Mobiles Internet

WhatsApp und Co.: Messenger vs. Sicherheit

Messenger Apps gibt es viele, doch welche kann man sicher nutzen?

Die Auswahl an Messenger Apps ist groß, doch auf Sicherheit wird leider wenig geachtet. Welche Apps kann man jetzt gefahrlos nutzen und welche nicht?

Wer benutzt heute keine Messenger Dienste? Richtig: Niemand. Von XMPP, IRC, ICQ und Skype hin zu mobilen Clients wie WhatsApp, Threema, Signal oder Telegram oder auch Facebooks Messenger sind alle Arten in den letzten Jahren vertreten gewesen. Heute werden jedoch nur noch wenige davon genutzt, wie etwa WhatsApp, Skype oder der Facebook Messenger.

Viele Messenger verschlüsseln nicht

Man sollte meinen, dass seit den Snowden-Enthüllungen jeder große Dienst im Internet begriffen hat, dass Sicherheit in all seinen Fassetten ein sehr wichtiger Bestandteil ist. Leider ist dieser Gedanke noch nicht bei allen angekommen. (mehr …)

WhatsApp: Endlich ganze Sachen mit Ende-zu-Ende Verschlüsslung

WhatsApp verschlüsselt nun alles

WhatsApp verschlüsselt nun alle Nachrichten, Telefonate und Anhänge per Ende-zu-Ende Verschlüsselung.

Wer bisher über WhatsApp Nachrichten verschickt hat, der konnte nie wirklich sicher sein, dass sie auch per Ende-zu-Ende Verschlüsselung gesichert waren. Zwar wird schon seit geraumer Zeit verschlüsselt, jedoch nur bei Android und auch nur bei bestimmten Versionen (zu alte Clients verschlüsselten nicht). Auch gab es bisher keine Anzeige, die eine vorhandene Ende-zu-Ende Verschlüsselung gekennzeichnet hätte.

Das hat sich nun geändert: WhatsApp verschlüsselt nach eigenen Aussagen alles mit einer Ende-zu-Ende Verschlüsselung, sodass FBI, NSA und auch WhatsApp selbst die Nachrichten nicht mehr lesen können. Unterstützt wird das aber erst ab Version 2.16.9, also alle schnell updaten.

WhatsApp benutzt Elliptische Kurven und AES256

Hauptsächlich zum Einsatz kommt die Elliptische Kurve Curve25519, der Verschlüsselungsalgorithmus AES256 und die Hash-Funktion SHA-256. Der AES-Algorithmus erledigt die Hauptarbeit beim verschlüsseln, denn Nachrichten und Anhänge werden darüber Abgewickelt. Dabei gibt es eine Vielzahl von Mechanismen zum absichern der Verschlüsselung.

Für jede Nachricht wird über die Curve25519 ein neuer Message Key generiert, der diese dann verschlüsselt. Der Message Key ändert sich zudem bei jeder Nachricht, sodass ein Angreifer mit einem gecrackten Key auch nur eine Nachricht entschlüsseln kann und nicht die gesamte Konversation.

Auch Gruppennachrichten, Anhänge (Bilder, Videos, Sprachnachrichten, etc.), sowie Telefonate werden ebenfalls Ende-zu-Ende verschlüsselt. Zudem wird der Nutzer durch ein Icon davon in Kenntnis gesetzt, dass die Verschlüsselung aktiv ist. Ist das Icon nicht da, so ist die Verbindung unverschlüsselt.

Teilweise Open Source

(mehr …)

Alle Android Geräte von Stagefright betroffen … erneut

In Androids Stagefright Mediensystem befinden sich zwei Sicherheitslücken.

Erneut kamen zwei schwerwiegende Sicherheitslücken in Androids Mediensystem Stagefright zum Vorschein.

Wie ich bereits ziemlich genau vor zwei Monaten berichtet habe, wurde Android von der Sicherheitslücke im Mediensystem Stagefright geplagt. Dies hat sich diesen Monat wiederholt denn schon wieder ist Stagefright von Sicherheitslücken betroffen – und dabei haben die meisten Geräte zusätzlich noch die alten Lücken.

Theoretisch sind alle Geräte, die ab 2008 (Android 1.0 Release) gekauft wurden betroffen. Praktisch sind jedoch einige Android Geräte durch vorherige Updates der Hersteller abgesichert.

Lücke in Stagefright und libutils

Wieder handelt es sich um Lücken im Mediensystem Stagefright und wieder kann man durch veränderte MP3 / MP4 Dateien Code auf dem Smartphone ausführen (sog. Remote-Code-Execution).

Die zwei gefundenen Lücken liegen in den Bibliotheken libutils und libstagefright von Android. Obwohl die Lücken an unterschiedlichen Stellen sind, können sie mit dem selben Trick benutzt werden und ermöglichen auch beide eine RCE (Remote-Code-Execution).

Durch das angucken an sich wird die Lücke nicht ausgenutzt, gefährlich ist jedoch die Verarbeitung der Metadaten (z.B. Datum, Größe, Auflösung, Länge, etc.) vor dem abspielen der Datei. Diese findet in eben den Bibliotheken libstagefright, bzw. libutils statt.

Wer ist betroffen?

(mehr …)

Sicherheitslücken plagen Android

In Android wurden schwere Sicherheitslücken entdeckt.

In den Letzten Tagen kamen einige schwerwiegende Sicherheitslücken in Android zum Vorschein.

In den letzten Tagen kam es vermehrt zu Sicherheitslücken in Android-Systemen, wie etwa die Stagefright-Lücke und die aktuelle Lücke im Media-System von Android.

Stagefright

Eine Lücke in der Android „media playback engine“ namens Stagefright ist eine Sicherheitslücke der besonderen Art, denn mit ihr ist es möglich Code per MMS auf Smartphones zu übertragen. Sobald man die MMS bekommt (man muss diese nicht einmal lesen!), wird der darin enthaltene Code ausgeführt.

Mit MP4-Video Android hacken

Klingt ähnlich kurios wie der Windows-Hack über eine Scrollbar, doch dank einer Lücke im Media-System von Android kann man den Player für MP4-Videos zum Absturz bringen. Genauer gesagt wird ein Heap-Overflow (also ein Überlauf des Zwischenspeichers für Programme) ausgelöst, was zur folge hat, dass Code aus den MP4-Dateien ausgeführt werden kann.

Es ist also nicht nur das Problem, dass man Android abstürzen lassen kann, sondern dies ist eine „Remote Code Execution“, also eine Ausführung fremdes Codes, was die schwerste Art von Sicherheitslücke ist. Damit ist dies eine sehr gefährliche Lücke und sollte nicht unterschätzt werden, da überall im Internet MP4-Dateien verwendet werden.

Wer ist betroffen?

Beide Lücken befinden sich im Mediasystem und bieten eine Remote Code Execution und sollten daher nicht unterschätzt werden!

Die Stagefright-Lücke klafft auf ca. 95% aller Android Smartphones, sprich alle Geräte mit Android 2.2 oder neuer.
Die MP4-Lücke befindet sich „nur“ auf Android 4.0.1 bis 5.1.1, was „nur“ 94% aller Geräte ausmacht – Puh!

Wie kann man sich schützen?

Es liegt nun an den Herstellern Updates zu liefern, was hoffentlich bald geschieht. Google wurde schon im Mai informiert und hat Ende Juli bereits nachgebessert.

Bis die Geräte-Hersteller die Updates verteilen sollte man sein Gehirn benutzen und nicht unnötig seine Telefonnummer preis geben oder sinnlos irgendwelche Videos auf dubiosen Websites abgucken.

Android Installer Hijacking: 50% aller Android-Geräte betroffen

Mit der Sicherheitslücke „Android Installer Hijacking“ ist es einer App möglich unbegrenzte Rechte zu erlangen.

Eine von Palo Alto Networks entdeckte Sicherheitslücke namens „Android Installer Hijacking“ ermöglicht das Austauschen von Apps auf Android-Geräten während der Installation.

Dies erfolgt ohne Wissen des Benutzers und benötigt keine weitere Bestätigung. Ein Dialog mit einer Liste aller Rechte wird nicht angezeigt und das macht diese Lücke so gefährlich, denn die Malware kann sich mit Hilfe dieser Lücke alle Rechte nehmen, die sie möchte/benötigt.

Neben dem Zugriff auf Bilder, Videos, dem Browser Verlauf und vielen mehr, kann sich eine Malware-App auch Rechte nehmen um Benutzernamen und Passwörter, sowie andere persönliche Daten aus zu lesen.

Achtung vor alternativen App-Markets

Wer bei Google-Play seine Apps installiert ist auf der sicheren Seite, denn diese Sicherheitslücke betrifft nur alternative Markets und manuell heruntergeladene .apk-Dateien.

Selbst bei seriösen App-Markets, wie zum Beispiel dem Amazon App-Store, kann ein solcher Angriff statt finden. Einzig sicher ist der Google-Play Store, da die Installation über eine getrennte App läuft (der normalen Google-Store App).

Nur Android 4.3 und älter betroffen

Betroffen sind nur Geräte mit Android 4.3 oder älter, wobei es bei 4.3 nur wenige betroffene Geräte sind. Dennoch sind laut Palo Alto Networks rund 49,5% aller Android-Geräte verwundbar, was diese Lücke so gefährlich macht.

Ist Ihr Gerät betroffen?

(mehr …)