Thema: Android diverses ...

[SiLæncer]

Die Verbraucherzentrale Sachsen warnt vor Whatsapp-Nachrichten, die einen Link zu einem kostenpflichtigen Abo enthalten. Wer nicht aufpasst, tappt schnell in die Falle.

4,99 Euro pro Woche

Laut den Verbraucherschützern, erhalten Whatsapp-Nutzer Nachrichten mit einem Link, der auf neue Funktionen des Messengers hinweisen soll. "Wer diesen Link anklickt, findet auf seiner nächsten Telefonrechnung zum Preis von 4,99 Euro pro Woche ein Abo bei einem Drittanbieter", warnt Katja Henschler von der Verbraucherzentrale Sachsen. Darüber hinaus lädt die Nachricht zum Weiterleiten an Freunde und Bekannte ein, was im schlechtesten Fall zu einer raschen Verbreitung der Spam-Nachricht beiträgt.

Drittanbieter gelangen vergleichsweise einfach an die Nutzerdaten: "Das funktioniert über das so genannte WAP-Billing, ein Bezahlsystem für mobile Endgeräte", informiert die Verbraucherschützerin. Besteht eine mobile Internetverbindung, wird die Mobilfunknummer an den Drittanbieter übermittelt, der nach dem Anklicken des Links einen abgeschlossenen Abo-Vertrag unterstellt. Die Forderung werde anschließend "wie gewohnt" über die Mobilfunkrechnung geltend gemacht. Eine Legitimation via TAN und/oder PIN, wie man sie vom Online-Banking kennt, findet nicht statt: "Anbieter haben auf diese Weise ein unglaublich leichtes Spiel, Nutzern eine Geldforderung unterzuschieben", kritisiert Henschler.

Verbraucherzentrale: Keinesfalls zahlen

Die Verbraucherzentrale rät, den Forderungen sowohl beim Mobilfunkanbieter als auch beim Drittanbieter zu widersprechen und keinesfalls zu zahlen. Sollte der Betrag im Lastschriftverfahren eingezogen worden sein, kann innerhalb von acht Wochen bei der Bank eine Rückbuchung veranlasst werden. "Wer sich zukünftig vor solchem Ärger schützen will, kann eine so genannte Drittanbietersperre einrichten lassen", rät Henschler.

Quelle : www.onlinekosten.de

[SiLæncer]

Passwörter im Klartext übertragen? Https-Zertifikate nicht überprüfen? Durchaus nicht unüblich, prangert ein Hersteller von Sicherheitssofttware an.

Laut einer Untersuchung gehen zahlreiche Android-Apps schlampig mit Logindaten um. Nicht alle Probleme seien ganz so offensichtlich wie die der Dating-App Match.com, die Benutzername und Passwort komplett unverschlüsselt überträgt. Weit verbreitet seien aber – so der Chef der Firma AppBugs Rui Wang gegenüber Arstechnica – Fehler bei der Implementierung der https-Verschlüsselung.

So prüfe beispielsweise die App der Basketball-Liga NBA Zertifikate nicht korrekt. Daher kann ein Angreifer mit einem selbst ausgestellten Zertifikat und einem WLAN-Acesspoint das Passwort für das fast 200 US-Dollar teure Abo abgreifen. Allein von diesem Problem seien mehr als 50 Apps betroffen, unter anderem die von PizzaHut und der Supermarktkette Safeway. Insgesammt habe Wang 100 Apps gefunden, die nachlässig mit Anmeldedaten umgehen und zusammen auf 200 Millionen Downloads kommen. Dennoch haben erst rund ein viertel der Hersteller auf die Bugreports reagiert.

Allerdings hat die Firma AppBugs auch ein ganz eigenes Interesse an dieser Geschichte, denn die Liste aller betroffenen Apps bekommt nur zu sehen, wer deren App installiert. Die wiederum tauchte just am selben Tag im PlayStore auf wie das Interview mit Wang bei Arstechnica – und hat noch herzlich wenig Downloads.

Dennoch zeigt die Analyse, dass auch Apps von namhaften Firmen noch immer nachlässig mit verschlüsselten Übertragungen umgehen. Dabei hatte erst im April eine fehlerhafte Netzwerkbibliothek iOS-Apps angreifbar gemacht, kurz davor war bekannt geworden, dass Freak Attack die SSL-Verschlüsselung von Millionen Webseiten unterläuft, wenn man sie mit Apple- und Android-Geräten besucht.

Quelle : www.heise.de

[SiLæncer]

Gefälschte E-Mails im Namen der Postbank machen aktuell die Runde und fordern Nutzer dazu auf, eine SSL-Zertifikat-App zu installieren. Dahinter verbirgt sich jedoch ein Trojaner, der unter anderem mTANs für Online-Banking mitschneidet.

Wer dieser Tage eine E-Mail von der Postbank erhält, sollte lieber zweimal hingucken, denn derzeit wollen Kriminelle Android-Nutzer mittels einer gut gemachten Mail und Webseite davon überzeugen, eine "SSL Zertifikat"-App zu installieren. In Wirklichkeit ist es aber ein Trojaner, der unter anderem PIN und mTANs fürs Online-Banking abgreift und an die Angreifer weiterleitet.

Dabei handelt es sich um eine Variante des Zitmo-Trojaners, der bereits im Jahr 2013 sein Unwesen auf Android-Geräten trieb. Der Schädling räumt sich unter anderem das Recht ein, eingehende SMS-Nachrichten abzufangen und Daten ins Internet zu senden. Ferner klinkt er sich in den Bootvorgang des Smartphones ein. Das zeigt eine Analyse der App mit der Anubis Sandbox. Virustotal zufolge ist der Erkennungsrate des mTAN-Trojaners aktuell noch sehr gering.

Klickt man von einem Computer oder iPhone aus auf den Link in der gefälschten E-Mail, erscheint lediglich die Meldung: "Zertifikat wurde erfolgreich Installiert." Nur wenn der Besucher ein Android-Gerät nutzt, erscheint eine Webseite, die ihm eine angebliche Zertifikats-App aufschwatzen will. Dabei wird detailliert erklärt, wie die Installation von Apps aus unbekannten Quellen freigeschaltet wird.

Quelle : www.heise.de

[SiLæncer]

Über eine Schwachstelle im Debugger können Angreifer den Inhalt des Hauptspeichers von über 90 Prozent aller Android-Geräte auslesen und so weitere Attacken fahren.

Trend Micro zufolge weisen alle Android-Smartphones und -Tablets mit den Versionen 4.x (Ice Cream Sandwich) und 5.x (Lollipop) eine Sicherheitslücke im Android-Debugger Debuggered auf. Nutzt ein Angreifer die Schwachstelle aus, kann er den Inhalt des Hauptspeichers einsehen und mit diesen Infos weitere Angriffe ausführen. Laut Googles Statistik setzen aktuell 94,1 Prozent aller Android-Geräte auf die betroffenen Systeme.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Eine Analyse der Spionage-App RCSAndroid zeigt umfassende Ausspähfunktionen auf. Die Infektion erfolgt über Exploits – und möglicherweise auch Google Play.

Die von Hacking Team entwickelte Spionagesoftware Remote Control System Android (RCSAndroid) ist laut einer Analyse der Antivirenfirma TrendMicro einer der professionellsten Android-Schädlinge überhaupt.

Der Super-Spion verwandelt das Smartphone unter anderem in eine Wanze, die Telefongespräche in Echtzeit an seinen Auftraggeber überträgt. Zudem verrät er die GPS-Koordinaten, zapft die Kameras an und liest neben Mails auch Kurznachrichten in allen wichtigen Messaging-Apps mit. Eine Screenshot-Funktion und das Ausspähen von Zugangsdaten zählen ebenfalls zum Funktionsumfang von RCSAndroid.
Drive-by-Infektion

Laut TrendMicro lässt sich die Spionagesoftware wahlweise über SMS oder einen Command-and-Control-Server beherrschen – vergleichbar mit einem klassischen Botnet. Dem Unternehmen liegen Indizien vor, die darauf hindeuten, dass RCSAndroid seit 2012 im Einsatz ist. Zur Installation des Trojaners schickt der Hacking-Team-Kunde sein Ziel auf eine speziell präparierte Webseite, die zwei Sicherheitslücken im Chrome-Browser auszunutzen versucht – vergleichbar mit einem Exploit-Kit. Sie betreffen den vorinstallierten Browser von Android 4.0 bis 4.3. Anschließend versucht sich der Spion durch eine weitere Lücke Root-Rechte zu verschaffen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

95 Prozent aller Android-Smartphones sollen sich durch "die Mutter aller Android-Schwachstellen" attackieren lassen. Angreifer können die Geräte unbemerkt durch eine MMS-Nachricht in eine Wanze verwandeln.

Durch eine Reihe von Schwachstellen in der Multimedia-Schnittstelle Stagefright sollen sich 95 Prozent aller Android-Smartphones kapern lassen. Wie der Sicherheitsforscher Joshua Drake von Zimperium zLabs gegenüber Forbes erklärt, muss der Angreifer seinem Opfer in spe lediglich eine MMS- oder Hangouts-Nachricht schicken, in der sich Exploit-Code befindet.

Angriff ohne Spuren

Damit der Exploit zündet, muss das Opfer die Nachricht in einigen Fällen noch nicht mal öffnen. Der Code wird ausgeführt, sobald die Nachricht vom Android-System verarbeitet wird. Laut Drake kann der Code die Nachricht im Anschluss löschen, wodurch sie das Opfer nie zu Gesicht bekommt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Neben dem Stagefright-Bug klafft eine weitere Lücke im Multimedia-System von Android – mehr als die Hälfte aller Geräte sind davon betroffen. Nach einem Angriff ist das Smartphone nicht mehr nutzbar.

Angreifer können Android-Geräte mit den Versionen 4.3 bis 5.1.1 mit einem präparierten Video im MKV-Container dauerhaft lahmlegen, berichten Sicherheitsforscher von Trend Micro. Googles Angaben zur Android-Verbreitung zufolge sind davon mehr als die Hälfte aller im Umlauf befindlichen Geräte betroffen. Laut dem Bericht von Trend Micro ist aktuell kein Patch angekündigt.

Die Schwachstelle liegt den Sicherheitsforschern zufolge im Mediaserver der betroffenen Android-Versionen. Öffnet ein Nutzer ein präpariertes Video, soll neben dem Service auch das Smartphone aufgrund eines Speicherfehlers abstürzen.

Smartphone nach Angriff unbenutzbar

In diesem Zustand gibt das Gerät keine Benachrichtigungen und Klingeltöne mehr von sich. Zudem gehen Nutzer-Eingaben äußerst zäh von der Hand. Ist das Gerät gesperrt, lässt es sich nicht mehr entsperren, schildern die Sicherheitsforscher. Darüber hinaus soll sich die MKV-Datei im Auto-Start verankern können und das Gerät über eine Neustart-Schleife unbenutzbar machen.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Schwachstellen im Multimedia-System sind gefährlicher als zuerst vermutet: Mit manipulierten MP4-Videos könnten Angreifer Kontrolle übers Smartphone erlangen.

Vor wenigen Tagen hieß es noch, dass Angreifer mit präparierten Videos Android-Geräte lahm legen könnten. Doch es kommt noch schlimmer: Sicherheitsforscher von Trend Micro haben davor gewarnt, dass modifizierte MP4-Dateien das Multimedia-System von Android nicht nur zum Absturz bringen, sondern es auch für einen Heap Overflow anfällig sei. Darüber ließe sich Code einschleusen, der dann mit den Rechten des Mediaserver-Prozesses ausgeführt würde.

Damit eskaliert das potenzielle Denial-of-Service-Szenario zu einem weit schlimmeren, aus der Liga "Remote Code Execution". Betroffen sind alle Versionen des mobilen Betriebssystems von 4.0.1 bis 5.1.1. Laut Trend Micro sind diese Versionen im Einsatz auf 94 Prozent aller heute genutzten Android-Geräte.

Die neue Sicherheitslücke weist zudem Parallelen zu Stagefright auf, denn auch hier sind Android-Smartphones über Kurznachrichten angreifbar. Der neue Angriff ist aber nicht auf MMS beschränkt. Den Forschern von Trend Micro gelang es auch, manipulierte Videos in Webseiten einzubetten. Sie hatten Google bereits am 19. Mai 2015 über diese Lücke informiert. Das Android-Security-Team hat am 22. Juli einen Patch freigegeben. Wann dieser auf betroffenen Geräten installiert wird, hängt von den Hardware-Herstellern ab.

Quelle : www.heise.de

[SiLæncer]

Noch bevor die Sicherheitslücken offiziell auf der Hackerkonferenz vorgestellt wurden kursiert eine Anleitung zum Bau eines Proof-of-Concept im Netz. Ferner soll ein russisches Unternehmen bereits einen Exploit verkaufen.

Die Einschläge kommen näher: Ein chinesischer Blog hat weitere Details zu einer der kritischen Stagefright-Lücken in Android veröffentlicht – darunter auch erste Schritte zum Bau eines Exploits. Wenige Änderungen an einer beliebigen MP4-Videodatei reichen aus, um mit ihr Androids Multimedia-Framework Stagefright zum Absturz zu bringen. Dies konnte heise Security nachvollziehen. Es kommt zu einem Heap Overflow, den ein Angreifer zum Ausführen von Schadcode missbrauchen kann. Bleibende Schäden kann eine nach der Anleitung präparierte Datei jedoch nicht anrichten.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Google und Samsung führen den Patch Day ein: Die Tablets und Smartphones dieser Hersteller erhalten zukünftig jeden Monat ein Sicherheitsupdate. Heute geht es mit einem Fix für die MMS-Lücke StageFright los.

Google und Samsung haben heute angekündigt, ihre Smartphones und Tablets mit Android zukünftig jeden Monat mit Sicherheitsupdates zu versorgen. Google beginnt direkt heute mit einem Fix für den StageFright-Bug, der per MMS oder Videodatei das Gerät manipuliert. Er ist für die Smartphones Nexus 4, 5, 6, für die Tablets Nexus 7, 9, 10 und für die TV-Box Nexus Player erhältlich. Samsung befinde sich laut Blog noch in Verhandlungen mit den Mobilfunkprovidern darüber, wie diese Updates ohne Verzögerung freigegeben werden können; konkrete Geräte und Termine wolle man daher erst später nennen

Ganze drei Jahre lang will Google für jedes Nexus-Modell laut Mitteilung im Blog die Bugfixes liefern, oder 18 Monate nach dem Verkauf des letzten Geräts im Store. Unverändert bleibt die Update-Dauer für Android-Versionen: Zwei Jahre lang landen sie auf den Nexus-Geräten. Andere Hersteller von Android-Geräten haben noch keine vergleichbaren Maßnahmen angekündigt. Der Stagefright-Bug gilt als hoch gefährlich, beispielsweise hat die Telekom heute bekannt gegeben, aufgrunddessen das Versenden von MMS vorerst einzustellen.

Quelle : www.heise.de

[SiLæncer]

Mit einer kostenlosen App kann man überprüfen, ob die eigenen Android-Geräte über die Stagefright-Lücken angreifbar sind.

Ob das eigene Android-Gerät anfällig für die kritischen Stagefright-Schwachstellen ist, können Nutzer nun mit der kostenlosen Stagefright Detector App überprüfen. Die App klopft das Android-System auf insgesamt sieben Sicherheitslücken ab, die in dem Multimedia-Framework Stagefright klaffen können. Die Chancen, dass der Detector mehrere Treffer landet, sind groß: Nur wenige Hersteller haben die schützenden Security-Patches bereits an ihre Kunden ausgeliefert.

Viele Angriffswege

Die App stammt von der Sicherheitsfirma Zimperium, deren Mitarbeiter Joshua Drake die Lücken entdeckt und auch die Patches entwickelt hat. Drake stellte seine Erkenntnisse am gestrigen Mittwoch auf der Hackerkonferenz Black Hat in Las Vegas vor; zahlreiche Details sind allerdings bereits im Laufe der vergangenen zwei Wochen durchgesickert. Das Stagefright-Framework ist seit der im Jahr 2010 veröffentlichten Android-Version 2.3 (Gingerbread) allgegenwärtig. Sowohl Android als auch Apps nutzen es zum Abspielen von Multimedia-Dateien.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Samsung, LG, Sony und weitere Hersteller können immer noch nicht sagen, wann sie für welche Modelle Updates mit einem Bugfix für die Stagefright-Lücke herausbringen. Nur Acer und Google verraten Details.

Die großen Smartphone-Hersteller nennen immer noch keine Details zu ihren Sicherheitsupdates, die die Stagefright-Lücke schließen sollen. Samsung, HTC, LG, Sony und vier weitere große Marken konnten auf Anfrage von heise online nicht sagen, für welche Smartphones und Tablets sie Updates veröffentlichen wollen. Auch zu den geplanten Update-Terminen gab es keine Auskunft. Die Anfragen wurden am Mittwoch gestellt.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Während die meisten Hersteller keine oder wenige Firmware-Updates anbieten, die vor den gefährlichen Stagefright-Lücken schützen, können Onlne-Abzocker vermeintlich schon liefern. Es handelt sich dabei allerdings um einen Trojaner.

Cyber-Ganoven versuchen den Wirbel um die kritischen Stagefright-Lücken in Android zur Verbreitung eines Smartphone-Trojaners zu nutzen. Dies zeigen Informationen, die uns das Center for IT-Security, Privacy, and Accountability (CISPA) der Uni Saarland zur Verfügung gestellt hat.

In einer vermeintlich von Google stammenden Mail geben die Absender vor, dass es einen potenziell unberechtigten Zugriff auf das Google-Konto des Empfängers aus Russland gab. Als möglichen Grund nennen sie die Stagefright-Sicherheitslücken in der zentralen Multimedia-Schnittstelle von Android. Die Mail wurde in korrektem Deutsch formuliert. Als Grundlage diente offenbar eine legitime Benachrichtigungsmail von Google, die um die Informationen zu Stagefright ergänzt wurde – einschließlich einer korrekten CVE-Nummer von einer der Lücken.

Der ganze Artikel

Quelle : www.heise.de

[SiLæncer]

Die Geräte seiner Nexus-Serie hat Google schon gegen die Stagefright-Bugs abgesichert. Doch ein Patch wurde nicht sauber programmiert und Angreifer könnten das als Einfallstor für DoS-Angriffe ausnutzen.

Die Entwickler von Google haben bei der Erstellung eines Patches für einen Stagefright-Bug nicht aufgepasst, denn Angreifer können Android-Geräte immer noch über manipulierte Videos zum Absturz bringen. Das haben Sicherheitsforscher von Exodus Intelligence herausgefunden. Dabei attackierten sie Geräte im Zuge eines Pufferüberlaufes mit einem DoS-Angriff.
Fehlerfreier Patch im September

Google zufolge steht eine überarbeitete Version des Patches bereit. Die Auslieferung soll für die Geräte Nexus 4, 5, 6, 7, 9, 10 und den Nexus Player am neu eingeführten Patchday im September beginnen.

Das Android Open Source Project und verschiedene Smartphone-Hersteller wollen den neuen Patch in der nächsten Update-Welle ausspielen. Wann das soweit sein wird ist unklar, denn viele Hersteller haben bisher noch gar keine der Stagefright-Lücken gestopft. Die Macher von Cyanogenmod haben nach eigenen Angaben bereits die Versionen 10.1 bis 12.1 abgedichtet.

Stagefright ist eine Multimedia-Komponente des Android-Systems und rund 95 Prozent aller Android-Geräte sind über verschiedene Schwachstellen verwundbar. Dabei können Angreifer über manipulierte Videos, etwa in MMS-Nachrichten oder auf Webseiten, Schadcode auf die Handhelds schmuggeln.

[UPDATE, 14.08.2015 11:15 Uhr]

Cyanogenmod in Bezug auf gepatchte Versionen hinzugefügt.

Quelle : www.heise.de

[SiLæncer]

Eine Absolventin der norwegischen NTNU hat herausgefunden, dass die Muster, die sich Android-Nutzer zur Displaysperre ausdenken, im schlimmsten Fall so vorhersehbar sind wie Kennwörter des Schemas "1234".

Viele PIN-Nummern und Kennwörter folgen wiederkehrenden Gewohnheiten. Hoffentlich unkritische Accounts werden gerne mal mit Kennwörtern wie "1234" oder "Passwort" gesichert. Die Absolventin Marte Løge von der University of Science and Technology im norwegischen Trondheim hat herausgefunden, dass die Muster zur Displaysperre unter Android ähnlichen Mustern folgen. Das berichtet das Technik-Blog Ars Technica.

Løge bat Versuchspersonen, sich je ein Muster für eine Shopping- und eine Banking-App auszudenken. Sie untersuchte 4000 Muster und fand dabei heraus, dass 77 Prozent der Muster in einer Ecke beginnen. 44 Prozent der Nutzer starten oben links. Der Großteil der Muster bewegt sich von links nach rechts und von oben nach unten über den Schirm.

Durchschnittlich besteht ein Muster aus fünf Knoten. Auch Muster aus vier Knoten erwiesen sich als populär. Sowohl Männer als auch Frauen nutzen Muster mit acht Knoten am wenigsten. Anscheinend verwendet man am liebsten entweder wenige oder alle.

Android-Sperrmuster können vier bis neun Knotenpunkte enthalten. Bei neun Knoten sind fast 400.000 Kombinationen möglich. Bei vier Knoten sind es jedoch nur 1624. Bei der vermuteten Leserichtung von links oben nach rechts unten steigt die Gefahr, dass ein Muster zügig entschlüsselt werden kann.

Etwa zehn Prozent der Nutzer formten Muster außerdem nach Buchstaben, zudem häufig nach den Initialen eines Kindes oder des Partners. Viele Knotenpunkte und Zeichnungen jenseits bekannter Formen reichen allerdings noch nicht: Sichere Muster sind nicht nur komplex, sondern wechseln häufig die Richtung und sind aus diesen Gründen nicht vorhersehbar.

Eine einfache Schlangenlinie, die oben links beginnt, verwendet beispielsweise zwar alle neun Knoten, ist aber dadurch noch nicht sicher, weil sie der vorhergesagten Bewegung folgt. Ein komplexes Muster aus acht Knoten dürfte also die sicherste Kombination darstellen. Man muss sie sich nur noch merken. Ach ja: und regelmäßig das Display sauberwischen.

Quelle : www.heise.de