden. Damit liegen mir jetzt einige Informationen vor, die ich beim Schreiben von "iOS Security" schmerzlich vermisst habe. Gerade zur Touch ID gab es kaum verlässliche Informationen, ebenso wenig zur neuen Default-Einstellung für die Data Protection, die Apple für alle Dritthersteller-Apps zwangsweise eingeführt hat: Sofern eine App nicht selbst eine Klasse konfiguriert, setzt Apple "Protected Until First User Authentication" als Default-Konfiguration ein.

Ich hatte sowieso schon eine Reihe "iOS Security - Was nicht im Buche steht" für die Grundlagen-Texte vorgesehen, da kann ich diese Informationen dann auch mit verarbeiten. Beim Schreiben ist einiges Material übrig geblieben, dass aus dem einen oder anderen Grund nicht ins Buch passte. Zum Beispiel das "Hooking", also das einklinken einer App in den Code einer anderen App, dass unter iOS aus guten Grund nicht funktioniert und nach einem Jailbreak Angreifern leuchtende Augen beschert.

Apropos Angreifer: Ein unschöne Schwachstelle macht denen das Ausspähen des Benutzers sehr leicht. Die Forscher von FireEye haben herausgefunden, dass eine bösartige App auch auf Geräten ohne Jailbreak alle Touch-/Press-Events protokollieren und an einen Server senden kann. Betroffen sind iOS 7.0.x und 6.1.x. Als Workaround kann über den Task Manager das Ausführen von Apps im Hintergrund ausgeschaltet werden.

Microsoft analysiert gezielten Angriff

Microsofts Malware Protection Center hat einen gezielten Angriff analysiert. Aufgefallen ist der Angriff, weil eine als Phishing-Mail eingestufte E-Mail ein verdächtiges RTF-Dokument als Anhang enthielt. Die Mail wurde als Phishing-Mail eingestuft, weil der Text, "Die Zahlung, Ihr Zalando Schweiz Team" aufgrund des Satzbaus als Ergebnis einer automatischen Übersetzung eingestuft wurde. Nebenbei bemerkt: Microsoft übersetzt Knowledgebase-Texte und ähnliches ja auch automatisch, und das mit ähnlichem Ergebnis - stufen die das dann auch alles als Phishing-Seiten ein? ;-) .

Beim Öffnen des RTF-Dokuments gibt es die übliche Warnung von Outlook, das man nur Anhänge aus vertrauenswürdigen Quellen öffnen sollte. Nach dem Öffnen des Dokuments erscheint eine Seite mit einem Icon und dem Hinweis "Um Quittung zu sehen, klicken Sie zwei Mal auf dem Bild". Woraus man bei Microsoft geschlossen hat, dass es sich um einen Social Engineering Angriff handelt. Also das hätte ich schon bei der Mail vermutet. Beim Klick auf das Icon wird ein Control Panel Applet (CPL) ausgeführt, dass Schadcode nachlädt. Der täuscht dann vor, dass ein Update installiert werden muss und versucht so, den Benutzer dazu zu bewegen, der Installation zuzustimmen.

In weiteren Angriffen wurden außer dem RTF-Dokument auch DOC-Dokumente und RFT/DOC in ZIP-Archiven verwendet.

Microsoft rät, einen Virenscanner zu installieren (der diese bereits bekannten Schädlinge mit Leichtigkeit erkennen sollte) und vor allem darauf zu achten, die Programme gar nicht erst zu starten. Was bei einem wirklichen gezielten Angriff gar nicht so leicht ist, denn die sind im Allgemeinen deutlich besser auf das Angriffsziel ausgerichtet als diese E-Mails. Ich vermute mal, Microsoft hat da eine ganz normale "Wir schicken unseren Müll mal per Mail und warten ab, wie viele Dumme wir finden"-Aktion von Cyberkriminellen entdeckt, die gerade keine Lust auf Drive-by-Infektionen hatten. Denn solchen Müll bekomme ich regelmäßig, und ich gehe ganz stark davon aus, dass das keine gezielten Angriffe gegen mich sind. Wenn doch, müssten das schon ganz schön arme Angreifer sein. Vor allem arm im Geiste. Denn wer auch nur ein bisschen hier im Blog gelesen hat dürfte bemerkt haben, dass er mit Windows-Schädlingen bei mir nicht weit kommt.

Etwas zum Datenschutz

Überwachung und automatische Updates

Forscher fürchten, dass die automatischen Updates das nächste Ziel der staatlichen Überwacher sein könnten, da immer mehr Web-basierte Dienste verschlüsselt werden. Das berichtet Threat Post vom TrustyCon. Immerhin wurde im Rahmen von Flame ja schon mal Microsofts Update-Dienst angegriffen. Das würde dazu führen, dass die Benutzer den automatischen Updates misstrauen und sie ausschalten, wodurch sie anfällig für Angriffe über eigentlich behobene Schwachstellen werden, für die die Updates nicht installiert wurden.

Also mir kann das egal sein, ich erlaube sowieso keine automatischen Updates. Und das nicht, weil ich Angst habe, dass mit NSA, BND und Co. darüber was unter schieben, sondern weil ich schlicht und ergreifend der Qualität der darüber verteilten Updates nicht vertraue. Auf einem produktiv eingesetzten Rechner Dritten die Installation von Updates zu erlauben halte ich persönliche für Wahnsinn. Bevor ich ein Update installiere, teste ich es. Oder, was viel öfter passiert: Warte erst mal ab, bis die, die es automatisch installiert bekommen haben, ihre möglichen negativen Erfahrungen im Internet verbreiten. Gibt es keine Klagen, installiere ich das Update, wenn es mir in den Zeitplan passt. Und gibt es Probleme, warte ich ab, bis die behoben wurden. Ich kann es mir nämlich nicht leisten, dass ein kaputtes Update mir den kompletten Rechner oder auch nur ein benötigtes Programm lahm legt.

Verräterische E-Mails

Lisa Vaas von Sophos schreibt auf Naked Security über das Tracken von E-Mail-Empfängern. Anlass ist eine neue Erweiterung für Googles Chrome, die auf einer Karte anzeigt, wo die Nutzer eines Google-Kontos eine Mail öffnen. Aber eigentlich ist das ein alter Hut.

E-Mails verraten dem Absender schon lange, wann und wo der Empfänger sie geöffnet hat. Jedenfalls wenn man seinem E-Mail-Programm erlaubt, dem Absender eine Empfangsbestätigung zu schicken. Warum sollte man das tun? Das ist das erste, was ich einem neu installierten Mailprogramm austreibe. Die Werbeindustrie, Spammer und Phisher gehen noch einen Schritt weiter und platzieren einen Link zu einem Bild auf einem eigenen Server in den HTML-Mails, so dass sie sehen können, wann das Bild von wo geladen wird. Ein weiterer Grund, HTML-Mails zu meiden. Oder zumindest das Laden von Bildern auszuschalten. Wie das mit verschiedenen Mail-Programmen geht, hat Lisa Vaas aufgeführt.

Das man seinen Standort im Form seiner IP-Adresse beim Senden von E-Mail "verrät" ist Teil des Protokolls - man soll schließlich nachverfolgen können, woher eine E-Mail kommt (wenn sich diese Spur auch ggf. verwischen lässt). Das mann seinen Standort beim Lesen einer E-Mail verrät ist dagegen nicht nötig und nicht vorgesehen.

Das CIA hat Angst vorm Internet der Dinge

Der CIA-Direktor macht sich Sorgen über das Internet der Dinge, da dadurch immer mehr Systeme geschützt werden müssen und es immer mehr Plattformen für Angriffe gibt. Eigentlich hätte ich erwartet, dass der Mann vom Internet der Dinge hellauf begeistert ist, immerhin gibt das viel mehr Möglichkeiten, Leute zu überwachen und aus zu schnüffeln: Der intelligente Stromzähler verrät, wann wie viel Strom verbraucht wird, der Kühlschrank meldet, was alles gegessen wurde, und der Fernseher teilt mit, welches Programm gesehen wurde. Und wenn es eine Kamera gibt, kann man auch gleich gucken, wer da vor dem Fernseher hockt. Aber das interessiert die CIA gar nicht, die haben viel mehr Angst, dass wir über diese Geräte angegriffen werden! Da sieht man mal, wie Unrecht wir dem armen Menschen von CIA und Co. tun, die wollen alle nur unser Bestes!

Carsten Eilers

Trackbacks

Keine Trackbacks