BSI News – Best of: Malware, Ransomware, sowie Apple, Facebook und Android

Android: Root-Tools erschleichen sich Administrator-Rechte

Google schließt kurz nach dem planmäßigen Update im März eine Sicherheitslücke in Android, mit dem Angreifer Root-Rechte erlangen können, das berichtet heise.de. Die Schwachstelle ermöglicht es einem Angreifer, Administrator-Rechte zu erhalten und willkürlich Code auszuführen. So lässt sich mit der App per Root-Zugriff das gesamte Sicherheitskonzept von Android aushebeln. Die Schwachstelle im Linux Kernel wurde bereits im April 2014 geschlossen, in das auf Linux aufbauende Android wurde der Patch jedoch nicht implementiert. Dies hat nun zur Folge, dass eine von Google nicht benannte App die Sicherheitslücken ausgenutzt habe, um Root-Zugriff zu erlangen, wie pcwelt.de berichtet. Diese war im offiziellen Google Play Store verfügbar und betraf alle Geräte, die nach dem 18.03.2016 keine Updates erhalten hatten. Auch auf Nexus-5 und Nexus-6-Geräten hätte die App funktionieren können. Die Schwachstelle sei jedoch in allen Android-Releases zu finden, die auf die Linux-Kernel 3.4, 3.10 und 3.14 basieren. Daher sind auch zahlreiche andere Gerätetypen von Smartphones und Tablets betroffen. Nach Empfehlungen von Google, sollten Inhaber von Android-Geräten keine Rooting-Apps installieren und alternative App-Stores meiden.

Malware: Der Kopierer als Absender

Neuerdings setzen Cyber-Kriminelle wieder auf E-Mail-Spoofing und fälschen Absender-Adressen, wie auf botfrei zu lesen ist. Dadurch täuschen sie vor, dass sie von einem Kopierer, Scanner oder Fax-Gerät aus dem eigenen Netzwerk stammen. Genannt werden hierbei vor allem gängige Marken wie Canon, Xerox und Epson. Im Anhang der ansonsten leeren Mails befindet sich eine ZIP-Datei, in der sich ein Trojaner verbirgt. Dieser wird zwar bereits von vielen Antiviren-Lösungsherstellern als bösartig erkannt, es kann jedoch sein, dass nicht alle E-Mails als schadhaft eingestuft werden. Üblicherweise werden gescannte Original-Dateien nicht automatisch von Druckern oder Kopiergeräten als komprimierte ZIP-Datei verschickt. Da Scanner jedoch die unterschiedlichsten Ausgabeformate und Ablageort beherrschen, empfiehlt das BSI, keine Scanergebnisse mit beliebigem Dateianhang zu öffnen, wenn man den Ursprung nicht klar zuordnen kann.

Ransomware: TeslaCrypt 4, Surprise und Petya

Wie heise Security schreibt, warnen Sicherheitsexperten vor der vierten Version der Ransomware TeslaCrypt, die auch Dateien mit mehr als vier Gigabyte korrekt verschlüsselt. Da der Trojaner keine Namenszusätze mehr an verschlüsselte Dateien anhängt, ist es für Geschädigte schwerer zu verstehen, was mit ihren Dateien passiert. Zudem ist es dem Trojaner möglich, mehr Informationen über den betroffenen Computer auszulesen und daraus einen individuellen Schlüssel zu erstellen. Eine Entschlüsselung ist derzeit nicht möglich.

botfrei Blog berichtet zudem von einer weiteren Ransomware, bei der Dateien durch ferngesteuertes Ausführen einer schadhaften Datei – surprise.exe – verschlüsselt werden. Dabei nutzen die Kriminellen gestohlene Accounts von TeamViewer, einer Software-Lösung für Fernwartung und Online-Meetings.

Mit dem Petya wurde vor wenigen Tagen ein weiterer Expressungs-Trojaner entdeckt, der nicht nur bestimmte Datei-Typen verschlüsselt, sondern den gesamten Rechner blockiert, denn installierte Betriebssysteme lassen sich nicht mehr ausführen. Der Trojaner hat es laut PC-Magazin auf Windows-Rechner abgesehen und wird via Dropbox verteilt. Wie in der jüngsten Meldung auf heise.de zu lesen ist, besteht noch eine Möglichkeit, die Daten nach der ersten Phase der Infektion zu retten, denn der Erpressungstrojaner verschlüsselt die Systeme in zwei Phasen. Daher soll es erst nach einem Neustart des Systems nicht mehr möglich sein, Daten zu retten. Außerdem zerstört Petya die zum Booten notwendigen Informationen auf Systemen, die er nicht verschlüsseln kann.

Mit regelmäßigen Backups auf externen Datenträgern, die nicht ständig mit dem Rechner verbunden sind, grenzt man übrigens den Datenverlust bei einem Befall mit Kryptotrojanern ein.

Apple und Yahoo: Neue Authentifizierungsmethoden

Apple und Yahoo haben neue Authentifizierungsmethoden eingeführt. Apple verwendet ab sofort für alle Nutzer der iCloud eine Zwei-Faktor-Authentifizierung, die eine Erweiterung der bisherigen zweistufigen Authentifizierung ist. Sie soll die Verwendung der Schutzfunktion deutlich einfacher machen. Zudem soll sie verhindern, dass Nutzer den Zugriff auf den eigenen Account komplett verlieren. Dies gilt für alle mobilen Apple-Geräte, die auf dem Betriebssystem ab iOS 9 basieren beziehungsweise für Desktop-Rechner ab Version 10.11 (El Capitan) des stationären Betriebssystems OS X. Mit dem alten Schutzsystem war dies möglich, wie auf heise.de zu lesen ist. Bei der neuen Zwei-Faktor-Authentifizierungen wird auf einen Wiederherstellungsschlüssel verzichtet, eine Bestätigung erfolgt beispielsweise über ein Smartphone, dessen Nummer vorab hinterlegt wurde.

Auch Yahoo erweitert seine Authentifizierungsmethode, wie zdnet.de berichtet. Um diese zu nutzen, müssen Anwender auf ihrem Mobilgerät die zugehörige Yahoo-App verwenden und den Account Key freigegeben haben. Wollen sich Nutzer auf einem Desktop in ihr Konto einloggen, müssen sie einfach auf einen Button klicken, ein Passwort ist nicht erforderlich. Das Smartphone informiert den Anwender über den Log-in-Versuch und fordert ihn auf, diesen zu bestätigen.

Facebook: Neues Werkzeug gegen Identitätsdiebstahl

Das Sicherheitsteam von Facebook hat eine neue Funktion entwickelt, die zukünftig Anwender umgehend informieren soll, wenn jemand ihren Account imitiert, das berichtet Mashable und beruft sich hierbei auf Antigone Davis, Global Head of Safety bei Facebook. Sobald ein verdächtiges Profil auftaucht, erhält die betroffene Person eine Nachricht, dieses zu überprüfen. Mithilfe von persönlichen Daten könne Facebook feststellen, ob es sich tatsächlich um ein imitiertes Profil handelt. Seit November 2015 wird das Feature getestet und ist mittlerweile für drei Viertel aller Anwender verfügbar. So sollen Facebook-Mitglieder vor Belästigung geschützt werden, denn es ist ausdrücklich verboten Fake-Profile zu erstellen.

Hier hat das BSI noch einige Tipps zusammengestellt, wie man seine digitale Identität wirkungsvoll schützen kann.