Laut der Sicherheitsfirma Trustlab hat ein Hacker zwei Millionen Passwörter von diversen Seiten, unter anderem Facebook, Google, Yahoo, Twitter und LinkedIn mit einem Keylogger erbeutet, den er in 92 Ländern auf fremden Rechnern installierte. Dabei wurden die Seiten selbst nicht angegriffen, Facebook, LinkedIn, ADP und Twitter setzten die betroffenen Passwörter aber zurück und informierten ihre User. Der Angriff erfolgte mit dem Pony Botnet Controller, der seit der Veröffentlichung seines Quellcodes immer wieder für Angriffe genutzt wird. Die Analyse der erbeuteten Passwörter durch Trustwave machte aber auch deutlich, dass der Keylogger in den meisten Fällen Overkill war (siehe oben die Liste der 10 meistbenutzten Passwörter). Interessant ist zudem, dass die User generell mit zunehmender Anzahl von Passwörtern anscheinend über die Jahre immer unvorsichtiger werden: 2006 benutzten nur 0,9 Prozent die zehn meistbenutzten Passwörter, 2013 sind es schon 2,4 Prozent.

MWR Labs beschreibt ein gravierendes Sicherheitsproblem, das sämtliche aktuellen Android-Plattformen und -Geräte betreffen soll. Es entsteht durch das Einblenden von Werbung, wie es bei vielen Programmen üblich ist. Dazu wird häufig WebView genutzt, eine Komponente der WebKit Engine, mit deren Hilfe Webseiten in Browsern dargestellt werden. Der Kanal zwischen WebView und den Werbeservern ist demnach oft nicht abgesichert, wodurch die Apps Man-in-the-middle-Attacken Tür und Tor öffnen. MWR Labs basieren ihre Aussage auf eine Untersuchung der 100 populärsten Android-Apps im Google Play Store: 79 davon benutzen Werbung, wovon wiederum 62 potenziell gefährdet seien. Wer es genauer wissen will, liest diesen Bericht der Sicherheitsexperten.

[Via heise]

Alle Browser fragen hin und wieder danach ob sie Passwörter abspeichern sollen, damit es das nächste Mal etwas schneller geht. Irgendwie geht man dann automatisch davon aus, dass der Browser sie so gut versteckt, dass es nicht so einfach ist, sie zu finden. Irrtum, denn zumindest bei Chrome ist es kinderleicht, sich die im Browser gespeicherten Passwörter anzusehen. Das hat der Entwickler Elliot Kember herausgefunden, es muß lediglich die Zeile "chrome://settings/passwords" in Chrome eingegeben werden, schon bekommt man eine Liste mit Passwörtern präsentiert. Wenn man dann noch auf einen der Einträge klickt, lassen sich mit dem Show-Button die Passwörter auch auslesen. Justin Schuh vom Chrome Security Team antwortete darauf etwas flapsig, dass es sowieso mit einfachen Mitteln möglich sei, diese Passwörter rauszufinden, soweit man sich im System eingeloggt habe. Wir empfehlen definitiv bis zum nächsten Update die Finger von der Funktion zu lassen.

Bluebox Labs haben eine potenzielle Sicherheitslücke in Android gefunden, die schon seit Android 1.6 vorhanden sein soll. Sie betrifft jedes Android-Phone aus den letzten vier Jahren, was fast 900 Millionen Geräte sind. Das ist für jeden einzelnen User und Unternehmen eine Gefahr, denn eine App mit Schadcode bietet für Hacker unter anderem die Möglichkeit, das Phone für ein Botnet zu nutzen oder alle möglichen Daten abzuschöpfen. Allerdings könnten sich auch die Gerätehersteller der Lücke bedienen, um im großen Stil über ihre eigenen UIs und Apps Daten ihrer User einzusammeln. Über die Lücke soll es möglich sein, neben sämtlichen Kommunikationsdaten (Mails, Dokumente, SMS) auch die entsprechenden Passwörter mitzuschneiden. Bluebox Labs haben Google die Lücke mit der Bezeichnung "Android security bug 8219321" bereits im Februar dargelegt, jetzt ist es an den Geräteherstellern, sie durch entsprechende Firmware-Updates zu schliessen.

EA kommt nicht zur Ruhe: nach dem Sim City-Fiasko und dem unkommentierten Rücktritt von CEO John Riccitiello wurde jetzt ein Bug bei EA Origin bekannt, der wohl eine riesige Sicherheitslücke eröffnet. Der war letzte Woche auf einer Black Hat-Konferenz in Amsterdam von ReVuln demonstriert worden und nutzt die URI Links, die die Origin Desktop App verwendet, um Software (in diesem Fall Malware) auf dem Rechner zu installieren. Wie der Exploit genau funktioniert, seht ihr im Video nach dem Break am Beispiel von Crysis 3. EA hat das gegenüber Ars Technica so kommentiert: "Unser Team untersucht laufend solche hypothetischen Sicherheitslücken, da wir konstant unsere Sicherheitsinfrastruktur updaten." So richtig beruhigend klingt das irgendwie nicht.

[via Slashgear]

Auch Apple soll vor kurzem wie Bloomberg, Reuters und AllThingsD berichten von einem ausgeklügelten Hackerangriff getroffen worden sein. Laut Apple verschafften sich die Hacker über die iPhone-Entwicklerseite iphonedevsdk.com und mit einer Sicherheitslücke in Java wie schon zuvor bei Facebook und Twitter Zugang zu ein paar Rechnern in Cupertino, die aber erfolgreich vom Firmennetzwerk isoliert worden sein sollen. "Es gibt keinen Anhaltspunkt, dass Daten von Apple entwendet wurden," so Apple in einer Stellungnahme. Erste Indizien deuten auf einen Angriff von einer Hackerbande hin, die auf der Suche nach Firmengeheimnissen ist, der Angriff soll also nicht von einem Staat ausgegangen sein. Das heute veröffentlichte Java-Update soll die Sicherheitslücke stopfen.