Thema: Trojaner leitet Google-Nutzer auf gefälschte Seiten

[SiLæncer]

Das Surfen im Internet kann Spaß machen. Neben Unterhaltung und Information bietet das Web auch praktische Anwendungen wie Online-Banking und Online-Shopping. Häufig wird die Suchmaschine Google als Ausgangspunkt genutzt, um über die Suchergebnisliste zu den gewünschten Webseiten zu gelangen. Doch ein gefährlicher Trojaner treibt derzeit rund um den Globus sein Unwesen und kann die Suchergebnisse von Google fälschen.

Gefälschte Links bei Google

Die Sicherheitsexperten von Scansafe berichten in ihrem Scansafe Blog, dass Internetsurfer mit infiziertem Computer Gefahr laufen via Google auf manipulierte Webseiten weitergeleitet zu werden. Der Trojaner Troj/JSRedir-R wird von Cyberkriminellen auf bekannte, seriöse Webseiten platziert. Ist er erst einmal auf dem Rechner des Computeranwenders gelangt, so kann er weiteren Schadcode nachladen. Derzeit dient die chinesische Webseite gumblar.cn als Verbreitungsquelle für die Malware.

Der perfide Angriffsplan setzt jetzt aber erst richtig ein. Auf infizierten Rechnern kann die Suchergebnisliste der Google-Suche manipuliert werden, indem die Original-Links durch falsche Links ersetzt werden. Diese führen dann nicht auf die eigentliche Webseite, sondern auf eine täuschend echt nachgebaute Phishing-Kopie. Die Betrüger versuchen über diese Seiten dann an Passwörter und andere vertraulichen Daten zu gelangen. Der Trojaner ist auch in der Lage FTP-Zugangsdaten auf dem Rechner des Computernutzers zu stehlen und die von ihm betriebenen Internetseiten - wie etwa eine eigene Homepage - dann ebenfalls zu infizieren.

Drastischer Anstieg der Attacken

Laut Scansafe steigen die Attacken derzeit drastisch an: Seit letzter Woche wurden 188 Prozent mehr Rechner mit Schadcode von gumblar.cn infiziert, auf über 1.500 Webseiten finden sich bereits Verlinkungen auf den Trojaner und sorgen so unwissentlich für eine Weiterverbreitung. Google selbst ist machtlos, da die Attacken nicht auf den Google-Servern, sondern auf den heimischen Rechnern der Computernutzer stattfinden. Google kann manipulierte oder infizierte Webseiten nur aus seinem Index herausnehmen. Dies führt entsprechend zu einem wirtschaftlichen Schaden bei den betroffenen Webseitenbetreibern, da sie mit Besucherschwund und Rückgang der Werbeeinnahmen rechnen müssen.

Der Gumblar-Code ist besonders gefährlich, da die Hacker den Code offenbar äußerst flexibel anpassen und bei Bedarf auf andere IP-Adressen umschwenken können. Die Anbieter von Virenschutzsoftware arbeiten derzeit mit Hochdruck daran, Webseiten zu blockieren, die versuchen auf den Code auf gumblar.cn zuzugreifen. Computernutzer sollten ihre Schutzsoftware immer auf dem aktuellen Stand halten.

Quelle : www.onlinekosten.de

[SiLæncer]

Microsoft und Symantec haben gemeinsam das Bamital-Botnetz stillgelegt, das insgesamt bis zu 8 Millionen Rechner infiziert haben soll. Das Botnetz manipulierte die Suchergebnisse der Suchmaschinen Google, Yahoo und Bing. Microsoft und Symantec sorgten dafür, dass die Nutzer nach Abschalten der Command-and-Controll-Server (C&C) auf eine Informationsseite umgeleitet werden, die sie über die Infektion aufklärt und Links zu Reinigungswerkzeugen bereit hält. Laut Microsoft nahmen die Bamital-Betreiber pro Jahr rund eine Million US-Dollar ein.

Der ganze Artikel

Quelle : www.heise.de

[ritschibie]

Sicherheitsexperten haben sich Googles anwendungsspezifische Passwörter angesehen und kommen zu dem Schluss: Mit ihnen lässt sich die vermeintlich sichere zweifache Authentifizierung leicht umgehen. Google hat bereits nachgebessert.

Der Einsatz von Googles anwendungsspezifischen Passwörtern könnte gefährlich sein. Das haben Sicherheitsexperten bei ihren Versuchen herausgefunden. Sie haben Google ihre Ergebnisse zur Verfügung gestellt. Nachdem der Suchmaschinenanbieter nachgebessert hatte, haben die Experten ihre Ergebnisse veröffentlicht. Adam Goodman von der Sicherheitsfirma Duo Security hat die Versuchsreihe aufgeschrieben, bei der die zweifache Authentifizierung mit einer präparierten URL umgangen werden konnte.

Für den Zugang zu Google können auch anwendungsspezifische Passwörter
per URL übergeben werden.

Zweifach abgesichert

Google stellt eine Zwei-Faktor-Authentifizierung bereit, mit der ein Konto weitgehend abgesichert werden kann. Für die doppelte Identitätsprüfung verwendet Google inzwischen auch OAuth2. Das webbasierte Anmeldungsframework steht allerdings nicht in allen Anwendungen zur Verfügung. Wer sich sicher bei Thunderbird oder Pidgin einloggen will, nutzt stattdessen die anwendungsspezifischen Passwörter, die von Google bereitgestellt werden. Für jede Anwendung wird ein neues spezifisches Passwort generiert. Die Passwörter lassen sich später einzeln zurücksetzen, etwa wenn ein Gerät mit einer authentifizierten Anwendung abhandengekommen ist, deren Zugang dann gesperrt werden soll. Der Nutzer muss so nicht sein gesamtes Google-Konto sperren oder sein Masterpasswort ändern. Damit soll auch verhindert werden, dass sich ein Dieb Zugang zum Google-Konto des Opfers verschafft. Soweit die Theorie.

Doch nicht sicher?

Ganz so anwendungsspezifisch, wie der Name suggeriert, seien die generierten Passwörter aber nicht, schreiben die Sicherheitsexperten. Ein einziges Passwort lasse sich beliebig oft und in fast jeder Anwendung einsetzen. Selbst auf Googles Webseiten konnten die Sicherheitsexperten ein anwendungsspezifisches Passwort zur Anmeldung verwenden, um dann etwa ein verlorenes Masterpasswort zurückzusetzen. Hätte ein Angreifer also Zugriff auf ein anwendungsspezifisches Passwort, das er in einer präparierten URL eingebettet hat, hätte er so auch das Konto eines Opfers übernehmen können - trotz Zwei-Faktor-Authentifizierung.

Ausgehend von einer detaillierten Analyse des Login-Mechanismus unter Android durch Nikolay Elenkov, die er in seinem Blog Android Explorations niederschrieb, wollten die Experten bei Duo Security wissen, ob Elenkovs Beobachtungen auch auf Geräten funktioniert, auf denen kein Android installiert ist.

Die Sicherheitsexperten haben dazu einen Proxyserver mit einem eigenen Zertifikat eingerichtet und zunächst den Datenverkehr zwischen einem Android-Emulator und den Google-Servern abgegriffen und analysiert. Bei der abgefangenen Anfrage an den Server wird ein mit einem 1.024-Bit-RSA-Key verschlüsseltes Passwort übertragen. Zurück kam ein zeitlich begrenztes Token.

Die Experten ersetzten das verschlüsselte Passwort durch ein anwendungsspezifisches Passwort im Klartext und zusätzlich den Parameter EncyrptedPassword durch Password. Die beiden Parameter sind säuberlich in der Dokumentation des Clientlogin-APIs vermerkt. Auch hier kam vom Server android.clients.google.com ein funktionierendes Token zurück.

Der Datenverkehr zwischen Client und Server ging aber weiter. Aus der nächsten Login-Anforderung und der Antwort des Servers konnten Goodman und sein Team die sogenannte Merge-Session-URL auslesen, die allerdings nur für kurze Zeit gültig ist. Als diese URL in einem nicht authentifizierten Browser eingegeben wurde, öffnete sich die Webseite mit den Einstellungen des Google-Accounts sofort und ohne Passworteingabe.

Einfach gehackt

Ein Angreifer benötigte demnach lediglich einen Benutzernamen und ein einziges anwendungsspezifisches Passwort und eine einfach zu manipulierende URL, um sich eines Google-Kontos von einem beliebigen Gerät aus zu bemächtigen - unter Umgehung der zweifachen Authentifizierung, resümiert Goodman.

Fehler behoben

Seim Team habe Google seine Ergebnisse zugespielt und der Suchmaschinenkonzern habe schnell reagiert, schreibt Goodman. Seit dem 21. Februar 2013 werde der Zugang zu den Kontoeinstellungen und zu der Webseite, auf denen weitere anwendungsspezifische Passwörter für ein Konto erstellt werden können, stärker abgesichert. Anwender müssen ihren Benutzernamen und Passwort eingeben, um auf die Seite zu gelangen, auch wenn der Browser eine Merge-Session-URL an die Google-Server übergibt. Außerdem gibt es jetzt eine Warnung, wenn ein Anwender ein anwendungsspezifisches Passwort abholt: "Mit diesem Passwort erhalten Sie uneingeschränkten Zugriff auf Ihr Google-Konto."

Quelle: www.golem.de