Die Sicherheit von Whatsapp gelte global – es sei “dumm” sie wegen einer britischen Chatkontrolle aufzugeben, erklärt der Whatsapp-Chef.

Whatsapp-Chef Will Cathcart will die Sicherheit von Whatsapp nicht für eine in Großbritannien geplante Chatkontrolle unterminieren. Es sei “dumm” dies zu tun, da Whatsapp weltweit einheitliche Standards bieten müsse.

Die per Whatsapp versendeten Nachrichten werden mit einer Ende-zu-Ende-Verschlüsselung (E2EE) geschützt. Diese stellt sicher, dass nur Sender und Empfänger die Nachrichten lesen können. Mit einer Chatkontrolle soll dieser Schutz umgangen und damit faktisch abgeschafft werden.

“Wenn wir die Sicherheit für die ganze Welt herabsetzen müssten, um den Anforderungen in einem Land gerecht zu werden, wäre das … für uns sehr dumm zu akzeptieren und unser Produkt für 98 Prozent unserer Nutzer wegen der Anforderungen von 2 Prozent weniger attraktiv zu machen”, sagte Cathcart dem Sender BBC.

“Was vorgeschlagen wird, ist, dass wir – entweder direkt oder indirekt über eine Software – die Nachrichten von allen lesen. Ich glaube nicht, dass die Leute das wollen”, sagte der Whatsapp-Chef weiter.

Großbritannien arbeitet an einem Gesetzentwurf (Online Safety Bill), der Unternehmen zu einem Scan nach Abbildungen von Kindesmissbrauch sowie Terrorismus verpflichtet – auch in bisher Ende-zu-Ende-verschlüsselten Nachrichten. Unternehmen, die dem nicht nachkommen, sollen laut einem Gesetzentwurf bis zu 18 Millionen Pfund (21 Millionen Euro) oder 10 Prozent ihres Jahresumsatzes Strafe drohen.

Analog zu Großbritannien plant auch die EU eine Chatkontrolle. Die EU-Kommission habe sich bei ihrem entsprechenden Vorschlag offensichtlich an der britischen Online Safety Bill orientiert, erklärte Tom Jennissen von der Digitalen Gesellschaft. “Dass die britische Variante Kindesmissbrauchsdarstellungen und terroristische Inhalte weitgehend gleich behandelt, zeigt, dass auch die geplante EU-Regelung – allen Beteuerungen der Kommission zum Trotz – ohne Weiteres auf andere Deliktsfelder übertragbar wäre.”

Der Beitrag Chatkontrolle: Whatsapp will Sicherheit nicht für Briten aufgeben erschien zuerst auf Linux-Magazin.

Angreifer geben sich in E-Mails als Sicherheitsunternehmen aus und bitten um einen Rückruf. Doch statt einer Überprüfung wird der Rechner gehackt.

Sie geben sich als Sicherheitsunternehmen wie Mandiant oder Crowdstrike aus und bitten um einen Rückruf wegen eines Sicherheitsproblems. Doch wer die Telefonnummer anruft, landet nicht bei der Sicherheitsfirma, sondern bei Betrügern, die ihr Opfer per Social Engineering zur Installation einer Schadsoftware überreden wollen. Diese preisen sie natürlich als Sicherheitssoftware an.

Statt ihren Opfern einen Link zu einer Phishing-Webseite oder Schadsoftware in Form von Anhängen oder Links zu schicken, setzen immer mehr Angreifer auf solche Callback-Phishing-Kampagnen, bei denen sie unter dem Namen bekannter Unternehmen um einen Rückruf bitten, sei es, um eine Abonnementverlängerung zu stornieren, oder um ein Sicherheitsproblem zu besprechen. Rufen Opfer die Telefonnummer an, versuchen die Betrüger sie beispielsweise zur Installation einer Fernwartungssoftware zu überreden.

Das Onlinemagazin Bleepingcomputer berichtet über einen Fall, in dem sich die Angreifer als Experten der Sicherheitsfirma Crowdstrike ausgaben und die Betroffenen in einer E-Mail vor vermeintlichen Hackern warnten, die in das Netzwerk des Unternehmens eingedrungen seien. Deshalb sei eine gründliche Sicherheitsüberprüfung erforderlich, erklärten die Angreifer.

Anschließend erklärten sie ausführlich, warum ein Zugriff auf die Geräte der Betroffenen nötig seien. Man habe während einer täglichen Netzwerküberprüfung abnormale Aktivitäten in dem Segment des Netzwerks festgestellt, in dem sich der Arbeitsplatz der betroffenen Person befinde, erklärten die Täter demnach. Man habe den spezifischen Domänenadministrator identifiziert, der das Netzwerk verwalte, und vermute eine Kompromittierung aller Arbeitsrechner in diesem Netzwerk.

Daher würden alle Arbeitsplätze detailliert überprüft, hieß es weiter. Man habe sich bereits an die Sicherheitsabteilung des Unternehmens gewandt, diese habe sie allerdings an die einzelnen Arbeitsplätze beziehungsweise die dortigen Mitarbeiter verwiesen, um eine mögliche Kompromittierung der Arbeitsplätze vor Ort zu verhindern. Daher solle man dringend unter der genannten Telefonnummer einen Termin zur Sicherheitsüberprüfung ausmachen.

In einem Bericht geht die echte Sicherheitsfirma Crowdstrike davon aus, dass das Ziel der Angreifer letztlich ein Ransomwareangriff und eine damit verbundene Lösegeldforderung ist. “Dies ist die erste identifizierte Callback-Kampagne, die sich als Cybersecurity-Unternehmen ausgibt, und hat angesichts der Dringlichkeit von Cyberangriffen ein höheres Erfolgspotenzial”, warnt Crowdstrike.

Vitali Kremez von der Sicherheitsfirma Advintel vermutet, dass hinter den Angriffen die Ransomwaregruppe Quantum steckt. Man habe erstmals im Juni 2022 entsprechende Angriffe entdeckt, bei denen sich die Betrüger als IT-Experten von Crowdstrike oder Mandiant ausgegeben hätten.

Der Beitrag Callback-Phishing: Dringender Rückruf erbeten erschien zuerst auf Linux-Magazin.

Messenger sollen in der EU Nachrichten untereinander austauschen können. Signal sieht darin eine Gefahr für seine Datenschutzstandards.

Das kürzlich vom Europaparlament verabschiedete Digitale-Märkte-Gesetz (engl.: Digital Markets Act, DMA) sieht vor, dass Messenger interoperabel werden, also Nachrichten zwischen verschiedenen Diensten ausgetauscht werden können. Doch der auf Sicherheit fokussierte Messenger Signal sieht durch die Regelung seine Datenschutzstandards in Gefahr.

“Das Ziel von Signal ist es, private und sichere Kommunikation für alle und jeden bereitzustellen. Die Zusammenarbeit mit iMessage und Whatsapp würde letztendlich die Privatsphäre von Signal und seinen Benutzern verschlechtern”, erklärte die gemeinnützige Signal-Stiftung. “Andere Apps, die nicht die gleichen Datenschutzstandards wie Signal haben, hätten Zugriff auf große Mengen von Benutzerdaten. Diese Daten könnten dann auf eine Weise verwendet oder verkauft werden, die nicht mit der Mission und den Werten von Signal übereinstimmt.”

Der Messenger verschlüsselt alle Nachrichten mittels des Signal-Protokolls Ende-zu-Ende und reduziert die Metadaten weitestgehend. So werden auch die Gruppen und Gruppenmitgliedschaften verschlüsselt und sind nur für die Mitglieder, nicht aber für den Anbieter einsehbar. Dagegen bieten der Facebook Messenger oder Telegram eine Ende-zu-Ende-Verschlüsselung nur optional an. In Gruppen steht bei Telegram grundsätzlich keine Ende-zu-Ende-Verschlüsselung zur Verfügung.

Dabei ist das Ziel von DMA und des ebenfalls beschlossenen Digitale-Dienste-Gesetzes (engl. Digital Services Act, DSA), “das Internet aufzuräumen und digitale Monopole zu bekämpfen”, wie es der Linken-Abgeordnete Martin Schirdewan formulierte. Während viele Regelungen begrüßt wurden, war die Interoperabilitäts-Regelung jedoch von Anfang an umstritten.

So warnte Kommissionsvizepräsidentin Margrethe Vestager im März 2021: “Wenn wir jetzt vorschreiben, dass alle Messenger kompatibel sein müssen, könnte das dazu führen, dass wir eine Art SMS zurückkriegen.”

Ähnlich äußerten sich im vergangen Jahr etliche Anbieter von Messenger- und Videokonferenzdiensten in einer Befragung des Bundeskartellamtes, darunter Whatsapp, Threema und Facebook Messenger.

“Interoperabilität laufe auch wider Verbraucherinteressen, indem das Nutzererlebnis beeinträchtigt und Multi Homing, also die Unterhaltung von Nutzerkonten bei mehreren Messengerdiensten, verhindert werde. Ein verpflichtendes Interoperabilitätsvorhaben führe dazu, dass es in allen genannten Bereichen nur noch zum kleinsten gemeinsamen Nenner komme”, zitiert das Bundeskartellamt aus den Antworten.

Von einer Verpflichtung zur Interoperabilität würden “nachteilige Auswirkungen insbesondere auf Innovation, Datensicherheit und Datenschutz” befürchtet, heißt es in der Befragung. Allerdings müssen nur sogenannte Gatekeeper ihre Dienste öffnen, also Kerndienste im Internet, die eine besonders weite Verbreitung haben und an die deshalb besonders ausgeprägte Anforderungen zu Wettbewerbspraktiken gestellt werden.

Der Beitrag DMA: Signal sieht in Interoperabilität Gefahr für die Sicherheit erschien zuerst auf Linux-Magazin.

An hessischen Hochschulen darf Zoom weiter genutzt werden, sofern die Maßnahmen des Hessischen Modells umgesetzt werden.

Lehrveranstaltungen an hessischen Universitäten können weiterhin über die Videokonferenzsoftware Zoom abgehalten werden, sofern die Vorgaben des sogenannten Hessischen Modells eingehalten werden. Das teilte die Behörde des Landesdatenschutzbeauftragten Alexander Roßnagel mit.

Aufgrund der Coronapandemie hatte die hessische Datenschutzbehörde den Einsatz von Videokonferenzsystemen wie Zoom geduldet, auch wenn diese nicht den datenschutzrechtlichen Anforderungen entsprachen. Diese Duldung lief im Juli 2021 aus. Hintergrund ist eine Entscheidung des Europäischen Gerichtshofes (EuGH). Nach diesem Schrems II genannten Urteil dürfen personenbezogene Daten nur in die USA übertragen werden, wenn sichergestellt wird, dass US-Behörden nicht auf sie zugreifen können. Dies könne ein US-Anbieter wie Zoom jedoch nicht garantieren, erklärte die hessische Datenschutzbehörde.

Die Universität Kassel hat nun mit Unterstützung der Datenschutzbehörde das Hessische Modell entwickelt, mit dem die personenbezogenen Daten der Teilnehmer an einer Zoom-Konferenz entsprechend geschützt werden sollen. Damit soll die Videokonferenzsoftware weiterhin genutzt werden können.

Für den Betrieb der Server des Videokonferenzsystems muss daher ein von Zoom unabhängiger Auftragsverarbeiter mit Servern und Sitz in der EU beauftragt werden. Alle Inhalte müssen Ende-zu-Ende-verschlüsselte werden und die Software darf ausschließlich für Lehrveranstaltungen genutzt werden. So müssen beispielsweise Einzelgespräche über andere Systeme abgewickelt werden.

Ein solches “alternatives datenschutzkonformes Videokonferenzsystem für andere Zwecke oder für Lehrpersonen, die nicht mit Zoom arbeiten wollen”, muss ohnehin von der Universität angeboten werden. Zudem müssten die Lehrkräfte sowie die Studenten ausführlich über “weiterführende, unterstützende Maßnahmen zum Schutz der informationellen Selbstbestimmung” informiert werden. Insgesamt müsse ein Abfluss von personenbezogenen Daten der Studenten in die USA verhindert werden, heißt es in der Zusammenfassung des Hessischen Modells.

“Das Hessische Modell zeigt, dass es sich lohnt, konstruktiv nach Wegen zu suchen, wie durch Technikgestaltung die Vorteile bestimmter IT-Systeme genutzt werden können, ohne dass der Datenschutz auf der Strecke bleibt. Insofern ist dieses Modell auch für andere Videokonferenzsysteme ein Vorbild und kann methodisch auf viele Probleme des Datenschutzes übertragen werden”, sagte Roßnagel.

Der Beitrag Hessen: Datenschutzbeauftragter erlaubt Zoom-Einsatz unter Auflagen erschien zuerst auf Linux-Magazin.

Dieses Jahr soll wieder ein physischer Chaos Communication Congress stattfinden. In Hamburg wird der Hackerkongress jedoch deutlich kleiner ausfallen.

Der Chaos Communication Congress (CCC) soll dieses Jahr wieder wie gewohnt stattfinden, nachdem er die letzten Jahre ausgefallen und stattdessen die Remote Chaos Experience (rC3) Online abgehalten wurde. Als Ort für den Hackerkongress soll wieder das Kongresszentrum CCH in Hamburg dienen.

“Wir wollen im Dezember zum 37C3 in Hamburg zusammenkommen”, sagte Linus Neumann, Sprecher des Chaos Computer Clubs. Dort hatte der Chaos Communication Congress bis 2016 stattgefunden und wurde im Zuge einer mehrjährigen Renovierung des Kongresszentrums CCH in den folgenden Jahren auf dem Leipziger Messegelände abgehalten. Dieses bot deutlich mehr Raum für die Veranstaltung und konnte entsprechend mehr Besucher aufnehmen. Der letzte Congress im Jahr 2019 war mit 17.000 Tickets ausverkauft.

Das nun renovierte Kongresszentrum soll hingegen nur 12.000 Personen auf 36.000 m² fassen können. Entsprechend kleiner müsste der 37. Chaos Communication Congress ausfallen. Ohnehin kann der Hackerkongress nur stattfinden, wenn keine neue Coronavirus-Variante auftritt und einen Strich durch die Rechnung macht. “Natürlich wissen auch wir nicht, ob äußere Umstände kurzfristig unsere Pläne durchkreuzen werden”, sagte Neumann.

In den vergangenen beiden Jahren musste das Chaos pandemiebedingt auf eine Onlinewelt ausweichen. In der 2D-Welt konnten die Besucher mit einem Avatar über das Kongressgelände spazieren und per Videochat mit anderen Besuchern interagieren. Das Kongressprogramm, allen voran die zahlreichen Vorträge, wurde per Livestream übertragen – wie es auch bereits bei den vergangenen physischen Kongressen der Fall war.

Der Beitrag Chaos Communication Congress soll in Hamburg stattfinden erschien zuerst auf Linux-Magazin.

Während 60 Bundesbehörden Wire als Messenger testen, will das Verteidigungsministerium lieber seinen Bwmessenger in den Behörden etablieren.

Die Bundesbehörden setzten auf den Messenger Wire und testen diesen bereits im größeren Stil. “Der Messenger Wire wird als sicherer Messenger in der Bundesverwaltung ausgerollt”, sagte ein Sprecher Bundesinnenministeriums (BMI) der Zeitung Tagesspiegel (Paywall). Nicht mit von der Partie ist jedoch das Verteidigungsministerium: Ministerium und Bundeswehr setzten mit dem Bwmessenger weiterhin auf einen eigenen Messenger auf Matrix-Basis – und hoffen diesen auch in anderen Behörden zu etablieren.

Mit der Coronapandemie wurde den Behörden noch eindringlicher klar, wie wichtig ein interner Messenger für die interne Kommunikation ist. Bereits 2019 hatte die Bundeswehr einen Proof-of-Concept des Bwmessengers erstellt. Während der Pandemie wurde dieser vergleichsweise schnell in den Regelbetrieb übernommen und immer weiter ausgebaut: Aus 5.000 Clients wurden 50.000, später 80.000.

Doch auch in anderen Behörden liefen Tests: So wurde der Messenger Wire im Jahr 2020 mit 1.500 Angestellten aus mehreren Bundesministerien getestet. Dieser Test wurde nun massiv ausgeweitet: “Wire Bund wird derzeit in über 60 Behörden mit mehr als 10.000 Nutzenden pilotiert”, sagte ein Sprecher des Innenministeriums. Damit soll auch eine behördenübergreifende Kommunikation per Messenger möglich sein.

Das Verteidigungsministerium würde hingegen die Nutzung seines Bwmessengers als behördenübergreifender Messenger begrüßen: “Es gibt Gespräche mit anderen Ressorts mit dem Ziel, den Bwmessenger als Standardplattform auch außerhalb des Bundesverteidigungsministeriums zu nutzen”, sagte ein Sprecher des Verteidigungsministeriums dem Tagesspiegel. Dabei verweist er auf einen Beschluss zwischen dem Innen- und Verteidigungsministerium, “dass der Bwmessenger als Blaupause für eine nachnutzbare und anpassbare Secure-Messaging-Lösung auch anderen Ressorts, Ländern und Kommunen bereitgestellt werden soll”.

Entwickelt und betrieben wird der Bwmessenger vom IT-Systemhaus der Bundeswehr, dem BWI. Die Wire-Instanz hingegen läuft beim Informationstechnikzentrum des Bundes (ITZBund) und wird im Rahmen der IT-Maßnahme Social Intranet des Bundes betrieben. Wire wird von der Berliner Entwicklungsabteilung der Wire Swiss GmbH mit Sitz in der Schweiz entwickelt. Die Mutterfirma Wire Group Holdings verlegte 2019 ihren Sitz nach Dover in den USA. Mittlerweile sitzt die Wire-Eigentümerin in München.

Vom Bundesamt für Sicherheit in der Informationstechnik gibt es für Wire eine Freigabeempfehlung für den Geheimhaltungsgrad VS-NfD (Verschlusssache – nur für den Dienstgebrauch). Der Bwmessenger unterstützt diese Geheimhaltungsstufe nur auf entsprechend zertifizierten Dienstgeräten von Secusmart. Sowohl Wire als auch der Bwmessenger sind sowohl client- als auch serverseitig Open Source und verwenden eine auf dem Signal-Protokoll basierende Ende-zu-Ende-Verschlüsselung.

Der Beitrag Messenger: Bund testet Wire in 60 Behörden, Bundeswehr will Eigenbau erschien zuerst auf Linux-Magazin.

Noch bevor Nutzer ein Formular auf mancher Webseite abgeschickt haben, landen E-Mail-Adresse oder Passwort bei Trackingdiensten.

Formulare sind im Web allgegenwärtig. Doch bevor die Nutzer auf Senden geklickt haben, werden die Eingaben in einigen Fällen bereits mit Trackingdiensten von Drittanbietern geteilt. Das hat eine Studie der Universitäten Leuven (Belgien), Radboud (Niederlande) und Lausanne (Schweiz) herausgefunden.

Untersucht wurden die 100.000 beliebtesten Webseiten. In drei Prozent der Fälle wurden die Daten bereits vor einem Klick auf den Sendebutton mit anderen Dienste geteilt. Zuerst berichtete das Onlinemagazin Bleepingcomputer.

Demnach verwenden etliche von den Webseitenbetreibern integrierte Trackingdienste Skripte, die in einem Formular Tastenanschläge registrieren und den Inhalt speichern beziehungsweise übermitteln. Dabei werden auch persönliche Daten wie E-Mail-Adressen, Nutzernamen, Passwörter oder sogar Nachrichten, die die Nutzer verschicken wollten oder verschickt haben, an die Trackingdienste übermittelt. Die Nutzer dürften jedoch üblicherweise davon ausgehen, dass die Daten erst nach einem Klick auf den Senden-Button und nicht an Dritte übermittelt werden.

Ihre Ergebnisse veröffentlichten die Forscher sowohl auf einer Webseite als auch in einem Paper. Demnach leiteten unter anderem Shopify.com, Facebook.com, Gravatar.com, Bose.com, Bmw.de und Trello.com die E-Mail-Adresse ihre Nutzer an Trackingdienste weiter – noch bevor die Nutzer auf Senden geklickt hatten oder mittels eines Cookiebanners etwaigem Tracking zugestimmt hatten. Teils wurden die E-Mail-Adressen zuvor gehasht, teils wurden sie wie beispielsweise bei Gearbest.com im Klartext übertragen.

Insgesamt fanden die Forscher 1844 Webseiten, die bei einem Aufruf mit einer IP-Adresse aus der EU E-Mail-Adressen vor dem Absenden eines Formulars an Trackingdienste weitergaben. Laut der Studie verstößt die E-Mail-Exfiltration durch Drittanbieter gegen mindestens drei Anforderungen der Datenschutzgrundverordnung (DSGVO): das Transparenzprinzip, das Zweckbindungsprinzip und das Vorhandensein einer Einwilligung.

Wurden die Webseiten mit einer IP-Adresse aus den USA aufgerufen – also außerhalb des Geltungsbereichs der DSGVO – stieg die Anzahl der Seiten auf 2950, darunter beispielsweise Theverge.com und Businessinsider.com. Der Trackingdienst von Yandex soll auf etlichen Webseiten zudem Passwörter im Klartext gesammelt haben – bei Webseitenbesuchen aus den USA, aber auch aus Europa. Zu den häufig entdeckten Trackingdiensten, an welche die Daten übermittelt wurden, zählten unter anderem Liveramp, Taboola und Adobes Bizible.

Der Beitrag Studie: Wenn Daten schon vor dem Senden weitergegeben werden erschien zuerst auf Linux-Magazin.

Der Europäische Datenschutzbeauftragte hat mit Mastodon und Peertube eine Twitter- und eine Youtube-Alternative für Behörden eingerichtet.

Der Europäische Datenschutzbeauftragte (EDSB) Wojciech Wiewiórowski betreibt seit dem 28. April in einer Pilotphase zwei Social-Media-Plattformen für europäische Behörden. Diese basieren auf der Twitter-Alternative Mastodon sowie der Youtube-Alternative Peertube. Die Datenschutzbehörde nennt ihre Dienste EU Voice (Mastodon) und EU Video (Peertube). Beide sind Open Source und föderieren mit Servern unterschiedlicher Betreiber.

“Mit dem Pilotstart von EU Voice und EU Video wollen wir alternative Plattformen für soziale Medien anbieten, die dem Einzelnen und seinem Recht auf Privatsphäre und Datenschutz Priorität einräumen”, erklärte Wiewiórowski. Konkret bedeute dies zum Beispiel, dass die beiden Dienste nicht auf die Übermittlung personenbezogener Daten in Länder außerhalb der Europäischen Union und des Europäischen Wirtschaftsraums angewiesen seien, dass es keine Werbung auf den Plattformen und kein Profiling von Personen gebe, welche die Plattformen nutzten.

Die Plattformen sollen zunächst getestet werden. Die Datenschutzbehörde hofft, dass dies den ersten Schritt zur Nutzung von datenschutzkonformen Social-Media-Plattformen durch EU-Behörden darstellt. Bei der Entwicklung der Dienste arbeitete der Europäische Datenschutzbeauftragte eng mit der Generaldirektion Informatik der Europäischen Kommission (DIGIT) zusammen.

Die Umsetzung stehe im Einklang mit den Zielen der Open-Source-Softwarestrategie 2020-2023 der EU Kommission, erklärte die Datenschutzbehörde. Sie zeige, was durch interinstitutionelle Zusammenarbeit im Bereich Open Source für die Rechte auf Privatsphäre und Datenschutz möglich sei und trage somit zur technologischen Souveränität der EU bei.

In Deutschland betreibt der Bundesdatenschutzbeauftragte Ulrich Kelber ebenfalls eine Instanz des Microblogging-Dienstes Mastodon, die von Bundes- oder Landesbehörden genutzt werden kann. Dort sind neben Kelber auch die Berliner Datenschutzbehörde, der rheinland-pfälzische Landtag, das Bundesamt für Sicherheit in der Informationstechnik (BSI) und mehrere andere Behörden und staatliche Organisationen vertreten.

Auch der Landesdatenschutzbeauftragte von Baden-Württemberg, Stefan Brink, betreibt eine Mastodon-Instanz unter bawü.social, auf der er selbst, aber auch mehrere Hochschulen, die Stadt Freiburg sowie das Umweltministerium und die Landeszentrale für politische Bildung (LpB) tooten.

Der Microblogging-Dienst Mastodon ist nach der ausgestorbenen Mammutart benannt. Entsprechend heißen die abgesetzten Nachrichten auch Toots oder Tröts, während sie bei Twitter Tweets (Gezwitscher) heißen. Im Unterschied zur proprietären Alternative ist Mastodon dezentral und Open Source.

Der Beitrag EU startet zwei Social-Media-Plattformen für Behörden erschien zuerst auf Linux-Magazin.

Mit präparierten Audiodateien haben sich etliche Android-Smartphones mit Qualcomm- oder Mediatek-Chip hacken lassen.

Über eine Sicherheitslücke konnte Schadcode in vielen Smartphones mit Qualcomm- oder Mediatek-SoCs ausgeführt werden. Konkret betroffen war deren Implementierung des Apple Lossless Audio Codec (ALAC), einem Decoder für das verlustfreie ALAC-Format von Apple. Entdeckt wurde die Sicherheitslücke von der Sicherheitsfirma Checkpoint, die sie Alhack nennt. “Die von den Forschern gefundenen ALAC-Probleme konnten von einem Angreifer für einen Remote-Code-Execution-Angriff (RCE) auf einem mobilen Gerät über eine fehlerhafte Audiodatei genutzt werden”, erklärte Checkpoint. Auch Android-Apps hätten über die Sicherheitslücke ihre Rechte ausweiten können.

“Die Schwachstellen waren leicht ausnutzbar. Ein Hacker hätte ein Lied (oder irgendeine eine Mediendatei) senden und beim Abspielen durch ein Opfer einen Code in den privilegierten Mediendienst injizieren können”, sagte Slava Makkaveev, Reverse Engineering & Security Researcher bei Checkpoint. In einem Proof of Concept habe man auf den Videostream der Kamera zugreifen können.

Nachdem Checkpoint Mediatek und Qualcomm über die Sicherheitslücken (CVE-2021-0674, CVE-2021-0675, CVE-2021-30351) informiert hatte, wurden sie im Dezember 2021 geschlossen und ihre Patches an die Gerätehersteller und Google übermittelt. Anschließend habe man den Nutzern mehrere Monate Zeit gegeben, um entsprechende Sicherheitsupdates einzuspielen, erklärte Checkpoint. Geräte mit einem Patchlevel vor 5. Dezember 2021 sind jedoch weiterhin verwundbar.

Bereits Ende 2011 hat Apple ALAC als Open Source zur Verfügung gestellt. Seitdem wurde der Codec in viele Geräte und Programme zur Audiowiedergabe eingebettet, darunter beispielsweise Mediaplayer unter Linux und Windows, aber auch Android-basierte Smartphones.

Apple habe die proprietäre Version des Decoders seitdem bereits mehrfach aktualisiert und Sicherheitslücken behoben, den 2011 veröffentlichten Open-Source-Code jedoch nicht, erklärte Checkpoint. “Viele Drittanbieter verwenden den von Apple bereitgestellten Code als Grundlage für ihre eigenen ALAC-Implementierungen und es ist anzunehmen, dass viele von ihnen den externen Code nicht pflegen.” So sei Checkpoint auf die Sicherheitslücken bei Mediatek und Qualcomm aufmerksam geworden, schreibt die Sicherheitsfirma.

Der Beitrag Apple-Codec sorgt für Lücke in Android-Smartphones erschien zuerst auf Linux-Magazin.

Gemeinsam mit weiteren Staaten warnen die USA vor russischen Cyberangriffen. Diese könnten von kriminellen Ransomwaregruppen unterstützt werden.

Sicherheitsbehörden aus den USA, Australien, Kanada, Neuseeland und Großbritannien (Five-Eye-Staaten) warnen vor russischen Cyberangriffen auf Organisationen und kritische Infrastrukturen in westlichen Ländern, die die Ukraine im Angriffskrieg Russlands unterstützen. Cyberangriffe durch Russland könnten auch “als Reaktion auf die beispiellosen wirtschaftlichen Kosten erfolgen”, welche die auferlegten Sanktionen verursachen, erklärt die US-amerikanische Cyber Security and Information Security Agency (CISA).

“Angesichts der jüngsten Erkenntnisse, die darauf hindeuten, dass die russische Regierung Optionen für potenzielle Cyberangriffe auf kritische US-Infrastrukturen prüft, veröffentlicht die CISA gemeinsam mit unseren behördenübergreifenden und internationalen Partnern diese Empfehlung, um auf die nachweisliche Bedrohung und die Fähigkeiten russischer staatlich geförderter und mit Russland verbündeter Cybercrime-Gruppen hinzuweisen”, sagte CISA-Direktorin Jen Easterly.

Auch US-Präsident Joe Biden verwies auf “sich entwickelnde Erkenntnisse, dass die russische Regierung Optionen für potenzielle Cyberangriffe prüft”. Er rief Unternehmen und Organisationen dazu auf, umgehend die Verteidigung ihrer Netzwerke zu verstärken.

Über die direkte Bedrohung durch russische Advanced Persistent Threats (APT) hinaus wie Cozy Bear oder Fancy Bear, die beispielsweise auch für den Bundestagshack im Jahr 2015 verantwortlich sein sollen, hätten auch “mehrere Cybercrime-Gruppen kürzlich öffentlich ihre Unterstützung für die russische Regierung zugesagt”, betonte die CISA. Die Gruppen hätten ebenfalls mit Vergeltungsmaßnahmen gedroht und bereits Angriffe auf ukrainische Websites durchgeführt.

Auch das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat im Zuge des Ukrainekrieges bereits mehrfach vor einer Bedrohung gewarnt. Zudem empfahl das BSI Behörden und Unternehmen auf den Einsatz von Produkten der russischen Sicherheitsfirma Kaspersky zu verzichten. Durch russische Drohungen gegen EU, Nato und die Bundesrepublik bestünden Zweifel an der Zuverlässigkeit des Herstellers. So könne Kaspersky auch gegen seinen Willen gezwungen werden, Angriffe durchzuführen, erklärte das BSI.

Der Beitrag Ukrainekrieg: USA warnen vor Cyberangriffen auf kritische Infrastruktur erschien zuerst auf Linux-Magazin.