Die Nachrichten der Woche: Bitcoin-Ärger, Tesla S, Phishing und XBOX Live

Die Security-Schlagzeilen der letzten Woche: Neuer Ärger für Bitcoin, Sicherheitsbedenken beim Tesla S, globales Phishing und ein ernstes Problem bei der XBOX Live

nachrichten der woche

Diesmal starten wir unseren Rückblick auf die Security-Nachrichten der letzten Woche mit einer Vorwarnung für die nächste Woche, denn dann wird Microsoft den Support für das einst überall installierte, ewig mit Sicherheitslücken geplagte und immer noch oft genutzte Betriebssystem Windows XP einstellen wird. Mehr dazu aber in der nächsten Woche.

Doch nun zu den Nachrichten der letzten Woche: Es geht um Bitcoins, Sicherheitsbedenken beim Tesla S, Einblick in das weltweite Phishing, Patches für Apples Safari-Browser, Fehler in einem Smart-TV von Philips und noch einiges mehr.

Laut einem Bericht von Reuters hat ein texanischer Richter Mark Karpeles, den CEO von Mt. Gox, aufgefordert, in die USA zu reisen und Fragen zum Bankrott der Bitcoin-Exchange zu beantworten. Mt. Gox, einst die größte digitale Wechselstube für die Crypto-Währung Bitcoin, wurde im Februar geschlossen, nachdem sie etwa 400 Millionen Dollar verloren hatte und deshalb ein Konkursverfahren einleitete. Karpeles hat den Konkursschutz angeblich am gleichen texanischen Gericht beantragt, von dem er nun vorgeladen wurde, um eine Klage in Chicago abzuwenden. Der texanische Richter argumentiert, dass Karpeles vor Gericht erscheinen und aussagen muss, um den Schutz beantragen zu können.

Wie mein KollegeChris Brook von Threatpost berichtet, enthalten bestimmte Versionen der beliebten Internet-fähigen Smart-TVs von Philips eine Sicherheitslücke, die es Angreifern ermöglichen könnte, vertrauliche Informationen des Fernsehersystems und seiner Konfigurationsdateien, sowie aller Dateien auf angeschlossenen USB-Sticks zu stehlen. Wenn der Anwender mit dem Fernseher im Internet surft, kann ein Angreifer Cookies stehlen und missbrauchen, um auf bestimmte Webseiten oder Online-Konten des Nutzers zugreifen zu können. Das Problem hat mit der WLAN-Funktion Miracast zu tun, die standardmäßig eingeschaltet ist und ein festes Passwort nutzt. Dieses Passwort erlaubt jedem in Reichweite des WLAN-Adapters, sich mit dem Fernseher und seinen Funktionen zu verbinden.

Ebenfalls auf Threatpost berichtete Dennis Fisher, dass das beliebte Elektroauto Tesla S ein schwaches, Ein-Faktoren-Authentisierungssystem nutzt – für eine mobile App, die den Besitzern unter anderem ermöglicht, das Auto auf- und zuzusperren. Der Forscher Nitesh Dhanjani fand heraus, dass neue Autobesitzer, die sich auf der Tesla-Webseite für ein Konto anmelden, ein sechsstelliges Passwort erstellen müssen. Dieses Passwort wird dann verwendet, um auf die iPhone-App zugreifen zu können, mit der die Türen des Autos auf- und zugesperrt, die Radaufhängung und das Bremssystem, sowie das Sonnendach manipuliert werden können. Das eigentlich Problem dabei ist, dass es keine Beschränkung für Login-Versuche gibt, so dass ein Angreifer ganz einfach eine Brute-Force-Attacke auf ein relativ kurzes Passwort durchführen kann. Sechs Zeichen können in einem System ohne Beschränkung der Login-Versuche leicht geknackt werden.

Nun möchte ich alle Apple-Anwender daran erinnern, dass das Unternehmen aus Cupertino über 25 Sicherheitslücken im Safari-Browser geschlossen hat. Manche der Lücken waren recht ernst – Sie sollten den Browser also schnellstmöglich aktualisieren, falls dies noch nicht geschehen ist.

Die Forscher bei Securelist veröffentlichten den ersten Teil des düsteren Rückblicks auf finanziellen Cyber-Bedrohungen des Jahres 2013. Dieser erste Teil ist eine ausführliche Analyse des weltweiten Phishing. Die Forscher haben herausgefunden, dass im vergangenen Jahr 31 Prozent aller Phishing-Attacken Finanzfirmen angegriffen haben. Etwa 22 Prozent der Angriffe wurden mit gefälschten Bank-Webseiten durchgeführt – im Jahr 2012 waren es nur 11 Prozent, die solche falschen Seiten nutzten. Etwas weniger als 60 Prozent der Bank-Phishing-Angriffe hatten nur 25 international tätige Banken im Visier, die restlichen 40 Prozent missbrauchten mehr als 1.000 weitere Banken.

Zu guter Letzt haben wir in dieser Woche einen Beitrag der BBC, die berichtete, dass ein fünfjähriger Junge aus San Diego eine Sicherheitslücke in der Online-Gaming-Plattform XBOX Live entdeckte, die ihm ermöglichte, sich ohne das richtige Passwort in das XBOX-Live-Web-Konto seines Vaters einzuloggen. Kristoffer Von Hassel hat versucht, sich in das Konto seines Vaters einzuloggen, doch immer wenn er ein falsches Passwort eingegeben hatte, wurde er aufgefordert, das Passwort erneut einzugeben. Dann hat er die Leertaste gedrückt und der Zugriff auf das Konto wurde gewährt. „Ich bin nervös geworden. Ich dachte, mein Vater würde es herausfinden“, so Kristoffer zum lokalen Fernsehsender KGTV. „Ich dachte, jemand würde die XBOX stehlen.“ Laut BBC hat Kristoffers Vater, der in der Sicherheitsbranche arbeitet, den Fehler bereits an Microsoft berichtet. Das Unternehmen hat den Fehler bereits behoben und dem Jungen für seine Hilfe gedankt.

Tipps