Inhalte überspringen »

News

Mittwoch, 14. Oktober 2009 | News

Security-Hinweise zu einem Angriff auf mTANs und mehr

(Link zum Artikel: http://www.entwickler.de/entwicklerde/kolumnen/051851)

Paul Ducklin berichtet über einen erfolgreichen Angriff auf ein mTAN-System. Sidekick-Kunden bekommen 100 US-Dollar Schadenersatz, Microsofts Malicious Software Removal Tool (MSRT) erkennt einen weiteren Fake-Virenscanner, MobileMe hat evtl. ein Datenleck, und die Nutzung des Gastbenutzers von Mac OS X 'Snowleopard' kann zu Datenverlusten führen. Matasano hat eine C++ Challenge veröffentlicht, und Googles Webmaster Tools werden in Zukunft ggf. auf einer Website gefundenen Schadcode anzeigen, so dass der Betreiber der Website ihn entfernen und die zugrunde liegende Schwachstelle beheben kann. Am 13. Tag des 'Cyber Security Awareness Month' ging es im Handler's Diary des ISC um 'Proxies (TCP 3128, 8080 & ......)', insbesondere um offene, die für illegale Zwecke missbraucht werden, und im Blog von Symantec wird die Analyse eines chinesischen Flash-Exploits beschrieben, der jeden mit dem Tod seiner Familie droht, der den Exploit entschlüsselt oder als Teil eines Trojaners verwendet.

mTAN-Schutz ausgetrickst

Paul Ducklin von Sophos berichtet über einen erfolgreichen Angriff auf ein mTAN-System: Die Kriminellen veranlassten einen Mobilfunkbetreiber, die Nummer des Opfers auf einen neuen Vertrag bei diesem Anbieter zu übertragen. Der war an einem neuen Kunden mehr interessiert als an einer Prüfung, ob der Kunde überhaupt dazu befugt war, die Nummer zu übertragen, und veranlasste die Übertragung. Das Opfer bemerkte das zwar, hatte aber Mühe, seinen Anbieter davon zu überzeugen, dass das nicht in seinem Auftrag passiert war, wodurch die Kriminellen reichlich Zeit hatten, das Bankkonto des Opfers zu plündern.

Sidekick-Kunden bekommen 100 US-Dollar Schadenersatz

T-Mobile USA will allen Kunden des Smartphone-Dienstes Sidekick, die vom Datenverlust auf den Sidekick-Servern betroffen sind, mit einem Gutschein in Wert von 100 US-Dollar entschädigen. Darüber, wer für den Datenverlust verantwortlich ist, streiten T-Mobile USA und das Microsoft-Tochterunternehmen Danger noch. Graham Cluley von Sophos verweist auf die schlechten Presseberichte, die T-Mobile USA und Microsoft mit ihren bisherigen Reaktionen verursacht haben. Fazit: Wer Daten in einer Cloud speichert, guckt am Ende vielleicht in die Wolken...

Noch ein Fake-Virenscanner

Microsofts Malicious Software Removal Tool (MSRT) erkennt mit dem Update vom Patchday einen weiteren Schädling: Den Fake-Virenscanner Win32/FakeScanti.

MobileMe mit Datenleck?

Laut einem Bericht auf TUAW war es einem MobileMe-Benutzer während der Erneuerung seines Accounts möglich, auf die Adressbücher anderer Benutzer zuzugreifen. Nach jedem Aus- und Einloggen wurde ihm ein anderes Adressbuch angezeigt, nur nicht sein eigenes. Weitere Informationen, insbesondere eine Stellungnahme Apples, liegen nicht vor.

Mac OS X 'Snowleopard' nicht ganz dicht

Wird unter Mac OS X 'Snowleopard' der Gastbenutzer verwendet, kann es dadurch zu einem vollständigen Datenverlusten beim normalen Benutzer kommen. Das berichtet MacFixIt in mehreren Artikeln. Im Ernstfall kann nur ein Backup vor dem Datenverlust schützen. Apple untersucht das Problem.