Skip to content

Kommentare zu Conficker, Android, Google Glass, iOS und mehr

Heute gibt es mal wieder eine bunte Mischung an Kommentaren. Zum Beispiel zu den Spam-Quellen im 2. Quartal 2014.

Conficker lebt noch?!?!

Hätten Sie damit gerechnet, dass Conficker auf Platz 1 der Liste der in Unternehmen am häufigsten gefundenen Schadsoftware steht? Ich nicht. Das Ding ist doch uralt, ich hatte angenommen, der ist längst vom Aussterben bedroht. Wie kommt es denn, dass der 2008/2009 am weitesten verbreitete und untersuchte Schädling immer noch sein Unwesen treibt? Hat keiner Lust, da mal den Stecker zu ziehen? Die Erfolge der Conficker Working Group scheinen ja nicht so berauschend zu sein. Die letzte Änderung auf der Seite ist von 2011. Anscheinend hat der Wurm seine Gegner überlebt, oder wie soll ich das sonst interpretieren?

Ein klassischer Pufferüberlauf in Android...

Paul Ducklin von Sophos beschreibt sehr ausführlich eine von IBM entdeckte klassische Pufferüberlauf-Schwachstelle in Android 4.3. Also eigentlich ist die so klassisch, dass sie nur noch in Büchern vorkommen sollte. Als schlechtes Beispiel.Vor allem angesichts folgenden Kommentars (Hervorhebung von mir):

/* KeyStore is a secured storage for key-value pairs. In this implementation,
 * each file stores one key-value pair. Keys are encoded in file names, and
 * values are encrypted with checksums. The encryption key is protected by a
 * user-defined password. To keep things simple, buffers are always larger than
 * the maximum space we needed, so boundary checks on buffers are omitted. */

Also das kann ich leider nicht kommentieren ohne unhöflich zu werden. Aber wer auch immer dafür verantwortlich ist wird hoffentlich nicht noch mehr "sichere" Software implementiert haben. Oder muss man jetzt den Android-Sourcecode genau so durchsuchen wie den von OpenSSL?

... aber trotzdem braucht man keinen Virenscanner für Android?

Der "lead engineer for Android security at Google" ist der Meinung, dass Android so sicher ist, dass man keinen Virenscanner braucht. Weil Google die Apps für den Store ja so genau prüft.

Die ganze Schadsoftware für Android gibt es dann wohl gar nicht? Oder Schwachstellen wie die oben erwähnte? Oder Drive-by-Infektionen? Oder Angriffe über USB wie zum Beispiel Juice-Jacking?

Nachtrag 24.7.2014
Maximilian Rauch hat unten im Kommentar darauf hingewiesen, dass die Virenscanner unter Android durch die Sandbox in ihrer Funktion ziemlich eingeschränkt sind. Sie können dadurch zum Beispiel den Netzwerkverkehr anderer Programme nicht überwachen oder ähnliche unter Windows übliche Funktionen implementieren. Sie können also vor Angriffen auf Schwachstellen, über Drive-by-Infektionen oder JuiceJacking nicht schützen. Zumindest dann nicht, wenn diese Angriffe wie unter Windows üblich durchgeführt würden.
Im Grunde beschränkt sich der Schutz darauf, die installierten Apps auf unerwünschte Apps zu überprüfen. Zum Glück beschränken sich aber auch die Angriffe bisher im Allgemeinen darauf, eine bösartige App einzuschleusen. In sofern erfüllen die Virenscanner also durchaus ihre Aufgabe. Sofern aber zum Beispiel beim JuiceJacking "nur" Daten vom Smartphone kopiert werden ist der Virenscanner nutzlos. Aber so einem Angriff zu erkennen ist prinzipiell schwierig, so lange lediglich legitime Funktionen missbraucht werden. Da ist es die Aufgabe des Systems, für eine ausreichende Authentifizierung und/oder Autorisierung zu sorgen.
Aber kommen wir noch mal zurück zu den Angriffen allgemein. Sollten die Cyberkriminellen irgendwann dazu übergehen, zum Beispiel Schadcode direkt in den Webbrowser einzuschleusen, wird es kritisch. Denn den kann der Virenscanner nicht erkennen, und so ein Schadcode könnte als "Man-in-the-Browser" die Web-Nutzung des Benutzers nach Belieben manipulieren.
Die Virenscanner für Android funktionieren im Rahmen ihrer Möglichkeiten. Nur weisen die Hersteller auf die Einschränkungen nicht hin. Die Augenwischerei ist also die Werbung der Hersteller. Indem sie so tun, als könnten die Scanner all das leisten, was sie unter Windows können, versprechen sie mehr als ihre Scanner halten können.
Ende des Nachtrags vom 24.7.2014

Ich fürchte, da wurde eine Schwachstelle bei Google gefunden. Oder besser: Die hat sich freiwillig gemeldet. Der Herr Lead Engineer für die Sicherheit hat einen ziemlich gefährlichen Begriff davon, was Sicher ist und was nicht. Er liegt jedenfalls zumindest mit seiner Meinung zum Virenscanner ziemlich weit daneben. Virenscanner zwar mitunter auch, aber für viele Benutzer ist ein schlechter Schutz immer noch besser als gar kein Schutz. Vor allem bei Android-Geräten, da es da doch ziemlich schwierig ist, immer die aktuellste Android-Version zu verwenden. Bis die das eigene Gerät erreicht, ist der die damit behobenen Schwachstellen ausnutzende Schadcode womöglich längst drauf.

Google Glass: Ich sehe das, was Du siehst!

Und noch mal was zu Google: Angreifer können Google Glass nutzen, um quasi "durch die Augen der Benutzer zu gucken" (im Sinne von "der Angreifer sieht, was die Kamera in Google Glass sieht"). Beängstigend? Ja. Unerwartet? Natürlich nicht. Webcams ausspähen ist für viele Spyware Standard, warum sollte das nicht auch für Android-Spyware auf Google Glass gelten? Warum sollten die Cyberkriminellen ausgerechnet um Google Glass einen Bogen machen? Vor allem, weil es da doch bestimmt jede Menge Interessantes zu sehen gibt?

Aber überhaupt - Google Glass: Wollen Sie, dass Google sehen kann, was Sie sehen? Sie denken, Google würde sowas nie machen? Ich wäre mir da nicht so sicher. Immerhin haben die schon mal "zufällig" und "versehentlich" WLANs ausgespäht. Also wenn ich in eine Google Glass blicken würde, würde ich mich wohl immer fragen, wer mich außer meinem Gegenüber noch alles gerade sieht. Vielleicht sollte man die Kamera mit einer nicht manipulierbaren roten Leuchte versehen, die bei Aufnahmen leuchtet. Widerstand ist nicht zwecklos!

Auch iOS soll nicht zu kurz kommen...

... auch wenn das folgende auch Android betrifft, und eigentlich auch Google Glass: Untersuchungen haben gezeigt, dass sich der Passcode von iOS und Android über die Kamera von Google Glass ausspähen lässt (oder der iPhone-Kamera oder ...., nur sind die deutlich auffälliger als Google Glass). Und das aus bis zu 10 Fuss Entfernung! Mit einem hochauflösenden Camcorder dürfen es bis zu 150 Fuss Abstand sein. Möglich macht das eine neue Software mit speziell für diesen Zweck entwickelten Erkennungs-Algorithmus, die das gefilmte Eintippen des Passcodes auswertet.

Bei Google hält man das für kein größeres Problem, weil ja der "Bildschirm" an geht wenn die Kamera benutzt wird:

"The fact that Glass is worn above the eyes and the screen lights up whenever it’s activated clearly signals it’s in use and makes it a fairly lousy surveillance device."

Aha. Und wie genau erkenne ich jetzt, ob da jemand mit seiner Google Glass nur googlelt oder mich filmt? Sollte man vielleicht sicherheitshalber jeden Google-Glass-Nutzer in 20 (sicher ist sicher) Fuss Entfernung einen Sack über den Kopf ziehen, bevor man irgendwo (denn das gilt entsprechend ja auch für Geldautomaten und ähnliches) seinen Passcode oder seine PIN etc. eingibt? Oder freundlich "Alle Google Glass Träger verlassen bitte den Raum!" rufen?

Microsoft zittert vor Kanada!

Vorige Woche hat Microsoft angekündigt, ab dem 1. Juli keine E-Mails mit Ankündigungen zum Patchday, Informationen über die Security Bulletins etc. zu versenden. Aufgrund "changing governmental policies concerning the issuance of automated electronic messaging". Wie sich herausstellte, geht es um ein neues Gesetz in Kanada, dass ein explizites Opt-In für E-Mails verlangt. Und das für

"“warranty information, product recall information or safety or security information about a product, goods or a service that the person to whom the message is sent uses, has used or has purchased."

ausdrücklich nicht gilt. Was man bei Microsoft vor lauter Angst vor den kanadischen Gerichten gar nicht weiter beachtet hat. Stattdessen wollte man weltweit den Versand von E-Mails einstellen.

Inzwischen hat man sich eines besseren besonnen und will weiterhin die Informationen per E-Mail verschicken. Das ist auch besser so, die Cyberkriminellen hätten sonst sicher die kanadische Regierung mit Dankschreiben überschüttet. Und alle anderen Menschen weltweit mit Exploits für die Schwachstellen, die dann mangels Information über die Patches nicht geschlossen wurden.

Was in dem Zusammenhang interessant wäre: Wie viele Windows-Nutzer brauchen eigentlich die Mails, um über Patches informiert zu werden? Auf meinen Windows-Rechnern ist für Patches "Du darfst sie von mir aus herunterladen, installiert wird aber erst wenn ich es sage!" eingestellt, ich würde über die Patches also auch von Windows direkt informiert. Auf den meisten Systemen wird ja wohl sogar die Standardeinstellung "Herunterladen und installieren" verwendet. Auf wie vielen ist da wirklich alles ausgeschaltet? Eigentlich können das doch nicht viele sein, oder? Und ob die Benutzer dann die Info-Mails abonniert haben ist eine andere Frage.

Aber um auf Microsofts vorschnelle Einstellung des Mailversands zurück zu kommen: Es ist schon interessant zu sehen, wie rigoros Microsoft reagiert, wenn es droht, teuer zu werden. Wer hatte denn da Angst um seine Portokasse? Die Buchhaltung von Microsoft oder einer der Geschäftsführer etc. persönlich?

Carsten Eilers

Trackbacks

Keine Trackbacks