Wie die IT-Sicherheitsfirma GironSec berichtet, agiert die Android-App von Uber wie Malware auf Android-Smartphones und sendet heimlich und ohne Erlaubnis des Nutzers dessen persönliche Daten an die Server von Uber.
Bei der Untersuchung der App stellten die Experten fest, dass große Mengen persönlicher Daten versendet werden. Darunter das Protokoll für Anrufe, SMS und MMS, welche Apps installiert sind oder ob das Gerät gerootet ist. Für nichts davon habe die App laut GironSec eine Erlaubnis.
Unter den Daten, die die App versendet, befinden sich zudem Accounts-Logs für E-Mail-Konten, die Name der installierten Apps, die gesendeten und empfangenen Datenmengen, der Akkustatus, die Geräte-Infos, der Standort (GPS), die angerufenen Telefonnummern sowie die Dauer der Gespräche, die Telefonnummern, an die SMS verschickt wurden, die IDs der benutzten Funkmasten oder die WLAN-Netze in der Umgebung.
Es gibt Vermutungen, dass es sich dabei um Anti-Missbrauchs-Maßnahmen handelt, mit denen Uber Fake-Accounts finden und bekämpfen kann. Experten sind jedoch der Ansicht, dass Apps, die Daten ohne Zustimmung des Nutzers sammeln und ohne Erlaubnis weitergeben, als Malware einzustufen sind. Ob die iPhone-App von Uber ebenfalls heimlich Nutzerdaten sammelt und sendet, ist noch unklar, so GironSec.
Gastbeitrag von Michael Kranawetter, Chief Security Advisor (CSA) bei Microsoft in Deutschland. In seinem eigenen Blog veröffentlicht Michael alles Wissenswerte rund um Schwachstellen in Microsoft-Produkten und die veröffentlichten Softwareupdates.
Microsoft verbessert die Verschlüsselungstechnik für seine Kunden entscheidend: Mein US-Kollege Matt Thomlinson erklärt in einem Blogpost, das die seit jeher in Windows 8.1 und Windows Server 2012 R2 integrierte Verschlüsselungstechnik (Perfect Forward Secrecy, PFS) ab sofort auch für ältere Windows-Versionen zur Verfügung stellt. Mit den November-Updates wird per Microsoft Update die bestmögliche Verschlüsselungstechnik an Hunderte von Millionen Kunden verteilt, die Windows 7, Windows 8, Windows Server 2008 R2 und Windows Server 2012 nutzen. Diese Betriebssysteme werden dadurch noch sicherer gegen fremde Zugriffe. PFS wechselt den Schlüssel bei jedem neuen Verbindungsaufbau. Ein Angreifer kann also nicht mit einem einmal geknackten Schlüssel sämtliche verschlüsselte Kommunikation in Klartext verwandeln. Der Aufwand für Attacken erhöht sich durch PFS immens.
Microsoft hatte bereits im Dezember 2013 erklärt, dass es die Verschlüsselungstechnik in seinen Diensten und Programmen verstärken wird. Dies ist kostenlos und ab sofort auch für die Nutzer älterer Windows-Versionen möglich.
Tim Rains, der Direktor für Cybersecurity und Clud Strategie bei Microsoft, erklärte, dies sei ein wichtiger Meilenstein auf dem Weg, die Daten aller Kunden noch sicherer zu machen.
Laut IBM Trusteer versuchen Kriminelle, mithilfe eine Keyloggers die Master-Passwörter von Passwort-Managern zu stehlen. Demnach taucht in der Konfigurationsdatei des Banking-Trojaners Citadel, mit deren Hilfe er sonst die Anzeige der Bankenwebseiten im Browser manipuliert, ein Eintrag auf, der zum Angriff auf die weit verbreiteten Passwort-Manager Password Safe und KeePass dienen: Nach dem Start der Tools versucht Citadel durch einen Keylogger das Master-Passwort abzufischen.
Sobald die Malware das Master-Passwort hat, stehen dem Angreifer alle im Passwort-Tresor gespeicherten Passwörter offen – und damit quasi das komplette digitale Leben des Opfers. Passwörter gelten generell als unsicher, da sie in der Regel per Brute-Force- beziehungsweise Wörterbuchattacke zu erraten sind und ohne Zwei-Schritt-Authentifizierung keine wirklichen Schutz für sensible Daten bieten. Passwort Manager sollen hier Abhilfe schaffen, denn sie erzeugen komplexe Passwörter und verhindern das Passwort-Recycling.
Hat Citdadel das Master-Passwort mitgeschnitten, wird es an einen ansonsten unschuldigen Webserver geschickt, der offenbar von den Kriminellen kompromittiert wurde. Ob dies Teil eines größeren Angriffs ist, steht laut IBM Trusteer noch nicht fest.
Laut IBM Trusteer sind Passwort-Manager trotz des aktuellen Angriffs Passwort-Manager empfehlenswert. Denn ihr Einsatz verhindert Password-Recycling und schwache Passwörter. Zudem lassen sich die Tresore durch einen zweiten Faktor wie den Yubikey absichern: Ohne physischen Zugriff auf den Key lässt sich der Tresor nicht entsperren, selbst wenn das Master-Passwort bekannt ist. Im Fall des von der aktuellen Attacke nicht betroffenen Tools LastPass steht zudem eine Bildschirmtastatur zur Verfügung, über die das Master-Passwort eingegeben werden kann.
Liebe Podcast-Zuhörer,
Ausgabe 23/2014 des TechNet Newsflash vom 20. November ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_23-2014.mp3
Den TechNet Newsflash zu dieser Ausgabe in Schriftform finden Sie hier:
http://blogs.technet.com/b/germany/archive/2014/11/21/technet-newsflash-ausgabe-23-2014.aspx
Den RSS Feed können Sie Sich über den folgenden Link abonnieren:
http://www.microsoft.com/feeds/technet/de-de/newsflash/tn_flash_podcast_archiv.xml
Wie immer wünschen wir Ihnen viel Freude beim Zuhören und dem anschließenden Durchstöbern der angekündigten Ressourcen!
Viele Grüße,
Heike Ritter & das TechNet Online-Team
Ausgabe 22/2014 des TechNet Newsflash vom 07. November ist unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_22-2014.mp3
Diesen TechNet Newsflash in Schriftform finden Sie hier:
http://www.microsoft.com/germany/technet/newsflash/22-2014.htm
Ausgabe 21/2014 des TechNet Newsflash ist ab sofort online unter folgendem Link verfügbar:
http://download.microsoft.com/download/B/5/6/B56DB709-07CA-4DE3-8F90-3CB99A2C01DD/TechNetFlash_21-2014.mp3
http://www.microsoft.com/germany/technet/newsflash/21-2014.htm
Sebastian Klenk & das TechNet Online-Team
P.S.: Ich hoffe, Ihnen hat der Microsoft Technical Summit 2014 in Berlin gefallen! Die Session-Recordings finden Sie in Kürze auf der Konferenz-Webseite. Vielen Dank, dass Sie dabei waren!
Es sind nur noch wenige Tickets für den Workshop-Tag des Technical Summit am 13. November 2014 in Berlin verfügbar. Sichern Sie sich jetzt einen der letzten Restplätze und lernen Sie die Anwendung unserer Technologien von Profis aus erster Hand.
Am dritten Tag des Technical Summit stehen Ihnen unsere Microsoft-Experten und MVPs einen ganzen Tag zu den Themen Datacenter, Hybrid IT und Power BI zur Verfügung. In den jeweiligen Workshops geht es darum, dass Sie selbst mit den Tools und Technologien von Microsoft vor Ort arbeiten und die typischen Szenarien der Anwendung kennenlernen.
Im Workshop „Datacenter Modernization“ bauen Sie unter Anleitung unserer Experten eine Microsoft Private Cloud mit Windows Server 2012 R2 und System Center 2012 R2 in nur einem Tag auf. Lernen Sie darüber hinaus, wie Sie diese Private Cloud mit Microsoft Azure verbinden können, um hybride Szenarien zu ermöglichen. Sie lernen in diesem intensiven Hands-On Lab außerdem, was Windows Server als Storage-Lösung alles zu bieten hat und welche Vorteile Self Service IT für Ihren Arbeitsalltag bietet.
Im Workshop „Hybrid IT“ lernen Sie die Grundlagen von Microsoft Azure kennen und erfahren, welche Möglichkeiten Microsoft Azure in der modernen IT-Infrastruktur zu bieten hat. Für jeden Teilnehmer wird eine Azure-Umgebung erstellt und hybride Szenarien werden live in einer Trainingsumgebung ausprobiert. Mit virtuellen Maschinen, Netzwerken und PowerShell entstehen ganze Infrastrukturen auf Microsoft Azure. Anschließend werden hybride Themen vertieft, indem eine Brücke zum On-Premise-Rechenzentrum hergestellt wird.
Im englischsprachigen Workshop “Creating a Power BI Solution in one day” erfahren Sie an nur einem Tag, wie eine komplette Power BI-Lösung mithilfe aller zur Verfügung stehenden Power BI-Features erstellt werden kann. Sie lernen, wie Sie Power Query nutzen können und Daten aus den unterschiedlichsten Quellen importieren, integrieren und für weitere Auswertungen wiederverwerten können. Als Workshop-Leiter erwartet Sie Marco Russo, Buchautor und bekannter Experte nicht nur im Bereich Power BI, der Ihnen in diesem intensiven Training zeigt, wie Sie ein Power Pivot-Modell erstellen und ein Dashboard in Excel anhand Pivot-Tabellen, Power View und Excel-Formatierungen anfertigen. Nach diesem Workshop werden Sie nicht nur wissen, wie Sie Power View und Power Maps zur Visualisierung einsetzen, Sie werden alle Tools und Services für Power BI in Ihrem Unternehmen einzusetzen wissen.
Ein Ticket für den Workshop-Tag am 13. November 2014 gibt es nur in Kombination mit dem 2-Tages-Konferenz-Ticket für den 11. und 12. November 2014. An den beiden ersten Tagen erwarten Sie 50 Sprecher mit über 50 Sessions u.a. zu den Themen Windows Server, Internet of Things und SQL Server.
Profitieren Sie vom Wissen und der Erfahrung unserer Microsoft-Experten und MVPs und sichern Sie sich jetzt noch eines der letzten Tickets auch für den Workshop-Tag des Technical Summit am 13. November 2014 in Berlin.
Ich freue mich auf Ihren Besuch!