Smarte Glühbirnen verraten User-Daten

Security-Forscher warnen vor immenser IoT-Sicherheitsbedrohung in der Weihnachtszeit

Einfach ausspioniert: Smarte Glühbirnen sind ein großes Risiko (Foto: utsa.edu)
Einfach ausspioniert: Smarte Glühbirnen sind ein großes Risiko (Foto: utsa.edu)

San Antonio (pte/23.10.2019/12:00)
Smarte Leuchtmittel stellen eine ernstzunehmende Bedrohung dar. Denn Glühbirnen, die sich wie andere Geräte des Internet of Things (IoT) ins Heimnetzwerk integrieren lassen, weisen gravierende Sicherheitslücken auf, die Hacker leicht ausnutzen. Über die Infrarotlicht-Funktion zahlreicher Modelle erhalten sie Zugriff auf sensible User-Daten wie Texte und Bilder, die auf einem Computer gespeichert sind, wie Forscher der University of Texas San Antonio (UTSA) http://utsa.edu herausgefunden haben.

Fehlende Update-Funktionalität

“Die zunehmende Vernetzung im eigenen Heim ist ein klarer Trend. Das Problem dabei ist, dass Geräte, die im Internet hängen, auch angreifbar sind”, so David Jacoby, Senior Security Researcher im Global Research & Analysis Team von Kaspersky http://kaspersky.com , gegenüber pressetext. Eine pauschale Einschätzung, welches Risiko von smarten Glühbirnen, Kühlschränken oder Fernsehern ausgeht, sei aber schwierig. “Es gibt einfach zu viele verschiedene Produkte und Hersteller”, betont Jacoby. Die meisten dieser Geräte hätten aber eine Schwachstelle: sie lassen sich nicht updaten. “Eine Update-Funktionalität ist essenziell, um Sicherheitslücken zu schließen. Hier sind auch die Hersteller gefordert”, meint Jacoby.

“Sie müssen sich eine smarte Glühbirne einfach als einen weiteren Computer vorstellen, der in ihrem Haus herumsteht”, so Murtuza Jadliwala, Leiter des Security, Privacy, Trust and Ethics in Computing Research Lab am Department of Computer Science der UTSA. Durch die hohe Verbreitung von IoT-Geräten würden sie auch immer interessanter für Hacker. “Ihre Glühbirne könnte über Infrarotlicht-Funktionen verfügen. Viele wissen aber nicht, dass sich dieses unsichtbare Wellenspektrum sehr leicht kontrollieren und missbrauchen lässt”, so Jadliwala.

Datenspionage per Infrarotlicht

Einige smarte Glühbirnen wählen sich ins Heimnetzwerk ein, ohne dafür auf einen Smart Home Hub – eine zentrale Schnittstelle, über die IoT-Geräte kommunizieren – angewiesen zu sein. “Wenn dieselben Leuchtmittel auch noch mit Infrarotlicht funktionieren, können Hacker über dieses unsichtbare Licht Daten stehlen oder in anderen IoT-Geräten herumspionieren, die mit dem Netzwerk verbunden sind. Der Nutzer bekommt davon nichts mit, weil die Hacker-Befehle nur im Netzwerk des Users auftauchen und nicht im Internet”, erläutert Jadliwala.

Um böse Überraschungen zu vermeiden, rät der UTSA-Forscher Konsumenten dazu, nur solche smarten Glühbirnen zu kaufen, die per Smart Home Hub ins Heimnetzwerk integriert werden. “Eine andere kostengünstige Lösung wäre es auch, sich zu Hause ein zweites Netzwerk für seine IoT-Geräte einzurichten, damit diese nicht frei im öffentlichen Web hängen. Bei diesem sollte man dann besonders strenge Sicherheitseinstellungen wählen, um die Gefahr von Datenspionage zu reduzieren”, verdeutlicht Kaspersky-Experte Jacoby.

Jeder zweite Login im Social Web durch Scammer

Hochspezialisierte Software scannt unzählige Nutzernahmen- und Passwortkombinationen

Login: Betrüger kapern unzählige Accounts (Foto: pixabay.com, Pexels)
Login: Betrüger kapern unzählige Accounts
(Foto: pixabay.com, Pexels)

San Francisco (pte/27.08.2019/06:15) Bei mehr als der Hälfte von Login-Versuchen auf Social-Media-Portalen handelt es sich um automatisierte Versuche von Betrügern. Dies geht aus einem aktuellen Report des US-Unternehmens Arkose Labs http://arkoselabs.com hervor. Programme wie “Sentry MBA” durchlaufen in Kürze Millionen von Benutzernamen- und Passwortkombinationen und knacken diese somit. Auch erstellen Betrüger viele gefälschte Konten.

Lukrative Einnahmequelle

“Befindet sich der gehackte Nutzer bereits seit ein paar Jahren auf der Plattform, dann ist es unwahrscheinlicher, dass das Social-Media-Unternehmen gegen den Übergriff vorgeht. Bei einem brandneuen Account ist dies eher der Fall”, schildert Kevin Gosschalk, CEO von Arkose Labs. Laut dem Report stammen 25 Prozent aller neuen Social-Media-Accounts von Scammern.

Gosschalk zufolge dienen einige gekaperte Accounts der Falschinformation und manche als Einnahmequelle, zum Beispiel mit Sex als Lockmittel. Chatbots beginnen Flirt-Konversationen mit anderen in sozialen Medien. Wenn sich der Gesprächspartner bereiterklärt, die Unterhaltung fortzusetzen, wird dieser aufgefordert sich, auf einer Dating-Webseite zu registrieren und dort seine Kreditkartendaten preiszugeben. Diese werden dann von den Betrügern geklaut.

Identische Passwörter gefährlich

Ein weiteres Resultat des Reports: Neun Prozent der Login-Versuche auf Online-Banking-Webseiten werden von Scammern getätigt. Laut Experten sind besonders Passwörter, die bei mehreren Services gleichzeitig verwendet werden, anfällig für Hacking-Angriffe. “Die User unternehmen in der Regel einfach viel zu wenig, um sich online adäquat zu schützen”, resümiert Gosschalk.

Kryptowährungs-Betrug ein Milliardengeschäft

Kriminelle haben 2019 bereits 4,3 Mrd. Dollar ergaunert

Kryptowährungen: 2019 schon viel geklaut (Foto: WorldSpectrum, pixabay.com)
Kryptowährungen: 2019 schon viel geklaut (Foto: WorldSpectrum, pixabay.com)

Menlo Park (pte/16.08.2019/12:30)
Mit Diebstählen und Betrug rund um Bitcoin und andere Kryptowährungen haben Kriminelle bereits im ersten Halbjahr 2019 insgesamt 4,26 Mrd. Dollar ergaunert und Investoren entsprechend massive Schäden zugefügt. Das besagt der “Q2 2019 Cryptocurrency Anti-Money Laundering Report” des Analyseunternehmens CipherTrace https://ciphertrace.com . Hauptverantwortlich dafür waren “Exit Scams”, bei denen Börsen und Wallets einfach offline gehen, insbesondere das PlusToken.

Jahr des Exit Scams

2019 könnte CipherTrace zufolge letztlich das Jahr des Exit Scams werden. Denn diese Form des Betrugs, bei dem Betreiber ihre Dienste einfach offline nehmen und offenbar mit dem Geld der Anleger verschwinden, trat dieses Jahr bereits häufiger und mit großem Schaden auf. Der Löwenanteil davon entfällt freilich auf einen einzigen Fall. Bis zu 2,9 Mrd. Dollar sind mit der südkoreanischen Wallet und Börse PlusToken verschwunden, mit wohl 2,4 bis drei Mio. geschädigten Nutzern und Anlegern. Zwar haben die chinesischen Behörden hier einige Verdächtige verhaftet, die Milliarden scheinen aber dennoch verloren zu sein.

In die Gesamtschadenssumme noch nicht eingerechnet sind laut Ciphertrace zwei augenscheinliche Exit Scams aus dem zweiten Quartal. Betroffen seien die Kryptowährungs-Exchanges Coinroom und Bitsane, allerdings mit merklich geringerem Schaden. Das irische Bitsane soll immerhin 246.000 Nutzer betrogen haben, der genaue Gesamtbetrag ist aber noch unklar. Im Fall des polnischen Coinroom sollen tausende Anleger jeweils bis zu 15.000 Dollar verloren haben. Hier gibt es aber mittlerweile seitens des Betreibers Aussagen, dass man in den Konkurs geschlittert sei und möglichst viel erstatten wolle.

Hacks und andere Tricks

Im Vergleich zur gigantischen Summe des PlusToken-Betrugs fielen klassische Hacks und andere cyberkriminelle Tricks regelrecht bescheiden aus. Doch gab es im zweiten Quartal auch derer genug. Laut CipherTrace hat eine Cyberattacke auf die weltgrößte Kryptowährungs-Börse Binance https://binance.com immerhin 44 Mio. Dollar gekostet, von der japanischen Börse BITPoint haben Hacker 30 Mio. Dollar erbeutet. Aufgeflogen sind im zweiten Jahresviertel auch zwei Typosquatting-Betrüge, bei denen Kriminelle echten Börsen ähnliche URLs genutzt haben, um achtlosen Nutzern Zugangsdaten und Kryptowährung zu stehlen.

CipherTrace nutzt für seinen Bericht den Wert gestohlener Kryptowährung zum Zeitpunkt des Vorfalls. Da insbesondere die Bitcoin seit Jahresbeginn wieder deutlich zugelegt hat, liegt der aktuelle Gegenwert wohl noch höher.

FaceApp-Hype lockt Betrüger an

ESET-Forscher entdecken Betrugswelle mit der derzeit beliebten App
Jena (pts/19.07.2019/14:30)

Betrüger setzen auf den FaceApp-Hype

Der Hype um die beliebte FaceApp, die in den letzten Tagen millionenfach heruntergeladen wurde, hat bereits erste Cyberkriminelle angelockt. Wie ESET-Forscher herausfanden, haben Betrüger eine gefakte, kostenlose “Pro”-Version der Anwendung als Köder veröffentlicht, die es als seriöse Variante gar nicht gibt. Statt neuer Funktionen handeln sich die Anwender unzählige Angebote für die Installation anderer kostenpflichtiger Anwendungen und Abonnements, Anzeigen oder Umfragen ein.

Auf zwei Wegen bringen die Cyberkriminellen ihre App an den Mann: Zum einen bieten sie die vermeintliche “Premium”-Variante von FaceApp auf gefälschten Webseiten gratis an. Zum anderen nutzen sie YouTube-Videos, in denen sie “FaceApp Pro” mit Links zum Download bewerben. Meist werden hierfür URL-Shortener verwendet. So sehen Anwender nicht, was sie auf ihre Geräte installieren. Allein einer dieser Filme hat mehr als 150.000 Views generiert.

“Es ist nicht überraschend, dass der Hype rund um FaceApp Kriminelle anlockt”, sagt Thomas Uhlemann, ESET Security Specialist. “Trotz des Interesses sollten Anwender einen kühlen Kopf bewahren, das Angebot genau prüfen und Apps immer aus den offiziellen App-Stores herunterladen.”

Was ist FaceApp?
FaceApp ist auf Android und iOS aktuell die beliebteste App der Welt. Mit FaceApp legen Anwender verschiedene Filter über Portrait-Aufnahmen. Nutzer können sich altern lassen, einer Verjüngungskur unterziehen – oder sehen, wie sie als Frau oder Mann aussehen würden.

Details und weitere Informationen finden sich auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/07/19/faceapp-fake-apps

Sicherheitstipps der ESET-Experten
– Das Android-Gerät sollte immer auf dem neuesten Stand sein und Updates automatisch installiert werden.
– Inoffizielle App-Stores sollten vermieden werden, auch wenn das Angebot noch so verlockend ist.
– Vor dem Download einer App sollte ein Blick auf Nutzerkommentare, Anzahl der Installationen und benötigte Zugriffsrechte geworfen werden.
– Es sollte eine mobile Sicherheitslösung auf dem Gerät installiert sein.

ESET-Forscher entdecken Zero-Day-Exploit in Windows

Sicherheitslücke im Betriebssystem wird bei gezielten Angriffen ausgenutzt

Jena (pts/10.07.2019/11:45) ESET-Forscher haben einen Zero-Day-Exploit in Microsoft Windows entdeckt. Die Sicherheitslücke wird derzeit von Cyberkriminellen für gezielte Angriffe in Osteuropa ausgenutzt. Die Schwachstelle (CVE-2019-1132) betrifft die Betriebssysteme Windows 7 und Windows Server 2008. Die ESET-Experten haben nach der Analyse der Sicherheitslücke Microsoft sofort darüber informiert. Bereits am gestrigen Dienstag hat das Unternehmen reagiert und ein Update veröffentlicht. Auf WeLiveSecurity haben die Forscher nun ihre Analyse veröffentlicht.

“Zero-Day-Attacken sind höchst gefährlich. Zum Zeitpunkt der Entdeckung existieren keine Updates, um dieses Einfallstor zu schließen. In solchen Fällen zahlt es sich aus, eine proaktive Sicherheitslösung mit Exploit-Blocker im Einsatz zu haben, die solche Angriffsversuche erkennen und unterbinden kann”, erklärt Thomas Uhlemann, ESET Security Specialist. “Im aktuellen Fall sollten Anwender, die noch Windows 7 im Einsatz haben, umgehend die Updates einspielen.”

Sicherheitslücke nutzt Schwachstelle bei den Benutzerrechten aus

Der Exploit nutzt eine Schwachstelle in der lokalen Rechteausweitung (Privilege Escalation) in Microsoft Windows aus. Diese Sicherheitslücke findet sich lediglich in älteren Windows-Versionen wie 7 oder Server 2008. Ab Windows 8 nutzt das Betriebssystem andere Techniken, wodurch der Exploit hier nicht mehr funktioniert. Anwender, die noch immer Windows 7 im Einsatz haben, sollten einen Wechsel auf ein aktuelles System wie Windows 10 ins Auge fassen. Ab dem 14. Januar 2020 werden Windows 7 Nutzern keine Updates mehr erhalten. Neu bekannt gewordene Lücken im Betriebssystem werden dann nicht mehr durch Sicherheits-Updates geschlossen.

Was ist ein Zero-Day-Exploit?

Zero-Day-Exploits sind eine besondere Form von Sicherheitslücken, für die zum Zeitpunkt der Entdeckung noch kein Patch existiert. Schlimmstenfalls lässt sich eine solche Schwachstelle für unbemerkte Angriffe ausnutzen, und Schadprogramme gelangen so auf ein System oder ein Unternehmensnetzwerk.

Details und weitere Informationen finden sich auf WeLiveSecurity: https://www.welivesecurity.com/deutsch/2019/07/10/windows-cve-2019-1132-exploit/

Solarauto parkt autonom an sonnigem Plätzchen

Entwicklung der TU Eindhoven als erste “Ladestation auf Rädern”

Noch etwas Sonne: Da steht "Stella Era" gut (Foto: Bart van Overbeeke)

Noch etwas Sonne: Da steht “Stella Era” gut (Foto: Bart van Overbeeke) Eindhoven (pte/08.07.2019/06:05)

Das Solar Team Eindhoven der TU Eindhoven https://tue.nl/en hat mit “Stella Era” ein Solarauto vorgestellt, das eine neue Ära einläuten soll. Denn es kann den Entwicklern zufolge einen Überschuss an Solarenergie direkt mit anderen Elektroautos teilen, sei also die weltweit erste “Ladestation auf Rädern”. Damit das Fahrzeug immer genug Energie hat, kann es sich unter anderem autonom einen möglichst sonnigen Parkplatz suchen.

Reichweiten-Gigant

Voll aufgeladen hat Stella Era besetzt mit vier Personen laut TU Eindhoven eine Reichweite von 1.200 Kilometern. Bei Sonnenschein steigt diese dank der verbauten Solarpanels noch. Das Studenten-Team hofft daher, im Oktober bei der Bridgestone World Solar Challenge https://worldsolarchallenge.org in Australien bis zu 1.800 Kilometer ohne Nachladen zu schaffen. Abseits des Solarauto-Ausdauerrennens entspricht das einer gewaltige Energiereserve – die durchschnittliche tägliche Fahrstrecke liegt beispielsweise in den Niederlanden bei nur etwa 50 km. Das Fahrzeug könnte seine Reserve in so einem Fall einfach teilen.

Damit die verbauten Solarzellen möglichst viel bringen, hat das Fahrzeug auch einen Autonomie-Trick auf Lager. “Stella Era ist ein Auto, das immer das meiste aus der Sonne herausholt, auch ohne Fahrer – es sucht sich den sonnigsten Platz auf dem Parkplatz von selbst”, erklärt Mick van der Spoel, Projektleiter der Studententeams. Auch das trägt dazu bei, dass das Fahrzeug im Alltag praktisch eine Energiequelle darstellen würde.

Unverzichtbare Sonne

Fahrzeuge, die wie Stella Era und rund 50 andere Teilnehmer am Ausdauer-Wettbewerb im Oktober teilnehmen und möglichst viel Energiekapital aus der Sonne schlagen können, scheinen auf dem Weg in eine emissionsfreie Mobilitätszukunft unerlässlich. “85 Prozent der Elektrizität stammt derzeit aus nicht-erneuerbaren Quellen”, erklärt Teammanagerin Carijn Mulder. Einfach nur mehr Elektroautos mit Akkus auf die Straßen zu bringen, würde daran nichts ändern – doch technische Entwicklungen, wie sie in den Wettbewerbs-Solarautos stecken, könnten einen wichtigen Beitrag leisten.

Reisewarnung 3.0: So vermeiden Touristen den digitalen Sonnenbrand

ESET gibt neun Sicherheitstipps gegen Digital- und Kreditkartenbetrug auf Reisen

Jena (pts/26.06.2019/09:20) Sommerzeit ist Reisezeit: Natürlich gehören Smartphone und Tablet auch in den schönsten Wochen des Jahres mit ins Gepäck. Doch Datenspionage, Kreditkarten-Betrug oder Diebstahl der mobilen Geräte könnten den Urlaubsspaß trüben. Während die meisten Menschen vor dem Reisestart in der Wohnung doppelt prüfen, ob Fenster und Türen verschlossen sind, halten sie es mit der Sicherheit in der digitalen Welt meist nicht so. Wie es richtig geht, zeigen die ESET-Sicherheitsexperten mit ihren Tipps für den Schutz mobiler Geräte.

“Cyberkriminelle wissen sehr genau, dass Reisende sorgloser unterwegs sind”, sagt Thomas Uhlemann, ESET Security Specialist. “Manipulierte WiFi-Hotspots allerorts, infizierte Reise-Apps oder Banking-Trojaner können den Spaß schnell vermiesen. Kurzum: Die digitale Sonnencreme sollten Sie für Ihre Geräte einpacken. Ebenfalls wichtig an öffentlichen Plätzen: Kredit- und EC-Karten gehören in eine Schutzhülle oder ein spezielles Portemonnaie mit integriertem RFID- und NFC-Blocker. So können Langfinger nicht die Karten beim Vorbeigehen auslesen und Kleinstbeträge abbuchen.”

Mobile Banking im Fokus

Derzeit haben es Kriminelle verstärkt auf Anwender abgesehen, die ihre Finanzgeschäfte mit dem Smartphone oder Tablet erledigen. Immer wieder tauchen gefälschte und schädliche Banking-Apps in den offiziellen App Stores auf. Ziel der Täter ist es, an Login-, Kredit- und anderen sensible Nutzerdaten zu gelangen. “Anwender sollten vor der Installation von Apps diese sehr genau prüfen. Hierzu bieten sich Bewertungen, Nutzerkommentare, die Anzahl der Installationen und die benötigten Zugriffsrechte an”, rät ESET Security Specialist Thomas Uhlemann.

Sicher mobil bezahlen

Eine aktuelle ESET-Umfrage hat gezeigt, dass 65 Prozent der Nutzer dem Bezahlen mit dem Smartphone misstrauisch gegenüberstehen. Die Bedrohungslage beim Mobile Payment ist aber aus Sicht der ESET-Sicherheitsprofis derzeit gering. Wer auf Banking- und Zahlungs-Apps setzt, sollte nur dem von der eigenen Bank oder dem Finanzdienstleister bereitgestellten Programm vertrauen. Das Bezahlen mit Anwendungen wie Google Pay oder Apple Pay ist ebenfalls sehr sicher. An der Kasse übermitteln diese Dienste nicht die Kreditkartennummer des Kunden, sondern nur eine verschlüsselte Stellvertreternummer. Angreifer können so keine nützlichen Daten ausspähen.

Vor dem Urlaub

Wichtige Daten sichern: Wichtige Daten auf dem Smartphone und Tablet können mit einem Backup gesichert werden. Dazu bieten sich USB-Sticks, externe Festplatten oder Cloud-Dienste an. Bei Verlust der Hardware sind so zumindest die Daten nicht verloren und lassen sich später wiederherstellen.

Posting in sozialen Medien: Um virtuellen und realen Dieben die Vorbereitung nicht zu vereinfachen, sollten Anwender keine öffentlichen Beiträge in den sozialen Medien über ihren Urlaub posten.

Sicherheitssoftware installieren: Auf dem Smartphone, Tablet oder Notebook sollten Anwender eine Security-Software installieren. Neben einem zuverlässigen Schutz vor Malware und anderen Bedrohungen, sind Sicherheitslösungen empfehlenswert, die zudem Funktionen wie einen Diebstahl-Schutz beinhalten.

Anti-Diebstahl-Lösungen einsetzen: Im Urlaub gehen Smartphones und Tablets leichter verloren. Damit es Langfinger schwer haben, nutzen moderne Anti-Diebstahl-Module, wie in den ESET-Sicherheitslöungen enthalten, zum Beispiel die eingebaute Kamera, um den Täter unbemerkt zu fotografieren. Zudem lokalisieren sie die Geo-Koordinaten des verlorenen Geräts.

Software und Sicherheitslösungen aktualisieren: Das Betriebssystem, die installierten Apps und die verwendeten Sicherheitslösungen sollten auf dem neuesten Stand sein. Das verhindert das Ausnutzen bekannter Sicherheitslücken.

Sperrnummern notieren: Vor dem Reisestart sollten sich Urlauber die Sperrnummer ihres Kredit- und EC-Karten-Dienstleisters notieren. So kann im Falle eines Verlustes die Karte umgehend unbrauchbar gemacht werden.

Während des Urlaubs

WiFi-Hotspots nur mit VPN-Verbindung nutzen: Hotels, Bars und andere Locations locken Urlauber mit kostenslosem WiFi-Zugang. Gerade bei Fernreisen ist das praktisch, weil Urlauber häufig keine zusätzliche SIM-Karten besitzen und das eigene Datenvolumen begrenzt ist. Über ein solches Netzwerk besteht aber die Gefahr, dass Kriminelle sensible Daten oder wichtige Daten wie Login- oder Kreditkartendaten ausspähen. Anwender sollten daher die Verbindung zusätzlich mit einer vertrauenswürdigen VPN-Lösung sichern. Einkäufe oder Finanzgeschäfte sollte aber dennoch auf die Zeit nach dem Urlaub verschoben werden.

Vorsicht beim Bezahlen: Kontaktloses Bezahlen ist auch in den Urlaubsorten immer häufiger möglich. Eine spezielle Schutzhülle oder Portemonnaie schirmt die Kredit- oder EC-Karten in einer speziellen Schutzhülle ab. So können Diebe die Daten nicht mit spezielle Geräten auslesen. Alternativ können, je nach Unterstützung durch die Hausbank, auch Apple oder Google Pay genutzt werden. Das erhöht die Sicherheit beim Bezahlvorgang.

Funknetze deaktivieren: Wird es nicht benötigt, kann die Bluetooth- und WLAN-Funktionen deaktiviert werden. Dadurch verringern Nutzer die möglichen Angriffsflächen für Cyberkrimninelle.

Weitere Informationen über ESET-Technologien- und -Lösungen finden Sie auf: https://www.eset.de

Kostenloser Unternehmensratgeber “Datenschutz für Dummies” ab sofort erhältlich

Viele kleine und mittelständische Unternehmen (KMU) vernachlässigen das Thema Datenschutz und werden so zur leichten Beute von Cyberkriminellen. Mit einer gezielten Kampagne macht sich der europäische IT-Security-Hersteller ESET für diese Firmen stark und veröffentlicht den Ratgeber “Datenschutz für Dummies”. Dieser informiert nicht nur IT-Manager in unterhaltsamer Form zu Sicherheitstechnologien, Tools und Prozessen, mit denen sie Datenschutzmaßnahmen umfassend optimieren können. “Datenschutz für Dummies” von Lawrence Miller ist exklusiv bei ESET erhältlich und steht ab sofort online zum kostenlosen Download zur Verfügung. Mehr Informationen auf: https://www.datenschutz-dummies.com

Firefox bekommt Passwort-Generator

Als Teil der neuen Passwortverwaltung soll der Firefox-Browser künftig auch zufällige Passwörter erzeugen können. Die Funktion kann in aktuellen Nightly-Builds des Browsers getestet werden.

Gefunden auf Golem.de
Artikel veröffentlicht am 19. Juni 2019, 14:26 Uhr, Sebastian Grüner

Die Passwortverwaltung im Firefox wird weiter ausgebaut.
Die Passwortverwaltung im Firefox wird weiter ausgebaut.

Mozilla arbeitet an einer Neuerung für seinen Firefox-Browser, die viele eigenständige Passwortmanager bereits schon anbieten: das automatische Generieren zufälliger Passwörter für die Online-Zugänge. Die Funktion ist bereits in den aktuellen Nightly Builds der Firefox-Version 69 enthalten, wie der Entwickler Sören Hentzschel in seinem Blog berichtet.

Mozilla arbeitet seit Längerem daran, die Zugangsdaten seiner Nutzer besser zu schützen. Dazu gehört unter anderem die Integration des Webdienstes Have I been pwned in den Browser sowie der dazugehörige Firefox Monitor. Nutzer des Browsers sollen dabei über mögliche Hacks ihrer Zugangsdaten bei Online-Diensten informiert werden.

Darüber hinaus bietet Mozilla mit einem Dienst, der inzwischen Lockwise heißt, Apps zur Passwortverwaltung auf iOS und Android sowie eine Firefox-Erweiterung für diesen Zwecke. Die Erweiterung steht erst seit einigen Wochen bereit und ermöglicht eine plattformübergreifende Verwaltung der gespeicherten Passwörter. Für das Browser-Addon setzt Mozilla auf die bisher schon genutzte Passwortverwaltung des Firefox, packt diese aber in einen eigenen Tab.

Nutzer sollen die Funktion der Passwortgenerierung künftig über eine Option in den Einstelllungen des Browsers steuern können. Noch ist diese aber versteckt und muss über die Option signon.generation.available in about:config aktiviert werden. Darüber hinaus diskutiert das Team derzeit weitere Ideen zur grafischen Umsetzung der Funktion, vor allem in welchen Situationen Nutzern das Generieren eines Passworts vorgeschlagen werden soll. Aktuellen Plänen zufolge soll die Firefox-Version 69 Anfang September erscheinen.

Google gibt Huawei offenbar keine Android-Updates mehr

Google soll wegen des Drucks der US-Regierung die Zusammenarbeit mit Huaweieingestellt haben. Damit wäre nur noch die Open-Source-Version von Androidfür den Hersteller verfügbar. Auch Intel und Qualcomm würden Huawei nicht mehr beliefern.

Artikel veröffentlicht auf Golem.de am 20. Mai 2019, 0:03 Uhr, 
Achim Sawall/Ingo Pakalski

Das P30 von Huawei, rechts im Bild
Das P30 von Huawei, rechts im Bild – (Bild: Tobias Költzsch/Golem.de)

Google hat offenbar die Zusammenarbeit mit dem chinesischen IT-Konzern Huawei beim Transfer von Hardware, Software und technischen Diensten eingestellt. Ausgenommen von diesem Schritt seien nur Produkte, die unter einer Open-Source-Lizenz stünden, berichtete die Nachrichtenagentur Reuters unter Berufung auf eine informierte Quelle. Dadurch hätte der Smartphonehersteller künftig keinen Zugriff mehr auf Updates für Googles Android-Betriebssystem.Stellenmarkt

“Huawei wird nur die öffentliche Version von Android nutzen können und hätte keinen Zugriff mehr auf proprietäre Apps und Dienste von Google”, erklärte die Quelle. Damit wird Huawei keine Vorversionen von Android mehr erhalten und auch keine noch nicht öffentlichen Sicherheitsupdates, sondern erst nach dem Source Drop von Google.

Das US-Handelsministerium hatte nach einem Dekret von US-Präsident Donald Trump erklärt, dass US-Firmen, die Technologie an Huawei verkauften oder transferierten, dafür künftig eine Lizenz benötigten – die Experten zufolge höchstwahrscheinlich nicht erteilt wird.

Angaben zu den spezifischen Diensten, die von der Aussetzung betroffen waren, wurden der Quelle zufolge intern bei Google diskutiert. Huaweis Anwälte untersuchten die Auswirkungen der schwarzen Liste, sagte ein Huawei-Sprecher am Freitag.

Huawei habe weiterhin Zugriff auf die Version des Android-Betriebssystems, die über das Android Open Source Project (AOSP) verfügbar sei.

Google-Apps wie der Play Store, GMail, Youtube, Google Maps und der Chrome-Browser verschwänden von zukünftigen Huawei-Smartphones, da sie nicht durch die Open-Source-Lizenz abgedeckt seien und eine kommerzielle Vereinbarung mit Google erforderten, berichtete Reuters.

Huaweis Smartphones, zu denen die Marke Honor gehört, laufen seit dem ersten Modell mit Android, worauf eine eigene Benutzeroberfläche installiert ist. Allerdings soll Huawei schon vorsichtshalber ein eigenes Betriebssystem entwickelt haben.

Nachtrag vom 20. Mai 2019

Über seinen Twitter-Kanal teilte Android mit, dass auf dem Markt befindliche Huawei-Geräte weiterhin mit allen Google-Diensten wie Play Store, Google Maps, Gmail und Ähnlichem funktionierten. Demnach sind also keine Änderungen für bestehende Geräte geplant. Sie erhielten nach wie vor Updates der Google-Apps. Unklar ist weiterhin, wie die Lage bei Android-Sicherheitsupdates und neuen Hauptversionen aussieht.

Neben Google stellten mehrere US-Chipproduzenten die Zusammenarbeit ein, berichtete Bloomberg unter Berufung auf Mitarbeiter der entsprechenden Firmen. So lieferten Intel, Qualcomm, Broadcom und Xilinx keine Chips und keine Software mehr an Huawei. Bloomberg bestätigte zudem, dass Google Huawei nicht mehr mit Software beliefern werde. Auch The Verge ließ sich von einer Google-Quelle die aktuelle Entwicklung bestätigen.

Huawei bezieht derzeit von Intel vor allem Serverchips, während Qualcomm Prozessoren und Modemchips für Huawei-Smartphones liefert. Huawei hat zwar eigene Prozessoren, nutzt aber auch Chips von Qualcomm. Von Xilinx und Broadcom stammen Komponenten, die in Netzwerk-Hardware von Huawei verwendet werden. Offiziell wollten die Chiphersteller für Bloomberg keinen Kommentar abgeben.

Gefunden auf Golem.de

Statistik: Deutlich mehr Malware für den Mac

Laut Angaben des Sicherheitsunternehmens Malwarebytes nehmen die Angriffe auf macOS-User zu. Besonders Adware wird zum Problem.

Computervirus
(Bild: dpa, Monika Skolimowska)

Das Sicherheitsunternehmen Malwarebytes hat vor einem deutlichen Anstieg von Schadsoftware für macOS gewarnt. Im “Cybercrime Tactics and Techniques”-Bericht für das erste Quartal 2019 heißt es, man habe im Vergleich zum Vorquartal 62 Prozent mehr neue Malware entdeckt. Im Bereich Adware, also unerwünschten Programmen, die Werbung ausspielen und dabei unter anderem Interneteinstellungen manipulieren, soll das Wachstum gar bei über 200 Prozent gelegen haben. 

Grund für den Anstieg scheint zu sein, dass Angreifer zunehmend dazu übergehen, Mal- und Adware systemübergreifend zu entwickeln. Dabei setzen sie auf Programmiersprachen wie Python, die auf unterschiedlichen Plattformen verfügbar sind. Malware nennt hier etwa MITM-Angriffe über Proxies, die versuchen, auch SSL-verschlüsselte Verbindungen zu knacken. 

Weiterhin ein großes Problem stellen sogenannte Cleaner-Apps dar, die so tun, als würden sie macOS-Systeme von Datenschädlingen, unnötigen Inhalten oder Dateileichen befreien, dabei aber schlicht versuchen, unbedarften Nutzern Geld aus der Tasche zu ziehen. Manchmal werden diese Programme auch mit Adware kombiniert und haben somit einen doppelten “Einnahmestrom”.

Bitcoin-Miner sind mittlerweile ebenfalls auf dem Mac angekommen; zwar ist dieses Thema mittlerweile unter macOS laut Malwarebytes weniger aktiv, dafür gibt es mittlerweile aber auch Programme, die versuchen, auf dem Mac vorhandene Wallets zu stehlen. Einen Anstieg haben die Sicherheitsexperten auch bei verschiedenen Backdoors festgestellt, mit denen Angreifer Macs fernsteuern können.

Zuletzt hatten Malware-Autoren gar versucht, Windows-Trojaner über an Apple-Kunden gerichtete Mails zu verteilen. Apples hauseigener Malware-Filter XProtect musste zuletzt zudem für so genannte Windows-Portable-Executable-Dateien (.PE) scharfgeschaltet werden, die erste Angreifer nutzen, um Cross-Platform-Malware zu verbreiten.

Gefunden auf Heise.de – Author Ben Schwan