Eine Sicherheitslücke vom Februar 2014 in diversen Fritz!Boxen kann offenbar noch genutzt werden. Der Grund: Viele Nutzer haben die Software auf ihrer Fritz!Box nicht aktualisiert. Hacker sollen die Lücke weiterhin nutzen um die Router anzugreifen. Betroffen seien besonders Anwender, die den Fernzugriff über den Port 443 aktiviert und eine Telefoniefunktion in ihrem Router drin haben. Dabei suchen die Angreifer offenbar gezielt nach Routern, bei denen die Passwort-Neuvergabe versäumt worden ist. Telefonbetrüger könnten die Geräte missbrauchen. Diese könnten Anrufe nach Kuba, Sierra Leone oder Afghanistan über die eigene Fritz!Box durchführen, sodass für Nutzer hohe Telefonkosten entstehen. Das Update sollte so schnell wie möglich eingespielt werden. Außerdem ist es sehr empfehlenswert das Passwort beim eigenen Router zu ändern.
Schlagwort: Sicherheitslücke
Bash Bug Shellshock könnte massive Sicherheitslücke für das Internet sein
Noch nicht all zu lang ist es her, da sorgte der Heartbleed-Bug für Probleme, jetzt gibt es offenbar schon das nächste Problem. Der Bash Bug Shellshock könnte für massive Sicherheitsprobleme im Internet sorgen. Im Betriebssystem Linux, dass bekanntlich nicht nur auf Computern, sondern auch auf Webservern massiv eingesetzt wird, kann über die Bash Shell durch die frisch aufgetauchte Sicherheitslücke jeglicher Code ausgeführt werden. Der Fehler soll bereits seit längerer Zeit bestehen und ist auch in Enterprise Linux Software vorhanden. Für die Systeme Red Hat und Fedora gibt es bereits Patches. Auch OS X ist von der Lücke betroffen. Apple hat hier ebenfalls versprochen zeitnah eine Aktualisierung auszuliefern. Bash Bug Shellshock könnte massive Sicherheitslücke für das Internet sein weiterlesen
iCloud: Sicherheitslücke war seit März bekannt
Eine Sicherheitslücke in iCloud hat vor einiger Zeit für Furore gesorgt. Darüber konnten Hacker Nachtfotos von Prominenten herunterladen, die sie anschließend ins Netz stellten. Offenbar war die Sicherheitslücke, die von den Hackern genutzt wurde, gar nicht neu. Wie das US-Magazin Daily Dot berichtet soll die Lücke bereits seit März 2014 bekannt sein. E-Mails eines Programmierers an Apple belegen das. Der Programmierer Ibrahim Balic zeigte in seiner E-Mail vom 26. März, dass mit einer Bruteforce-Attack ohne Weiteres ein Zugriff auf die iCloud Server möglich war. Er zeigte dabei, dass es ohne Gegenwehr des Servers möglich war, darauf zuzugreifen. Es waren zwar Sicherheitsmechanismen bei dem Server vorhanden, aber anscheinend konnten diese problemlos umgangen werden. So probierte Balic 20000 Passwörter durch ohne das dabei Apple’s Sicherheitssystem anschlug. iCloud: Sicherheitslücke war seit März bekannt weiterlesen
Update: Kabel Deutschland Programm-App schickt Kennwörter unverschlüsselt an Server
Der Programmführer von Kabel Deutschland, mit dem auch der eigene Festplatten-Rekorder programmiert werden kann, hat wohl ein Sicherheitsproblem. Wie Heise Security berichtet sendet die App die Passwörter im Klartext an die Server des Anbieters. Heise bezeichnet diese Programmierung als grob fahrlässig. Mit dem übertragenen Kundendaten kann natürlich jede Menge Schaden angerichtet werden. So können sich Hacker beispielsweise mit den eigenen Daten Zugriff auf das Kundenportal von Kabel Deutschland verschaffen und so bequem Rechnungen, Verträge und auch persönliche Daten abrufen.
Rufnummernumleitung ist besonders gefährlich
Weiterhin besteht die Möglichkeit, dass Rufnummern über Premiumhotlines umgeleitet werden können. Für Nutzer würde das erhebliche Zusatzkosten beim normalen Telefonieren verursachen. Die Schwachstelle wurde bereits Anfang des Jahres von Consulter Peter Hämmerlein gemeldet. Derzeit bereite Kabel Deutschland, so kündigte das Unternehmen an, die Verschlüsselung der Kommunikation zwischen Server und App vor. Derzeit ist die Programm-App von Kabel Deutschland für iOS und Android verfügbar.
Update [von Christopher Piontek]:
Kabel Deutschland hat nun an seinen Sicherheitslücken gearbeitet und hat bekannt gegeben, dass die Kommunikation zwischen App und Server nun via https verschlüsselt übertragen wird. Hierzu gehören auch die sensiblen Login-Daten. Damit die Verschlüsselung bei allen Benutzern greift, sollte Euer Smartphone neu gestartet werden. Wie bereits erwähnt, plant Kabel Deutschland eine Aktualisierung seiner iOS- und Android-App des Programmführers. Diese soll in Abhängigkeit von Apples Freigabeprozess Mitte September in den AppStore gelangen.
Updatequelle: Kabel Deutschland
WLAN: PIN für WPS lässt sich oftmals leicht errechnen
Mit Hilfe von passiven Belauschen soll es möglich sein, die WPS PIN von einem Router zu berechnen. Daraus lässt sich dann der WPA-Key errechnen. Das jedenfalls behauptet der Schweizer Forscher Dominique Bongard, der den Vorgang in einer Präsentation beschreibt. Bei einem Koppelvorgang müsse so lediglich die WPS PIN berechnet werden. Dafür ist lediglich das passive Belauschen des jeweiligen WLAN-Netzwerks nötig, die auf Entwicklervorlagen von Broadcom oder einem anderen Chiphersteller setzen. Bei den genannten SDK’s arbeiten die Zufallsgeneratoren nicht zuverlässig. Deswegen sollte, so der Forscher, WLAN bei den Chipherstellern lieber abgeschalten werden. Welche Router genau betroffen sind lässt sich aktuell noch nicht sagen. Grund dafür ist, dass viele Router-Hersteller einfach ungeprüft die SDK der Firmware übernehmen. WLAN: PIN für WPS lässt sich oftmals leicht errechnen weiterlesen