Archiv der Kategorie: Betrug

Hybrid-Apps als Einfallstor für Angriffe auf Unternehmen

Oliver Küch, Presse- und Öffentlichkeitsarbeit des Fraunhofer-Institut für Sichere Informationstechnologie SIT, teilte am 6. Oktober mit:

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf Unternehmens-Smartphones. Die Experten für mobile Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigen die App-Testlösung „Appicaptor“ und neue Untersuchungsergebnisse zu App-Sicherheit vom 10. bis 12. Oktober auf der it-sa in Nürnberg (Halle 9 Stand 410).

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.
Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können, da durch die App-Schnittstellen zum Betriebssystem auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden. „Hybrid-Apps sind aufgrund des fehlenden Integritätsschutzes der Anwendungslogik für den Unternehmenseinsatz besonders kritisch zu sehen“, sagt Dr. Jens Heider, Leiter des Testlabors für mobile Sicherheit am Fraunhofer SIT. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll. „Wir haben eine Zunahme an verwundbaren Hybrid-Apps in den unterschiedlichen App-Stores festgestellt“, sagt Jens Heider.
Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. „Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt.“, erklärt Jens Heider. Hier haben die Fraunhofer-Forscher ihre Analysemethoden erweitert und so angepasst, dass auch Hybrid-Apps automatisiert untersucht werden können.
Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.
Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. „Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.“, erklärt Jens Heider. Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt: „Hat eine App etwa Zugriff auf Mikrofon und Dateisystem, kann eine seriöse Nachrichten-App zu einer Wanze umfunktioniert werden“. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren. Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.
Auf der it-sa zeigen die Fraunhofer-Wissenschaftler die App-Testlösung Appicaptor, mit der sie die Apps untersucht haben. Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und Einhaltung von Datenschutzvorgaben und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.
Das Fraunhofer SIT zeigt auf der it-sa außerdem Lösungen für mehr IT-Sicherheit in der digitalisierten Industrie sowie die „Volksverschlüsselung“, eine einfache Verschlüsselungshilfe für jedermann.

Weitere Informationen:
http://www.sit.fraunhofer.de/it-sa2017 Fraunhofer SIT-Auftritt auf der it-sa 2017
http://www.sit.fraunhofer.de/securityindex2017 Appicaptor Security Index 2017:
http://www.appicaptor.de mehr Informationen zu Appicaptor

Advertisements

Abzocker unterwegs: Deutsche Domain

eMails mit Rechnungen der „DE Deutsche Domain” fordern Geld für angebliche Leistungen, wie Registrierung, Hosting oder was auch immer. In den Müll und auf gar keinen Fall zahlen.I

Keine dieser Rechnungen entspricht deutschem Recht. Es sind weder Rechnungsempfänger noch Rechnungsteller im erforderlichen Umfang auf der Rechnung enthalten. Die eMail zeigt im Grunde schon die Absicht: Abzocken. „Sehr geehrte Frau / Herr“ steht dort. Die „deutschedomain.com“ ist über die Firma Domains By Proxy, LLC im Arizona/USA registriert. Der Domaininhaber ist damit kaum greifbar. In der eMail fehlen natürlich sämtliche Pflichtangaben, die das deutschem Recht fordert.

Es gibt sogar in Deutschland eine Beschwerdestelle. Die geht jedoch nur deutschen Spam-eMails nach, weil sie der Meinung ist, dass ausländische Anbieter schwer oder gar nicht zu beeinflussen sind. Darum heißt es ja auch Internet.

Besondere Spam-E-Mails sind solche, die über die Rechtswidrigkeit der unverlangten Versendung hinaus entweder rechtswidrige Inhalte beinhalten oder auf solche verweisen.

E-Mail, Spam Vorgehensweise
Für Beschwerden über deutschen Spam bitte die beschwerdegegenständliche E-Mail mit Original Header an eine der folgenden E-Mail Adressen weiterleiten:

besonderer-spam@internet-beschwerdestelle.de

Phishingwelle: Schütze dein Bankkonto – jetzt

Mit imitierten E-Mails von Kreditinstituten täuschen Betrüger eine notwendige Änderung der Zugangsdaten zum Onlinebanking vor. Weil die Phishing*-Mail den persönlichen Vor- und Nachnamen des Empfängers trägt, fallen viele Nutzer darauf herein. Die Empfänger werden aufgefordert, auf den E-Mail Link zu klicken und ihre Kundendaten über ein Online-Formular zu bestätigen oder sich an einem Demokonto anzumelden um eine Testüberweisung durchzuführen. Bei Nichtbefolgung drohen die unbekannten Absender z.B. mit zusätzlichen Kosten oder Sperre des Online-Kontos.

Auch bei vermeintlichen Rechnungen, Paketlieferungen, Zahlungsaufträgen oder E-Mail-Anfragen von Telekom, DHL, UPS oder Amazon kann sich ein Banking-Trojaner im Link verstecken.

Darauf weist die ETHIKBANK aus aktuellem Anlass hin. Sie zeigt auch die Schwachstellen, die bei den eMail-Empfängern liegen und wie man sich schützen kann.

Mehr dazu hier: http://www.ethikbank.de/onlinebanking/sicherheit/aktueller-sicherheitstipp.html

 

Datenschutz, für wen?

Datensammler und -vermittler **Acxiom** http://acxiom.com muss den Konsumenten künftig alle gesammelten Informationen über sie, die zur Kommerzialisierung genutzt werden, offenlegen. Die Gesellschaft sammelt sämtliche Kunden-Inhalte weltweit – vom Einkommen bis zu politischen Ansichten – und zählt zu den globalen Sammelgiganten online.

Acxiom zählt mehr als eine Trillion Daten-Transaktionen von 700 Mio. Konsumenten weltweit pro Woche. Diese sollen den Bürgern nun jedoch transparent gemacht werden, was Vermutungen zufolge von der US-Federal Trade Commission http://ftc.gov eingeleitet wurde.

Abzocke: Versuch strafbar

„Zum Bezahlen von EUR 30,00 für Ihren Service bei Zong geben Sie bitte Bezahlcode 83×8 ein. Mit der Eingabe lösen Sie einen Zahlungvorgang aus.“
Mit dieser SMS gehen zur Zeit Abzocker namens Zong auf die Jagd nach Euro in unbestimmter Höhe.
## Für wie doof halten die einen?
Da ruft dann jemand an und behauptetet. Er sei von der Telekom und hätte für mich als treuen Kunden 120€ gutgeschrieben. Ich soll nur die Nummer aus der SMS nennen. Ich hoffe nicht, dass auf so einen Mist jemand reinfällt Ich habe es an die Telekom geschickt.
Bisher keine Reaktion.
> Abzocker tieferlegen!