Die Nachrichten der vergangenen Woche: Schwere Sicherheitslücke bei PayPal

Das Schließen der OpenSSL-Sicherheitslücke verlangsamt sich, News zu HackingTeam und schwere Fehler in PayPal sowie Android.

PayPal

Wie geht es eigentlich Heartbleed?

Der gefährliche Internet-weite Fehler in OpenSSL, durch den Cyberkriminelle vertrauliche Informationen stehlen können, ist natürlich nicht einfach so verschwunden, allerdings hat man in letzter Zeit nicht mehr so viel davon gehört. Dennoch sehen wir jede Woche neue Berichte und Hinweise, die die Anwender bestimmter Systeme oder Programme darum bitten, diese zu aktualisieren, nachdem der Hersteller einen Patch für OpenSSL bereitsgestellt hat. Leider zeigen aktuelle Studien aber, dass der Enthusiasmus dabei langsam sinkt.

Ich gehe davon aus, dass man sogar in zehn Jahren noch Tausende Systeme findet, die immer noch anfällig sind

Rob Graham von Errata Security hat eine der Hauptstraßen des Internet auf verschlüsselten Datenverkehr hin beobachtet, um die Zahl der Systeme herauszufinden, die immer noch mit einer anfälligen OpenSSL-Version arbeiten. Sein erster Scan einige Tage nachdem die Lücke bekannt wurde, erbrachte 600.000 Systeme mit Sicherheitslücke. Seine zweite Prüfung war vielversprechender: 300.000 Systeme waren bereits aktualisiert, so dass die Hälfte der im ersten Durchgang entdeckten anfälligen Systeme innerhalb eines Monats gepatched worden waren. Allerdings zeigt sein dritter Scan, den er nun – fast drei Monate nach der Entdeckung der Lücke – durchführte, dass immer noch 300.000 Systeme anfälllig sind.

„Das zeigt, dass die Verantwortlichen aufgehört haben, den Patch überhaupt auszuprobieren“, so Graham auf seinem Blog. „Wir werden einen leichten Rückgang innerhalb der nächsten zehn Jahre sehen, wenn ältere Systeme langsam ersetzt werden. Aber ich gehe davon aus, dass man sogar in zehn Jahren noch Tausende Systeme findet, die immer noch anfällig sind – inklusive kritischer Systeme.“

Überwachungs-Tools und Betrugskampagnen

Ein Forscherteam von Kaspersky Lab und dem Citizen Lab an der Munk School of Global Affairs der University of Torontohat einen Bericht zu der umstrittenen italienischen Firma HackingTeam veröffentlicht. HackingTeam verkauft Programme an Regierungen und Strafverfolgungsbehörden in aller Welt. Die Forscher beobachten HackingTeam schon einige Zeit, doch der neue Forschungsbericht, der in der vergangenen Woche veröffentlicht wurde, betrachtet vor allem die Spionage-Tools von HackingTeam.

Das neue Mobilprodukt der Firma bietet Regierungen und Strafverfolgungsbehörden die Möglichkeit, eine Zielperson zu orten, Daten von deren Gerät zu stehlen, das Mikrofon des Geräts in Echtzeit zu nutzen sowie Sprach- und SMS-Nachrichten abzuhören, die über Apps wie Skype, WhatsApp, Viber und viele andere geschickt werden.

Die Kaspersky-Experten haben in der vergangenen Woche zudem vor einer Betrugskampagne gewarnt, die unter dem Namen Luuuk bekannt ist. Die Kampagne erlaubte den Angreifern, innerhalb einer Woche über eine halbe Million Euro von einer großen Bank zu stehlen. Verwendet wurde dafür eine modifizierte Zeus-Version, mit der die Betrüger 200 Kunden durch Man-in-the-Browser-Angriffe hereinlegten.

Schwere Sicherheitslücke bei PayPal

Am Mittwoch wurde eine Sicherheitslücke bei PayPal bekannt, die die Verarbeitung von Anfragen durch mobile Clients betrifft, und über die Angreifer die Zwei-Faktoren-Authentifizierung umgehen können, so dass sie Geld vom Konto des Opfers auf eigene Konten überweisen können.

Die Lücke betrifft die Authentifizierung bei den iOS- und Android-Apps von PayPal. PayPal ist der Fehler, der von den Forschern von Duo Security entdeckt wurde, bereits seit März bekannt und das Unternehmen hat eine Behelfslösung implementiert. Ein volles Update ist aber nicht vor Ende Juli geplant. Die Sicherheitslücke in PayPal ist gefährlich, und Anwender sollten ihr Konto beobachten, solange sie nicht geschlossen ist

Sicherheitsfehler bei Android geschlossen

Eine ernste, Code-ausführende Sicherheitslücke in Android 4.3 wurde in KitKat, der aktuellsten Version des mobilen Betriebssystems geschlossen. Leider betrifft diese Sicherheitslücke fast alle Android-Nutzer. Und leider baut das Aktualisieren von Android auf die Mitarbeit der Mobilfunkanbieter, die die Google-Patches an ihre Kunden liefern müssen – und so werden fast alle über die Sicherheitslücke anfälligen Android-Nutzer anfällig bleiben.

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.