- [Generic/PPTP] "Der Todesstoß für PPTP" (2012-10-10)
Der IT-Sicherheitsexperte Moxie Marlinspike mit seinem Projekt
CloudCracker einen Dienst anbietet, der verspricht, "jeden PPTP-Zugang innerhalb eines
Tages zu knacken". Die Heise-Redaktion hat den Dienst ausprobiert, mit
höchst erschreckendem Ergebnis: Zwar hat das Knacken des PPTP-Zugangs
zum Heise-LAN runde 36 Stunden gedauert, also etwas länger als
versprochen, dennoch konnte der Redakteur danach problemlos den
geknackten Zugang verwenden. Die Tauglichkeit des Protokolls für die
Absicherung von VPN-Verbindungen muss daher als nicht mehr gegeben
angesehen werden. (heise)
- [Windows/Skype] Schwachstelle im Skype-Client (2011-08-04)
Eine Schwachstelle im Skype Client 5.5 ermöglicht es einem Angreifer,
das Skype-Konto eines betroffenen Benutzers unter seine Kontrolle zu
bringen. Durch einen Entwurfsfehler werden bei der Benutzung der
Facebook-Pinnwand- oder Kommentarfunktion die Sitzungsdaten für Dritte
sichtbar, so dass das Konto des Benutzers übernommen werden kann. Die
Schwachstelle wurde durch die neue Version, die diese
Facebook-Funktionen erstmals anbietet, neu eingeführt. (Secalert.net)
- [Google/Android] Schwachstelle im Smartphonebetriebsystem Android (2011-05-18)
Verschiedene Applikationen für das Smartphonebetriebssystem Android
senden Authentifizierungsdaten (AutheToken), die das
Telefon bei der Anmeldung beim Google-Server erhalten hat, in
un- oder nicht individuell verschlüsselten (alle Teilnehmer verwenden
denselben Schlüssel) im Klartext. Dies erlaubt Dritten das Token
abzufangen und mit seiner Hilfe auf alle persönlichen Daten, die über
die Google-API verfügbar sind zugreifen. Siehe hierzu auch Catching
AuthTokens in the Wild The Insecurity of Google's ClientLogin
Protocol des Instituts für Medieninformatik der Universität Ulm. (heise)
- [Google/Android] Android-Malware bestellt kostenpflichtige Dienste per SMS (2011-05-18)
Malware auf Mobiltelefonen ist bereits seit einiger Zeit bekannt, die
technische Ausgreiftheit und der Trickreichtum bei ihrer Verbreitung
wachsen jedoch unaufhörlich. Eine ganze Reihe von Schädlingen
verbreitet sich ungeniert über Googles Appstore und zeigt so nebenbei
wieder einmal das grundlegende Sicherheitsproblem dieses
Marketinginstrumentes. Aktuelle Malware zielt auf Smartphone-Nutzer,
die sich in chinesischen Netzen aufhalten. Sie sendet heimlich
Nachrichten an Premium-SMS-Dienstleister und schließt dort Abonnements
ab. Um die Aktion zu verschleiern überwacht sie anschließend den
SMS-Eingang und löscht die Bestätigungsnachricht des Anbieters. Google
hat die bekannten Apps aus dem Store gelöscht, allerdings ist unbekannt,
wie lange dies gedauert hat. (heise)
- [Kryptologie] Revocation doesn't work (2011-03-24)
Adam Langley beschreibt, wie verschiedene Browser mit Certificate Revocation Lists (CRLs) umgehen und warum sie nicht funktionieren: entweder die SSL-Zertifikate funktionieren nicht wenn der CRL Server nicht erreichbar ist, oder ein Man-in-the-middle-Angriff kann die CRL umgehen indem er vortäuscht, der Server sei nicht erreichbar.