Archiv der Kategorie: Computer

Hybrid-Apps als Einfallstor für Angriffe auf Unternehmen

Oliver Küch, Presse- und Öffentlichkeitsarbeit des Fraunhofer-Institut für Sichere Informationstechnologie SIT, teilte am 6. Oktober mit:

Immer mehr Hybrid-Apps im Einsatz – diese bringen Risiken der Webtechnologie auf Unternehmens-Smartphones. Die Experten für mobile Sicherheit des Fraunhofer-Instituts für Sichere Informationstechnologie SIT zeigen die App-Testlösung „Appicaptor“ und neue Untersuchungsergebnisse zu App-Sicherheit vom 10. bis 12. Oktober auf der it-sa in Nürnberg (Halle 9 Stand 410).

Viele, auch seriöse, mobile Apps haben schwerwiegende Sicherheitslücken in der Programmierung, die Angreifer ausnutzen und somit große Schäden für Unternehmen anrichten können. Besonders anfällig für Angriffe sind Hybrid-Apps, die auf unterschiedlichen mobilen Betriebssystemen laufen. Das ist das Ergebnis des neuen Appicaptor Security Index des Fraunhofer SIT, der sich dieses Jahr besonders auf die Sicherheitsanalyse der Hybrid-Apps konzentriert.
Plattformübergreifende, also Hybrid-Apps, nutzen Webtechnologien wie HTML und JavaScript. Damit importieren sie auch die Sicherheitsnachteile dieser Technologien vom Browser in die Apps – wo sie ungleich gravierendere Schäden für Unternehmen anrichten können, da durch die App-Schnittstellen zum Betriebssystem auch weitere Unternehmensdaten und Sensoren aus dem Smartphone angreifbar werden. „Hybrid-Apps sind aufgrund des fehlenden Integritätsschutzes der Anwendungslogik für den Unternehmenseinsatz besonders kritisch zu sehen“, sagt Dr. Jens Heider, Leiter des Testlabors für mobile Sicherheit am Fraunhofer SIT. Allerdings sind diese Apps bei Entwicklern sehr beliebt, da eine Anwendung nur einmal programmiert werden muss und dann plattformübergreifend läuft, was Zeit und Kosten sparen soll. „Wir haben eine Zunahme an verwundbaren Hybrid-Apps in den unterschiedlichen App-Stores festgestellt“, sagt Jens Heider.
Darüber hinaus wird eine Untersuchung dieser Apps erschwert, da ein Mix aus JavaScript und nativem Code genutzt wird. „Gerade Schwächen von JavaScript-Code werden bei vielen App-Analysen häufig nicht ausreichend berücksichtigt.“, erklärt Jens Heider. Hier haben die Fraunhofer-Forscher ihre Analysemethoden erweitert und so angepasst, dass auch Hybrid-Apps automatisiert untersucht werden können.
Laut dem Appicaptor Security Index ist es zudem auffällig, dass Hybrid-App-Entwickler überwiegend auf die Nutzung bestehender Schutzmaßnahmen in ihren Apps verzichten und Bibliotheken mit bekannten Sicherheitslücken einsetzen – sei es aus Zeitdruck oder Unkenntnis.
Die Fraunhofer-Sicherheitsforscher haben jeweils die 2000 Top-Apps für die mobilen Betriebssysteme Android und iOS automatisiert untersucht. „Smartphone-Nutzer, die Apps mit einer schlechten Sicherheitsqualität nutzen, können über Schwachstellen dieser Apps Opfer von Angriffen Dritter werden, ohne explizite App-Malware installiert zu haben.“, erklärt Jens Heider. Dabei können Angreifer gravierende Schäden anrichten, je nachdem, über welche Berechtigungen die anfällige App verfügt: „Hat eine App etwa Zugriff auf Mikrofon und Dateisystem, kann eine seriöse Nachrichten-App zu einer Wanze umfunktioniert werden“. Unter Android kann ein Angreifer in diesem Fall auch unbemerkt Inhalte wie interne Fotos oder vertrauliche PDF-Dokumente aus dem (externen) Dateisystem auslesen und in einen Cloud-Speicher des Angreifers kopieren. Laut Appicaptor Security Index sind zudem mehr als 70 Prozent der Apps zur Verwaltung von Dokumenten und Dateien nicht sicher genug, um in Unternehmen eingesetzt zu werden. So sind beispielsweise übermittelte oder gespeicherte Daten nicht hinreichend gegen den unbefugten Zugriff durch Dritte geschützt.
Auf der it-sa zeigen die Fraunhofer-Wissenschaftler die App-Testlösung Appicaptor, mit der sie die Apps untersucht haben. Appicaptor scannt automatisch große Mengen von beliebigen iOS- und Android-Apps, untersucht sie auf IT-Sicherheit und Einhaltung von Datenschutzvorgaben und bewertet, ob sie für den Unternehmens- oder Behördeneinsatz geeignet sind oder nicht. Dabei arbeitet Appicaptor wahlweise mit Standardregeln oder gibt Empfehlungen entsprechend den individuellen Sicherheitsvorgaben und -anforderungen. Die Tests können automatisch wöchentlich wiederholt werden, sodass auch Änderungen bei sehr häufig aktualisierten Apps stets berücksichtigt werden können.
Das Fraunhofer SIT zeigt auf der it-sa außerdem Lösungen für mehr IT-Sicherheit in der digitalisierten Industrie sowie die „Volksverschlüsselung“, eine einfache Verschlüsselungshilfe für jedermann.

Weitere Informationen:
http://www.sit.fraunhofer.de/it-sa2017 Fraunhofer SIT-Auftritt auf der it-sa 2017
http://www.sit.fraunhofer.de/securityindex2017 Appicaptor Security Index 2017:
http://www.appicaptor.de mehr Informationen zu Appicaptor

Advertisements

Phishingwelle: Schütze dein Bankkonto – jetzt

Mit imitierten E-Mails von Kreditinstituten täuschen Betrüger eine notwendige Änderung der Zugangsdaten zum Onlinebanking vor. Weil die Phishing*-Mail den persönlichen Vor- und Nachnamen des Empfängers trägt, fallen viele Nutzer darauf herein. Die Empfänger werden aufgefordert, auf den E-Mail Link zu klicken und ihre Kundendaten über ein Online-Formular zu bestätigen oder sich an einem Demokonto anzumelden um eine Testüberweisung durchzuführen. Bei Nichtbefolgung drohen die unbekannten Absender z.B. mit zusätzlichen Kosten oder Sperre des Online-Kontos.

Auch bei vermeintlichen Rechnungen, Paketlieferungen, Zahlungsaufträgen oder E-Mail-Anfragen von Telekom, DHL, UPS oder Amazon kann sich ein Banking-Trojaner im Link verstecken.

Darauf weist die ETHIKBANK aus aktuellem Anlass hin. Sie zeigt auch die Schwachstellen, die bei den eMail-Empfängern liegen und wie man sich schützen kann.

Mehr dazu hier: http://www.ethikbank.de/onlinebanking/sicherheit/aktueller-sicherheitstipp.html

 

Widerstand gegen Bespitzelung

Riseup.net Juni/Juli

Der große Bruder ist groß

Vielleicht habt Ihr in den Medien diese kleine Geschichte mitbekommen, dass die US-Regierung Telefon-, E-Mail-, Chat- und Social-Media-Daten von allen Menschen weltweit sammelt? Krass – aber auch toll, dass mal Licht auf dieses massive Spionage-Programm fällt. Und nur weil wir keine Programme anderer Regierungen kennen, bedeutet das nicht, dass es sie nicht gibt. Hier in der Riseup-Zentrale belehren wir Euch schon seit langem, dass Informationen, die Ihr an Unternehmen gebt, als Informationen betrachtet werden sollten, die Ihr auch an Eure oder die US-Regierung gebt. Wir gehen davon aus, dass Ihr Eure Freund_innen regelmäßig damit nervt. Wo Ihr das nun nicht mehr müsst, gibt es hier eine neue Lektion, die Ihr ihnen weitergeben könnt: Warum Meta-Daten wichtig sind.

Meta-Daten, das sind alle Informationen darüber, mit wem Du kommunizierst, wie oft, für wie lange und von wo – sie können verwendet werden, um eine soziale Karte zu erstellen. Diese soziale Karte kann zum Beispiel dafür genutzt werden, Verbindungsleute in sozialen Bewegungen und Kampagnen auszumachen, also die Leute, die verschiedene Gruppen untereinander vernetzen.

Sagen wir mal, da ist eine wirklich gute und erfolgreiche Anti-Kohle-Kampagne am laufen, die so effektiv ist, dass die Mächtigen sie stoppen wollen. Die aus den Meta-Daten erstellte soziale Karte zeigt
ihnen, wer die handvoll Leute sind, die die grünen Anarch@s mit den Klimaschützer_innen vernetzen. Selbst in wirklich großen Kampagnen sind die Verbindungsleute oft nur eine handvoll Menschen, ohne die Kommunikation, Koalition, Koordination und Solidarität zusammenbrechen würden. Nicht dass sie zusammenbrechen könnten – es würde so kommen. Konzerne und Regierungen wissen sogar, wie viele dieser Verbindungsleute sie ausschalten müssten, um eine Bewegung zu sprengen. Dafür gibt es Algorithmen, akademische Papiere wurden dazu verfasst. Was sie jedoch nicht immer wussten: wer diese verflixten Verbindungsleute sind.

Nun wirf einen Blick auf die aus den Meta-Daten erstellte soziale Karte, von der ganz einfach und mit zunehmender Genauigkeit abgelesen werden kann, wer diese Verbindungsleute sind, die sie sich vorknöpfen müssen. Welche sie verfolgen und einschüchtern müssen, um sie vom Organisieren abzubringen. Wen sie überwachen und mit Verfahren wegen irgendwelcher Kleinigkeiten überziehen müssen. Wen sie auf ungesetzliche Weise kriegen müssen. Wen sie entführen, foltern und töten müssen. Seien wir nicht so naiv zu glauben, dass das noch nie passiert ist und auch nicht wieder passieren wird. Die Sammlung von Meta-Daten macht das alles einfacher.

Klingt paranoid? Oder sind wir an einen Punkt gelangt, an dem nichts mehr paranoid erscheint…

Aber was können wir unternehmen?

Für den Anfang sorge dafür, dass alle Deine Bekannten einen E-Mail-Anbieter nutzen, der SSL/StartTLS unterstützt. In Bezug auf E-Mail ist dies der einzige Schutz vor der Überwachung unserer sozialen Netze.

Und wie steht es um Telefonverbindungen, Internet-Chats und soziale Medien?

Die Riseup-Vögel haben nicht auf alles eine Antwort, doch arbeiten wir daran. Eines wissen wir jedoch: Privatsphäre und Sicherheit lassen sich nicht durch individuelle Lösungen erreichen. Wenn wir Sicherheit wollen, brauchen wir einen gemeinsamen Ansatz zum Aufbau einer alternativen Infrastruktur.

Anmerkung: Unsere hierarchiekritische, anarchistische Seite will hinzufügen, dass wir nicht glauben, Verbindungsleute seien die wichtigsten Aktivist_innen, weil wir alle schrecklich fest davon überzeugt sind, dass im Ökosystem jeder Bewegung viele kritische Nischen existieren, die alle gleich wichtig sind. Doch sind auch Verbindungsleute notwendig – so wie die Arbeit, die Du und Du und Du beiträgst.

Datenschutz, für wen?

Datensammler und -vermittler **Acxiom** http://acxiom.com muss den Konsumenten künftig alle gesammelten Informationen über sie, die zur Kommerzialisierung genutzt werden, offenlegen. Die Gesellschaft sammelt sämtliche Kunden-Inhalte weltweit – vom Einkommen bis zu politischen Ansichten – und zählt zu den globalen Sammelgiganten online.

Acxiom zählt mehr als eine Trillion Daten-Transaktionen von 700 Mio. Konsumenten weltweit pro Woche. Diese sollen den Bürgern nun jedoch transparent gemacht werden, was Vermutungen zufolge von der US-Federal Trade Commission http://ftc.gov eingeleitet wurde.

RSS einrichten

Die Abkürzung RSS steht für „Really Simple Syndication“ (wirklich einfache Verbreitung).

## RSS – was ist das?
RSS ist ein elektronisches Format, um Texte einer Webseite auch ohne Besuch einzelner Webseiten zur Verfügung zu stellen. Nachrichten- und Informationsdienste die oft aktuelle Inhalte anbieten, können diese über RSS-Feeds (to feed heißt füttern) weitergeben.

Mit den meisten **Internet-Browsern** können RSS-Nachrichtendienste gelesen werden. Sie werden als dynamische Lesezeichen gespeichert. Auch werden kostenlose oder kostenpflichtige **RSS-Reader** angeboten. Sie dienen dem komfortablen Abonnieren, Verwalten und Lesen der Nachrichten. Apple hat RSS-Feeds auch in dem Programm Mail integriert.

RSS-Feeds bringen die aktuellen Meldungen und Nachrichten immer schnell ins Blickfeld. Ob ein Feed auf einer Internetseite angeboten wird, erkennen man an dem orangenen RSS-Logo.

Ubuntu

## Waiting for network configuration.
Mit der Meldung zeigt **Ubuntu** eine gefühlte halbe Stunde, dass Linux noch nicht MacOS ersetzen kann.

Überhaupt klebt Ubuntu noch zu sehr an Windows. Das ist schade, denn mancher Mac-Besitzer würde gerne umsteigen, Wenn er ein edles Gerät hat, welches von den aktuellen Mac OS Versionen Lion und Mountain Lion nicht mehr unterstützt wird.

Dieses Umsteigen verhindert aber die Installationsroutine, die bei Linux immer noch an Benutzern orientiert scheint, die gewohnt sind bei solchen Angelegenheiten den Schraubenschlüssel in die Hand zu nehmen, oder zumindest das Terminal zu bemühen.

Schade, schade. Wer gesehen hat, wie Ubuntu sein SmartPhone-Betriebssystem präsentierte, der könnte meinen, die eifern Apple nach. Und die Oberfläche von Ubuntu seit 10.2 sieht genauso aus wie bei Mac OS, nur das Dock ist standardmäßig nicht unten, sondern links. So ist das mir am MacBook unter den Wildkatzen schon lange eingestellt.