Schlagwort Archiv: mobile

Freak bedroht nicht nur mobile Nutzer

Freak ist eine Schwachstelle in diversen Browsern und Servern.

Neben diversen mobilen Browsern, ist auch Windows mit seinem IE von der Schwachstelle Freak betroffen.

Freak (Factoring Attack on RSA-Export-Keys) ist eine Schwachstelle in diversen Browsern von Mobil- sowie Desktop-Geräten. Auf der Seite freakattack.com gibt es viele Informationen, die die Schwachstelle betreffen. Im folgenden versuche ich die Infos ein wenig zusammen zu fassen.

Hintergrund von Freak

Die Schwachstelle kann genutzt werden um zwischen einem verwundbaren Browser und Server eine absichtlich unsichere Verbindung zu erzwingen. Hierbei wird statt eines sicheren RSA-Keys (1024 oder 2048 Bits) einer mit nur 512 Bits verwendet. Dies ist an sich keine Sicherheitslücke, sondern eher ein altes Feature aus den 90ern, als die US-Regierung den Export von sicherer Software ins Ausland verboten hat. Auf dieser Art und Weise wollten sie der NSA unter die Arme greifen.

Liste aller Browser, die betroffen sind:

Quelle: freakattack.com

Internet Explorer (Hinweise und Infos von Microsoft)
Chrome (Mac OS) (Patch bereits verfügbar)
Chrome (Android)
Safari (Mac OS und iOS)
(Patch wird nächste Woche erwartet)
Android Browser
Blackberry Browser
Opera (Mac OS und Linux)

Alle hier nicht aufgeführten Browser (z.B. Firefox) sind nicht betroffen und somit sicher.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Der Internet Explorer von Microsoft ist anfällig für eine Freak-Attacke und sollte gemieden werden.

Eigenen Browser testen

freakattack.com bietet einen Test, der überprüft ob der eigene Browser sicher ist. Neben der Nachricht, ob der Browser sicher ist oder nicht, gibt es diverse Infos über den Browser, wie zum Beispiel die unterstützten Verschlüsselungsarten.

Wie kann man sich schützen?

Wenn beim Browser-Test (s.o.) angezeigt werden sollte, dass der eigene Browser nicht sicher ist, sollte ggf. auf einen anderen Browser umsteigen oder die Hinweise weiter unten berücksichtigt werden. In Firefox und Chrome kann man nach dem Unstieg gleich das Profil vom Internet Explorer (Lesezeichen, etc.) importieren.

Ansonsten gibt es leider wenig Tricks, wie man sich im allgemeinen schützen kann (für Windows gibt es unten mehr Infos). Man sollte aber die allgemeinen Vorgehensweisen berücksichtigen:

  • Halten sie den Browser aktuell und installieren sie alle Updates
  • Informieren sie sich über eventuelle Updates
  • Wechseln die ggf. zu Firefox oder einem Browser der sicher ist

Anfällige Webseiten kennen

Da das Problem nicht nur beim Browser, sondern auch bei ggf. anfälligen Webseiten liegt, gibt es eine Liste mit Webseiten die anfällig für eine Freak-Attacke sind. Darunter sind leider auch viele deutsche Seiten, die z.B. giga.de, markt.de, filmstarts.de, pcgameshardware.de und viele mehr.

Eine Liste mit den ersten 64296 beliebtesten Webseiten gibt es hier.

Freak-Attacke unter Windows verhindern

Update vom 10.03.2015: Die folgende Beschreibung sichert Sie gegen eine Freak-Attacke ab, jedoch können sie danach keine Windows Updates mehr installieren!

Da auch Windows (ab Vista) mit seinem Internet Explorer betroffen ist, hat Microsoft Tipps zum absichern vom IE veröffentlicht. Der Fehler in Windows liegt dabei im Schannel, mit dem es bereits mehrere Probleme gab.
Zum absichern von Windows muss man manuell die Verschlüsselungssammlungen von Windows bearbeiten. Mehr Infos und eine ausführliche Anleitung gibt es hier.

Kinderpornos aus Eigenproduktion – Wie gefährlich ist YouNow?

Wer auf YouNow streamt, muss unbedingt aufpassen, was er/sie an erzählt. Quelle: http://www.spieleratgeber-nrw.de/media/img_thumbs/8503_Younow-1_500x284.jpg

Seit 2011 gibt es die Plattform YouNow, die als Streaming Portal für Künstler gedacht war. Mittlerweile wird dort gestreamt was das Zeug hält und nicht jeder singt dabei fröhlich Lieder oder macht Musik.
Im Google Play Store hat YouNow den Titel „YouNow: Sende dein Programm“, was schon alles sagt: Jeder sendet alles. Neben alltäglichen Situationen werden auch alle anderen Seiten des Lebens gestreamt: Pornos, Gewalt, Beleidigungen, etc. etc.

3 Grundlegende Verhaltensregeln für YouNow

Um vielen Gefahren, an die fast nie einer denkt, aus dem Weg zu gehen, sollte man drei „Regeln“ beachten. Zum einen geht es dabei um eventuell anfallende Kosten … und ich rede hier nicht an Nutzungskosten von YouNow … Zum anderen geht es hier wirklich darum, dass ihr einen unangenehmen Gerichtstermin verhindern könnt. Dabei schützen diese Regeln nicht nur euch selbst, sondern auch ggf. andere. (mehr …)

Keine WebView-Updates für viele Android Geräte mehr

Google liefert teils keine WebViewer Updates mehr.

Ohne Sicherheitsupdates für den WebViewer wird surfen mit dem Smartphone weniger sicher. Quelle: http://upload.wikimedia.org/wikipedia/commons/7/75/Internet1.jpg

Google hat entschieden, dass es keine WebView-Updates für viele Android Geräte mehr geben wird. Betroffen sind alle Versionen bis Android 4.4, also 4.3 und älter. Was das für Folgen hat und wie Benutzer und Hersteller darauf reagieren werden ist noch offen, doch so viel steht fest: Sicherheit ist was anderes.
Zu WebView: WebView ist die zentrale Komponente von Android, die Webseiten rendert (also HTML-Daten in fancy Bilder und Text umwandelt), doch dabei gibt es im Bereich Javascript einige Bugs (dazu später mehr).

Kein Support mehr: Folgen und Gründe

Fast eine Milliarde Android Geräte, was ca.60% aller Android Geräte ausmacht, werden dem zu Folge nicht mehr mit WebView-Updates beliefert, was heißt, dass in diesen Geräten eine bekannte Lücke im WebView von Android bestehen bleibt und nicht gefixt wird.

Als Grund hierfür nennt Google, dass Jelly Bean (also Android 4.1.x bis 4.3) und alle vorherigen Versionen zu alt wären. Es ist zwar oft so, dass Software, die zwei oder drei Versionen zurück liegt nicht mehr mit (allen) Updates versorgt wird, dennoch ist die Zeitspanne, im Vergleich zu Windows oder anderen Software Produkten, zwischen Android Versionen relativ kurz.

Sicherheitslücke im WebView

(mehr …)