DB0FHN

DB8AS  > VIRUS    30.10.14 22:34l 186 Lines 8775 Bytes #999 (0) @ DL
BID : UA4DB0EAM002
Read: GUEST DK3UZ
Subj: BSI Newsletter 141030
Path: DB0FHN<OE2XZR<OE6XPE<DB0RES<DB0EAM
Sent: 141030/2021z @:DB0EAM.#HES.DEU.EU [Kassel DB8AS] DB19c1 $:UA4DB0EAM002
From: DB8AS @ DB0EAM.#HES.DEU.EU (Jochen)
To:   VIRUS @ DL


SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 30.10.2014
Nummer: NL-T14/0022

Die Themen dieses Newsletters:
1. Datenschutz: OS X Yosemite speichert ungefragt in der iCloud
2. Samsung: Schwachstelle in "Find my Mobile"
3. Phishing, die Erste: Gefälschte E-Mail von eBay
4. Phishing, die Zweite: Gefälschte E-Mail von amazon
5. Pidgin: Sicherheitsupdate für den Messenger
6. Smart-TV: BSI gibt Tipps
7. Digitale Agenda: Chancen für deutsche Anbieter von IT-Sicherheit
8. Android: 32 Sicherheits-Apps im Test
9. IT-Gipfel: ddosfrei.de vorgestellt

EDITORIAL
    Guten Tag,

    pünktlich zu Halloween erreicht uns die Meldung, dass in Samsungs Dienst
    zum Auffinden verlorener Geräte, "Find my Mobile", erneut eine
    Sicherheitslücke entdeckt wurde: Besuchen Sie eine entsprechend
    präparierte Webseite mit einem Smartphone oder Tablet von Samsung, wird
    das Gerät gesperrt oder löst einen lauten Alarm aus.

    Gruselig ist auch das Speicherverhalten von OS X Yosemite: Unter anderem
    speichert OS X ungesicherte Dateien ohne Nachfrage in der iCloud.

    Gut gemeint ist also nicht immer gut, und neu ist nicht immer besser,
    zumindest nicht sicherer.

    Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
    immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
    globalen Netz wünscht Ihnen

    Ihr Buerger-CERT-Team

STÖRENFRIEDE
    1. Datenschutz: OS X Yosemite speichert ungefragt in der iCloud

    Apples neues Betriebssystem OS X 10.10 Yosemite speichert nach Angaben
    des Sicherheitsspezialisten Jeffrey Paul ungesicherte Dokumente ungefragt
    in Apples Cloud-Speicher iCloud. Dazu zählen alle Daten, die gerade von
    Anwendungen bearbeitet werden und die Apples Funktion zur
    Wiederherstellung von Dokumenten nutzen. Den Grund für dieses Verhalten
    vermutet Paul in der neu eingeführten Funktion Continuity, die es
    ermöglicht, auf verschiedenen Geräten an einem Dokument zu arbeiten.

    Diese Eigenschaft hat es nach Angaben von
    ZDNet [http://www.zdnet.de/88209270/apple-speichert-private-daten-ungefragt-icloud]
    schon in OS X Mavericks gegeben, nur sei dies nicht so offensichtlich
    gewesen.

    OS X Yosemite synchronisiert über die iCloud zudem E-Mail-Adressen von
    Personen, mit denen man mit Apple Mail kommuniziert. Somit werden auch
    E-Mail-Adressen in die Cloud geladen, die nicht mit einem iCloud-Konto
    verbunden sind.

    ZDNet weist auf eine weitere Besonderheit hin: Wenn in der iCloud
    gesicherte Dateien unter Yosemite gelöscht wurden, lässt sich mit OS X
    Mavericks noch auf diese zugreifen.

    2. Samsung: Schwachstelle in "Find my Mobile"

    Samsungs Dienst "Find my
    Mobile" [http://findmymobile.samsung.com/login.do] soll Eigentümern
    gestohlener oder verlorener Samsung Smartphones und Tablets ermöglichen,
    ihr Gerät zu finden oder zu sperren. Eine Schwachstelle in dem Dienst
    ermöglicht es Angreifern, fremde Geräte zu sperren oder diese dazu zu
    bringen, einen lauten Alarm ertönen zu lassen. Möglich ist dies über
    präparierte Webseiten, berichtet Heise
    Online [http://www.heise.de/security/meldung/Immer-Aerger-mit-Samsung-Dienst-Find-My-Mobile-2435372.html].

    3. Phishing, die Erste: Gefälschte E-Mail von eBay

    Die Polizei berichtet von vermehrten Hinweisen auf eine Phishing-Mail,
    die vorgibt, vom eBay-Käuferschutz zu kommen. Die Angeschriebenen werden
    darin aufgefordert, sich einer Legitimationsprüfung zu unterziehen. Der
    in diesem Zusammenhang angegebene Link führt zu einer gefälschten Seite.
    Offenbar sind die E-Mails gut gefälscht und enthalten den korrekten Namen
    und die Anschrift des eBay-Kunden. Betroffene finden bei
    der Polizeiberatung
    Tipps [http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/ebay-kaeuferschutz-mail-gefaelscht.html].

    4. Phishing, die Zweite: Gefälschte E-Mail von amazon

    Sollten Sie eine Mail erhalten haben, die suggeriert, Ihr amazon-Konto
    sei wegen "ungewöhnlicher Kontoaktivitäten" gesperrt: Die Mail ist
    gefälscht, Ihr Konto intakt, wie eine rasche Überprüfung ergeben sollte.
    Solche Phishing-Mails sind gerade wieder verstärkt im Umlauf und
    versuchen, amazon-Kunden auf gefälschte Webseiten zu locken, auf denen
    sie persönliche Daten angeben sollen. Die gefälschten Webseiten sind
    häufig auch zugleich Virenschleudern. Folgen Sie dem Link in der Mail
    also bitte auch nicht rein interessehalber. Mehr zu diesem Phishing-Fall
    finden Sie bei der
    Polizeiberatung [http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/amazon-konto-gesperrt.html].

SCHUTZMASSNAHMEN
    5. Pidgin: Sicherheitsupdate für den Messenger

    Der quelloffene Messenger Pidgin hat ein Sicherheitsupdate erhalten, das
    fünf bekannten Sicherheitsproblemen
    begegnet [http://www.heise.de/security/meldung/Sicherheits-Update-fuer-Pidgin-Messenger-2435406.html].
    Unter anderem war es Angreifern möglich, dem verschlüsseltem Austausch
    von Nachrichten zu folgen.

PRISMA
    6. Smart-TV: BSI gibt Tipps

    Die Vorweihnachtszeit ist auch die Zeit, in der sich viele Fernseher der
    Prüfung unterziehen müssen, ob sie noch den jeweiligen familiären
    Anforderungen genügen, oder ob sie Platz für ein neues Gerät machen
    müssen. Großer Beliebtheit erfreuen sich schon seit einiger Zeit
    Smart-TV, oder auch Hybrid-TV. Diese Fernsehgeräte bieten einen
    Internetanschluss und anderen Zusatznutzen, der jedoch auch bestimmte
    Risiken birgt. Das BSI hat deshalb Tipps zum Umgang mit
    Smart-TV
    veröffentlicht [https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/SmartTV/SmartTV_node.html],
    damit sich zu Ihrem neuen Fernsehspaß nicht auch neue Bedrohungen
    gesellen.

    7. Digitale Agenda: Chancen für deutsche Anbieter von IT-Sicherheit

    In der Digitalen
    Agenda [http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/Digitale-Agenda/digitale-agenda_node.html]
    bezeichnet die deutsche Bundesregierung die Verbesserung von
    IT-Sicherheit und den Schutz von IT-Systemen und Diensten als eines von
    drei Kernzielen. Nach Ansicht der
    Computerwoche [http://www.computerwoche.de/a/chancen-fuer-deutsche-security-anbieter,3068972]
    ergeben sich daraus Potenziale für deutsche Anbieter von IT-Sicherheit:
    Es gäbe Anzeichen, dass IT-Lösungen aus Deutschland eine steigende
    Bedeutung erhalten würden.

    8. Android: 32 Sicherheits-Apps im Test

    Das Magdeburger Institut AV Test hat 32 Sicherheits-Apps
    für Android auf ihre Schutzwirkung
    getestet [http://www.av-test.org/de/news/news-single-view/32-schutz-apps-fuer-android-im-test/].
    Gleich 13 Produkte erzielen die höchstmögliche Punktzahl und teilen sich
    damit den ersten Platz. Die Tester kommen zu dem Ergebnis, dass es
    Besitzern von Android-Geräten leicht gemacht werden würde, ihr System zu
    sichern. Und zwar auch, ohne dafür Geld ausgeben zu müssen.

    9. IT-Gipfel: ddosfrei.de vorgestellt

    Auf dem Nationalen IT-Gipfel 2014 in
    Hamburg [http://www.it-gipfel.de/] hat der eco Verband der deutschen
    Internetwirtschaft in Zusammenarbeit mit den teilnehmenden Internet
    Service Providern und dem BSI ein Konzept für ein neues
    Informations- und Serviceportal rund um
    DDoS-Angriffe [http://www.eco.de/2014/news/ddosfrei-de-neue-initiative-fuer-sichere-server.html]
    entwickelt.
    Auf ddosfrei.de können sich künftig Privatpersonen sowie kleine und
    mittlere Unternehmen über das Risiko von DDoS-Attacken informieren und
    auch eine Überprüfung auf Sicherheitslücken am eigenen Server
    veranlassen. Zusätzlich erfahren sie, wie sich festgestellte Mängel
    beheben lassen.
    Das neue Portal schließt sich
    botfrei.de [https://www.botfrei.de] an, einer
    erfolgreichen Initiative, die während des IT-Gipfels 2010 entstand.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de
-----------------------------------------------------------------------

Veröffentlichung mit genehmigung vom BSI.

vy 73, Jochen

db8as@db0eam.deu.eu



Read previous mail | Read next mail