DB0FHN

DB8AS  > VIRUS    08.11.12 15:08l 236 Lines 13314 Bytes #999 (0) @ DL
BID : 8B2DB0EAM00A
Read: DK3UZ GUEST
Subj: BSI Newsletter 121108
Path: DB0FHN<DB0FOR<DB0SIF<DB0EAM
Sent: 121108/1304z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:8B2DB0EAM00A
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
Der Newsletter von www.buerger-cert.de
Ausgabe vom 08.11.2012
Nummer: NL-T12/0022

Die Themen dieses Newsletters:
1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut Stiftung Warentest
2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich
3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und Air
4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8
5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8
6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein
7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft
8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome
9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher
10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware

EDITORIAL
    Guten Tag,
    28 Prozent aller Deutschen verfügen inzwischen über ein internetfähiges
    Smartphone, das sind rund 22 Millionen Menschen. Über die Hälfte von
    ihnen nutzt Apps für soziale Netzwerke, zur Kommunikation und Navigation.
    Doch bei Dienstleistungen wie Shopping, Banking und mobiles Bezahlen
    sieht das anders aus: Nur jeder zehnte bis fünfte nutzt Anwendungen
    dafür. Ein Grund: Die mangelnde Sicherheit. Für verschiedene
    Shopping-Apps ist sie belegt: Stiftung Warentest stuft 20 getestete
    Anwendungen als äkritisch“ ein. Mehr Infos dazu sowie weitere Meldungen
    rund um die Sicherheit im WWW finden Sie wie immer in unserem Newsletter.
    Spannende Lektüre und sichere Stunden im globalen Netz wünscht Ihnen
    Ihr BUERGER-CERT-Team

STÖRENFRIEDE
    1. Löchrige Shopping-Apps: Unverschlüsselte Datenübertragung laut
    Stiftung Warentest

    Viele Smartphone-Applikationen für mobiles Einkaufen werden von der
    Stiftung Warentest als kritisch oder sehr kritisch beurteilt. In der
    November-Ausgabe der Zeitschrift
    ätest“ [http://www.test.de/presse/pressemitteilungen/Shopping-Apps-Nur-zwei-sind-sicher-und-gut-4459932-0/]
    berichtet sie über 37 Apps, über die entweder Einkäufe abgewickelt werden
    können oder die beim Einkaufen beraten sollen. Die schlechteste Bewertung
    vergaben die Tester für die Apps der Modekette Mango (getestete Version:
    2.1.1 für Android 4.1.1) und des Kino-Unternehmens Cineplex (Version
    1.0), weil diese Benutzername und Passwort des Anwenders unverschlüsselt
    übertrugen und zudem das Nungsverhalten erfassten. Dies sei auch bei der
    Chat-Funktion der Schnäppchen-Finder-App MonsterDealz (Version 2.0) der
    Fall, die deshalb ebenfalls als sehr kritisch eingestuft wird. Die App
    MyTaxi sendete Zugangsdaten und Nutzungsverhalten in der getesteten
    Version 3.2.0 für iOS ebenfalls unverschlüsselt. Dies ist laut Auskunft
    des Unternehmens in einer aktuelleren Version der App inzwischen behoben.
    17 weitere Apps wurden wegen ihres Umgangs mit dem Datenschutz als
    kritisch eingestuft. Sie senden das Nutzungsverhalten, eine Gerätekennung
    oder Informationen über den Netzbetreiber des Anwenders an den
    Herausgeber der App oder an Drittfirmen.

    2. Ohne Schutz: Links zu unverschlüsselten Facebook-Konten öffentlich

    Facebook deaktiviert ävorübergehend“ eine Funktion die zu einer
    Sicherheitslücke führte, die durch spezielle E-Mails aufgetreten war,
    darüber berichtet das Online-Magazin
    äZDNet“ [http://www.zdnet.de/88130080/facebook-behebt-lucke-in-passwortschutz/].
    Facebook verschickt in bestimmten Fällen E-Mails mit einem Link, der zu
    einem Benutzerkonto führt. Öffnet man diesen Link, ist man in dem
    verlinkten Benutzerkonto eingeloggt, ohne weitere Daten wie Passwort
    eingeben zu müssen. Normalerweise ist sichergestellt, dass nur der
    jeweilige Konteninhaber die E-Mail mit dem Link zum Konto erhält – doch
    jetzt ließen sich E-Mails mit Links zu insgesamt 1,3 Millionen
    Benutzerkonten öffentlich per Google finden. Jemand müsse die E-Mails
    veröffentlicht haben, teilte Facebook-Entwickler Matt Jones mit. Facebook
    hat zur Sicherheit die Funktion vorübergehenden deaktiviert.

SCHUTZMASSNAHMEN
    3. Updates von Adobe: Sicherheitsupdate für Shockwave-Player, Flash und
    Air

    Adobe, der Entwickler des Dateiformats Shockwave, schließt für den
    dazugehörigen Shockwave-Player sechs kritische Schwachstellen. Darüber
    berichtet unter anderen das IT-News-Portal
    ZDNet [http://www.zdnet.de/88128514/adobe-schliest-sechs-kritische-sicherheitslucken-in-shockwave/].
    Die Sicherheitslücken betreffen die Versionen Shockwave Player 11.6.7.637
    und früher. Adobe zufolge liegen noch keine Exploits vor. Nutzer sollten
    trotzdem möglichst schnell auf die Version 11.6.8.638 updaten.
    Gleichzeitig schließt Adobe Sicherheitslücken für den Flash-Player für
    sämtliche Plattformen. Dies berichtet
    heiseSecurity [http://www.heise.de/security/meldung/Umfangreiches-Sicherheitsupdate-fuer-Flash-und-AIR-1744764.html]
    unter Berufung der Meldung des Adobe Security
    bulletin [http://www.adobe.com/support/security/bulletins/apsb12-24.html].

    4. Neue Angriffspunkte: Acht Sicherheitstipps für Windows 8

    Seit rund zwei Wochen ist das neue Betriebssystem Windows 8 im Handel.
    Passend zum Verkaufsstart hat Sophos-Mitarbeiter Graham Cluley im
    Expertenbeitrag für ITespresso

    acht Sicherheitstipps für
    das neue Betriebssystem
    veröffentlicht [http://www.itespresso.de/2012/10/31/acht-sicherheitstipps-fur-windows-8/].
    Das sei deshalb nötig, weil ädie veränderte Benutzeroberfläche und der
    neue App-Store neue Angriffspunkte bieten“. Und das, obwohl Windows 8
    äschon gut abgesichert ist.“ So sollten Anwender zum Beispiel darauf
    achten, dass die benutzte Sicherheitssoftware in der Lage ist, gängige
    Programme von installierten Apps zu unterscheiden. Zusätzlich müssten sie
    beide Programmarten zuverlässig von bösartigen Anwendungen unterscheiden.
    Ein weiterer Tipp: Anwender sollten nicht benötigte
    Kommunikationsmöglichkeiten blockieren. Windows 8 biete die
    Möglichkeiten, verschiedene Near-Field-Kommunikationsformen auszuführen.
    Das biete auch Angriffsflächen.

    5. Neues Betriebssystem, neues Schutzprogramm: Virenscanner für Windows 8

    Wer auf das neue Betriebssystem Windows 8 aktualisiert oder sich ein
    neues Gerät mit diesem Betriebssystem kauft, sollte auch an einen
    passenden Virenscanner denken. Denn nicht alle IT-Schutzprogramme sind
    mit Windows 8 kompatibel, zum Beispiel die Antiviren-Lösung äFree
    Antivirus“ von Avira, wie Avira in seinen
    Supportinformationen für Privatanwender
    berichtet [http://www.avira.com/de/support-for-home-knowledgebase-detail/kbid/1385].
    Welche Programme die passenden sind, hat das IT-Sicherheitsinstitut
    äAV-TEST“ aufgelistet. AV-TEST weist darauf hin, dass änur finale und
    veröffentlichte Produktversionen aufgeführt sind. Allerdings unterstützen
    noch nicht alle Produkte sämtliche neuen Windows-8-Funktionen (z.B. die
    neue Benutzeroberfläche).“ Eine Liste von
    Sicherheitsprodukten für Privatanwender ist
    hier [http://www.av-test.org/tests/heimanwender/windows-8/] zu finden,
    eine für Unternehmen
    hier [http://www.av-test.org/tests/unternehmen/windows-8/].

    6. Pakete sicher abholen: DHL-Packstation führt mTan-Verfahren ein

    Das Logistikunternehmen DHL führt für ihre 2500
    Packstationen in Deutschland das mTan-Verfahren
    ein [http://www.dhl.de/de/paket/privatkunden/packstation/mtan.html]. Ab
    sofort können Kunden ihr Paket nur noch abholen, wenn sie zu Ihrer
    Sendungsnummer auch die passende Transaktionsnummer haben, die auf ihr
    Handy geschickt wird. Bisher hat eine PIN ausgereicht, mit der sich alle
    Sendungen an der Packstation abholen ließen. Weil Angreifer
    jedoch immer wieder persönliche Daten wie Name und Adresse sowie
    zusätzlich die PIN erlangen
    konnten [http://www.heise.de/security/meldung/mTans-sollen-Packstation-Missbrauch-stoppen-1739022.html],
    wurde jetzt auf das mTan-Verfahren umgestellt. Denn mithilfe von Adresse
    und PIN konnten Betrüger Waren auf einen anderen Namen bestellen und
    diese an der Packstation abholen.

    7. Updates von Apple: Sicherheitslücken in iOS und Safari gestopft

    Apple hat für seinen Browser Safari und für das iPhone-, iPad- und
    iPod-Betriebssystem iOS Updates herausgegeben, die vor allem Fehler
    beheben und Sicherheitslücken schließen. Safari 6.0.2 steht für
    Mac-Computer mit dem Betriebssystem OS X 10.7.5 oder 10.8.2 zur
    Verfügung. Das Update
    verhindert [http://support.apple.com/kb/HT5568], dass Angreifer durch
    manipulierte Websites Programme auf dem Rechner des Anwenders ausführen
    können.
    Zwei vergleichbare Fehler behebt das Update für Mobilgeräte auf iOS 6.0.1
    laut heise
    Security [http://www.heise.de/security/meldung/Apple-gibt-erstes-Update-fuer-iOS-6-frei-1741907.html].
    Außerdem wurde ein Fehler in der Apple-eignen App äPassbook“ behoben,
    durch den der Zugriff auf in der App gespeicherte Informationen möglich
    war, obwohl das Mobilgerät mit einem Zugriffsschutz gesperrt war.

    8. Chrome 23 verfügbar: Google schließt Sicherheitslücken in Chrome

    Der Browser von Google steht in der neuen Version 23 zur Verfügung. Die
    neue Version schließt vierzehn Sicherhheitslücken wie u.a.
    heise ix
    meldet [http://www.heise.de/ix/meldung/Chrome-23-schliesst-Luecken-und-spart-Strom-1744887.html].
    Gleichzeitig nutzt Chrome den Grafikprozessor des Rechners zur Wiedergabe
    von Videos unter Windows. Wie im Google Chrome
    Blog [http://chrome.blogspot.de/2012/11/longer-battery-life-and-easier-website.html]
    berichtet, soll der Accu dann bis zu 25% länger halten. Die aktuelle
    Version ist über die Internetseite von
    Google [https://www.google.com/intl/de/chrome/browser/] ober über die
    automatische Update-Funktion des Browsers zu beziehen.

PRISMA
    9. Apps ohne Vertrauen: Smartphone-Besitzern sind Anwendungen zu unsicher

    Laut einer repräsentativen Umfrage nutzen die meisten Smartphone-Besitzer
    keine Anwendungen, die mit vertraulichen Daten hantieren. Nur 15 Prozent
    der Anwender nutzen Online-Banking mit ihrem Smartphone, neun Prozent
    nutzen eine App für mobiles Bezahlen. Darüber informiert
    das Presse- und Informationsamt der
    Bundesregierung [http://www.bundesregierung.de/Content/DE/Pressemitteilungen/BPA/2012/10/2012-10-25-3f3a-aigner-breg.html].
    Laut der Umfrage würden weiterhin nur rund jeder fünfte Cloud-Dienste per
    Smartphone in Anspruch nehmen sowie die Funktion des Smartphones als
    Türschlüssel. Als ein Fazit zieht die Studie: Viele Verbraucher laden
    bewusst keine Apps herunter, weil ihnen das Vertrauen in deren Sicherheit
    fehlt.

    10. Maus-Auslöser: Die Tricks der Programmierer von Schadsoftware

    Das IT-Sicherheitsunternehmen Symantec gibt in seinem
    englischsprachigen
    Blog [http://www.symantec.com/connect/blogs/malware-authors-using-new-techniques-evade-automated-threat-analysis-systems]
    Einblicke in aktuelle Methoden von Schadsoftware-Programmierern.
    Automatisierte Analysesysteme durchforsten das Internet nach
    Schadsoftware und finden laut Symantec jeden Tag rund eine Million neue
    Varianten. Dazu werden die Programme auf abgeschlossenen, sogenannten
    virtuellen Systemen ausgeführt und ihr Verhalten von einem
    Analyse-Werkzeug beobachtet. Seit langer Zeit, so Symantec, versuchen
    Programmierer ihre Schadsoftware vor den Analyse-Systemen zu verbergen.
    Die Schadsoftware versucht mit verschiedenen Methoden festzustellen, ob
    sie auf einem virtuellen System ausgeführt wird. In diesem Fall verhält
    sie sich unauffällig und kann so möglicherweise der Erkennung entgehen.
    Diese Tricks waren aber nur von versierten Programmierern anwendbar. Zwei
    neue Tricks sind hingegen recht einfach umzusetzen. Einer besteht darin,
    dass die Schadsoftware erst aktiv wird, wenn sie Mausbewegungen am
    Rechner feststellt. Da an automatischen Analyse-Systemen niemand eine
    Maus bewegt, kann die Schadsoftware unentdeckt bleiben. Außerdem
    verwenden die Systeme nur wenig Zeit auf die Analyse eines einzelnen
    Programms. Programmierer verzögern daher das Entpacken und Ausführen
    ihrer schädlichen Programmcodes um mehrere Minuten.


-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Die Veroeffentlichung in PR wurde mir vom BSI genehmigt.

vy 73, Jochen

ax.25 : db8as at db0eam.deu.eu
e-mail: db8as at db0eam.de



Read previous mail | Read next mail