Was Sicherheitsexperten den Schlaf raubt

Woche 44: Apple hält Daten geheim - aber behält sie nicht für sich

Uhr
von Coen Kaat

Symantec findet uralten Wurm an ungewöhnlichen Stellen, Govcert warnt vor falschen Absendern und Malwarebytes feiert noch immer Halloween. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.

(Source: Ciolanescu / Shutterstock.com / Netzmedien)
(Source: Ciolanescu / Shutterstock.com / Netzmedien)

Das Swiss Government Computer Emergency Response Team, kurz Govcert, warnt auf Twitter vor trügerischen E-Mails. Als Absender werde die Schweizerische Post in den Schreiben angegeben. Die hat damit aber nichts zu tun.

Tatsächlich dient die Spam-Kampagne dazu, den Banking-Trojaner Retefe zu verbreiten. Dieser versteckt sich im Mail-Anhang, einer Word-Datei.

Retefe ist ein hartnäckiger und äusserst wählerischer Vertreter seiner Art. Der Trojaner kommt ausserhalb der Schweiz und Österreich nur marginal vor. Dafür fällt der Trojaner, der es auf die finanziellen Daten seiner Opfer abgesehen hat, durch seine Wandlungsfähigkeit auf. Ende September etwa tauchte eine Variante auf, die einige Tricks von der Wannacry-Attacke gelernt hatte.

Symantec findet uralten Wurm an ungewöhnlichen Stellen

Vor sieben Jahren haben Unbekannte den sogenannten Ramnit-Wurm massiv und aggressiv verbreitet. Die Verbreitung war dermassen effektiv, dass sogar heute noch Geräte mit dem Wurm infiziert sind. Obwohl die US-amerikanischen Strafverfolgungsbehörden in Zusammenarbeit mit Symantec 2015 im grossen Stil gegen die Drahtzieher vorgingen und obwohl gar nicht klar ist, ob überhaupt noch irgendwer die Zügel in der Hand hält.

Der Wurm läuft zwar eigentlich nur auf Windows-Systeme. Das hält ihn aber nicht davon ab, auch andere Geräte zu befallen. Im März dieses Jahres entdeckte Symantec nach eigenen Angaben über 100 Apps im Google Play Store mit Wurmbefall. Nun fand der Sicherheitsanbieter 92 weitere – insgesamt wurden diese 250'000 Mal heruntergeladen.

Hat der Wurm gelernt, sich in Android-Geräten zurecht zu finden?

Nein, beantwortet Symantec die Frage gleich selbst. Der Sicherheitsanbieter hält es eher für wahrscheinlich, dass die App-Entwickler auf Rechnern arbeiten, in denen sich der Wurm bereits eingenistet hat, oder dass sie Dateien in ihre Apps packen, die mit dem Wurm infiziert wurden.

Solange man das Android-Gerät nicht an einen Windows-PC anschliesst und die infizierten HTML-Dateien darin öffnet, passiert zwar nichts. Das eigentliche Problem besteht aber auch darin, dass Google den Schädling nicht erkennt, wenn das Unternehmen Apps für den Play Store zulässt – vermutlich, weil der Wurm für Android-Systeme nicht schädlich ist. Für gewiefte Malware-Entwickler könnte dies ein möglicher neuer Angriffsvektor sein.

Apple hält Nutzerdaten zwar geheim – aber behält sie nicht für sich

Mit der Gesichtserkennung der jüngsten iPhone- und iOS-Generation zieht Apple mit Mitbewerbern wie Samsung aber auch dem bereits wieder aus dem Smartphone-Markt ausgeschiedenen Microsoft gleich. Der Hersteller erhielt gemäss Reuters viel Lob von Sicherheitsexperten für das Versprechen, das sämtliche Daten, die benötigt werden, um ein Smartphone zu entsperren, lokal auf dem Gerät gespeichert werden.

Die Sache hat jedoch einen Haken, wie die Nachrichtenagentur berichtet. Das Geheimhaltungsversprechen gilt für Apple – nicht für Drittanbieter, die Apps für das iPhone entwickeln. Drittanbieter könnten Gesichtsdaten auch vom Gerät kopieren und in eigenen Clouds lagern – sofern sie die Einwilligung der Nutzer einholen und die Daten nicht verkaufen. Andernfalls würde Apple die App wieder aus dem Store entfernen.

Die Daten, um die es dabei geht, könnten zwar nicht dazu genutzt werden, das Smartphone zu entsperren. Gemäss dem Bericht wirft dies jedoch die Frage auf, wie effektiv Apple sein Versprechen durchsetzen kann, wenn diese Daten in unternehmensfremde Clouds abwandern.

Der österreichische Entwickler und Google-Engineer Felix Krause beschreibt auf seinem Blog derweil ein anderes Apple-Problem. Viele Apps heutzutage erbitten Zugriff auf die Kamera, damit der Nutzer ein individuelles Profilbild hochladen kann.

Derartige Berechtigungen seien jedoch Blanko-Erlaubnisse für die Apps. So könnten sie anschliessend jederzeit auf die Haupt- und die Frontkamera zugreifen, Videos und Fotos des Nutzers aufnehmen, diese Aufnahmen uploaden und in Echtzeit eine Gesichtserkennung durchführen. Alles ohne dass der Nutzer etwas davon mitkriegt.

Krause nutzte dieses konsequenzenträchtige Feature, um eine Spionage-App als Machbarkeitsnachweis zu entwickeln. In einem Video demonstriert er, wie diese App funktioniert und wie sie den Nutzer ausspioniert.

Und Malwarebytes feiert noch immer Halloween

Der Sicherheitsanbieter Malwarebytes hat eine Infografik mit den gefährlichsten Bedrohungen im Internet veröffentlicht. Das Unternehmen gibt zwar selber zu, dass Halloween schon wieder vorbei ist. Doch Malwarebytes liess sich den Spass nicht nehmen und illustrierte die Cybergefahren ganz im gruseligen Halloween-Look.

An dieser Stelle eine kleine Auswahl aus den Malware-Monstern, wie das Unternehmen sie nennt.

Die komplette Infografik mit allen neun Monstern können Interessierte hier als PDF herunterladen. Und noch eine Malwarebytes-News: Das Unternehmen beschloss diesen Monat, ihr Junkware-Entfernungstools JRT einzumotten, wie Bleepingcomputer berichtet. Stattdessen wolle sich Malwarebytes künftig mehr auf das Tool Adwcleaner fokussieren.

Und noch zum Nachschlagen: das kleine IT-Security-ABC. Über den Direktlink oder den Webcode SecurityABC in das Suchfeld eingeben.

Webcode
DPF8_67171