Eine Gruppe Unbekannter hat eine Liste mit den Daten von sage und schreibe 12.973 angreifbaren Asus-Routern inklusive IP-Adressen veröffentlicht. Die Geräte haben Sicherheitslücken, die Angreifern ermöglichen, sie komplett zu übernehmen und auch Zugriff auf die Dateien angeschlossener USB-Geräte bis hin zu kompletten PC-Backups ermöglichen. Die Sicherheitslücken die das möglich machen wurden bereits vor sechs Monaten an Asus gemeldet, die daraufhin ein Update veröffentlichten, das das Problem beseitigte. Das Update wurde anscheinend nur von den wenigsten auch ausgeführt, betroffen sind von der Sicherheitslücke auch Modelle, die in Deutschland verkauft werden. Solltet ihr also einen Asus-Router haben, empfehlen wir euch schleunigst mal auf der Supportseite von Asus vorbeizuschauen, und gegebenenfalls ein Firmware-Update zu machen.

[via Heise]

Wer einen Samsung Account eingerichtet hat, aufgepasst: Bis vor kurzem übertrugen Android-Tablets und -Smartphones des Herstellers die Registrierungsdaten im Klartext. Das berichtet heise.de. Heise Security reproduzierte das Problem auf einem Galaxy S4 und einem Galaxy Tab 3 und informierte Samsung daraufhin Ende vergangener Woche. Mit den Zugangsdaten wie Name, E-Mail-Adresse oder Passwort können Unbefugte den Aufenthaltsort des Account-Besitzers erfahren, Bewegungsprofile erstellen, auf Anruflisten zugreifen, Umleitungen für Anrufe und SMS einrichten und sogar das Smartphone entsperren. Samsung hat laut Heise die Sicherheitslücke in seinen Android-Geräten nun gestopft. Heise rät, das Passwort zu wechseln:„Da Samsung bislang noch nicht bekanntgegeben hat, welche Modelle betroffen und auch schon abgesichert sind, sollte man auf die verschlüsselt übertragene Webseite https://account.samsung.com ausweichen, um das Passwort zu ändern oder bei Bedarf einen neuen Account anzulegen."

Laut der Sicherheitsfirma Trustlab hat ein Hacker zwei Millionen Passwörter von diversen Seiten, unter anderem Facebook, Google, Yahoo, Twitter und LinkedIn mit einem Keylogger erbeutet, den er in 92 Ländern auf fremden Rechnern installierte. Dabei wurden die Seiten selbst nicht angegriffen, Facebook, LinkedIn, ADP und Twitter setzten die betroffenen Passwörter aber zurück und informierten ihre User. Der Angriff erfolgte mit dem Pony Botnet Controller, der seit der Veröffentlichung seines Quellcodes immer wieder für Angriffe genutzt wird. Die Analyse der erbeuteten Passwörter durch Trustwave machte aber auch deutlich, dass der Keylogger in den meisten Fällen Overkill war (siehe oben die Liste der 10 meistbenutzten Passwörter). Interessant ist zudem, dass die User generell mit zunehmender Anzahl von Passwörtern anscheinend über die Jahre immer unvorsichtiger werden: 2006 benutzten nur 0,9 Prozent die zehn meistbenutzten Passwörter, 2013 sind es schon 2,4 Prozent.

MWR Labs beschreibt ein gravierendes Sicherheitsproblem, das sämtliche aktuellen Android-Plattformen und -Geräte betreffen soll. Es entsteht durch das Einblenden von Werbung, wie es bei vielen Programmen üblich ist. Dazu wird häufig WebView genutzt, eine Komponente der WebKit Engine, mit deren Hilfe Webseiten in Browsern dargestellt werden. Der Kanal zwischen WebView und den Werbeservern ist demnach oft nicht abgesichert, wodurch die Apps Man-in-the-middle-Attacken Tür und Tor öffnen. MWR Labs basieren ihre Aussage auf eine Untersuchung der 100 populärsten Android-Apps im Google Play Store: 79 davon benutzen Werbung, wovon wiederum 62 potenziell gefährdet seien. Wer es genauer wissen will, liest diesen Bericht der Sicherheitsexperten.

[Via heise]

Alle Browser fragen hin und wieder danach ob sie Passwörter abspeichern sollen, damit es das nächste Mal etwas schneller geht. Irgendwie geht man dann automatisch davon aus, dass der Browser sie so gut versteckt, dass es nicht so einfach ist, sie zu finden. Irrtum, denn zumindest bei Chrome ist es kinderleicht, sich die im Browser gespeicherten Passwörter anzusehen. Das hat der Entwickler Elliot Kember herausgefunden, es muß lediglich die Zeile "chrome://settings/passwords" in Chrome eingegeben werden, schon bekommt man eine Liste mit Passwörtern präsentiert. Wenn man dann noch auf einen der Einträge klickt, lassen sich mit dem Show-Button die Passwörter auch auslesen. Justin Schuh vom Chrome Security Team antwortete darauf etwas flapsig, dass es sowieso mit einfachen Mitteln möglich sei, diese Passwörter rauszufinden, soweit man sich im System eingeloggt habe. Wir empfehlen definitiv bis zum nächsten Update die Finger von der Funktion zu lassen.

Bluebox Labs haben eine potenzielle Sicherheitslücke in Android gefunden, die schon seit Android 1.6 vorhanden sein soll. Sie betrifft jedes Android-Phone aus den letzten vier Jahren, was fast 900 Millionen Geräte sind. Das ist für jeden einzelnen User und Unternehmen eine Gefahr, denn eine App mit Schadcode bietet für Hacker unter anderem die Möglichkeit, das Phone für ein Botnet zu nutzen oder alle möglichen Daten abzuschöpfen. Allerdings könnten sich auch die Gerätehersteller der Lücke bedienen, um im großen Stil über ihre eigenen UIs und Apps Daten ihrer User einzusammeln. Über die Lücke soll es möglich sein, neben sämtlichen Kommunikationsdaten (Mails, Dokumente, SMS) auch die entsprechenden Passwörter mitzuschneiden. Bluebox Labs haben Google die Lücke mit der Bezeichnung "Android security bug 8219321" bereits im Februar dargelegt, jetzt ist es an den Geräteherstellern, sie durch entsprechende Firmware-Updates zu schliessen.

EA kommt nicht zur Ruhe: nach dem Sim City-Fiasko und dem unkommentierten Rücktritt von CEO John Riccitiello wurde jetzt ein Bug bei EA Origin bekannt, der wohl eine riesige Sicherheitslücke eröffnet. Der war letzte Woche auf einer Black Hat-Konferenz in Amsterdam von ReVuln demonstriert worden und nutzt die URI Links, die die Origin Desktop App verwendet, um Software (in diesem Fall Malware) auf dem Rechner zu installieren. Wie der Exploit genau funktioniert, seht ihr im Video nach dem Break am Beispiel von Crysis 3. EA hat das gegenüber Ars Technica so kommentiert: "Unser Team untersucht laufend solche hypothetischen Sicherheitslücken, da wir konstant unsere Sicherheitsinfrastruktur updaten." So richtig beruhigend klingt das irgendwie nicht.

[via Slashgear]