Sicherheitswoche 47: Verletzung

    In der letzten Woche wurden drei Nachrichten über nicht-triviale Sicherheitslücken gestohlen. In diesem Jahr hatten wir bereits eine Veröffentlichung zu diesem Thema . Dann untersuchten wir die Deaktivierung von Festplatten mit Schreien von Sound- und Identitätsdiebstahl durch einen Fehler in CSS. Heute werden wir über die Funktionen der Fingerabdruckerkennung in Android-Smartphones, den Angriff auf GMail durch einen Ort und das Töten von Skype mit Emoji sprechen.

    Beginnen wir mit Fingerabdrücken. Der Fingerabdruckscanner in Smartphones ist eine der wenigen Funktionen moderner Geräte, die das Leben wirklich komfortabler macht. Es bietet angemessenen Schutz für Ihr Telefon vor äußeren Einflüssen und ermöglicht Ihnen, das Gerät mit einer Berührung zu entsperren. Mit dem Standort des Scanners haben sich die Smartphone-Hersteller noch nicht entschieden: Je nach Modell bewegt sich das Gerät von der Frontblende zur Seitenblende, bewegt sich um die Kamera und Apple hat den Scanner zugunsten der Gesichtserkennung komplett herausgeschnitten. Chinesische Forscher aus Tencent haben eine Schwachstelle in der neuesten Version des Fingerabdruckscanners entdeckt, die sich direkt unter dem Display befindet.

    Vertreter des Xuanwu Lab, einer der Forschungsabteilungen von Tencent, argumentieren, dass absolut alle Telefone, die mit einem Fingerabdruckscanner unter dem Display ausgestattet sind, anfällig sind ( Nachrichten ). Dies sind die neuesten Modelle. Nächstes Jahr wird diese Technologie in fast allen Flaggschiffen erwartet. Huawei Mate 20 Pro und Porsche Design Mate RS gehörten zu den verwundbaren Smartphones, dieser Hersteller hat jedoch bereits Patches für diese Geräte veröffentlicht. Die Sicherheitsanfälligkeit in anderen Modellen (Telefone mit einem Scanner im Display ist in Vivo, OnePlus und Xiaomi enthalten) wird nicht bestätigt, jedoch nicht abgelehnt.

    Alle vorhandenen Scanner dieses Typs arbeiten in Verbindung mit der Anzeige. Wenn der Träger einen Finger auf den Bildschirm legt, hebt der Bildschirm die Oberfläche hervor und die optischen Miniatursensoren analysieren den Fingerabdruck. Das Problem war genau die optische Erkennungsmethode, die sich von kapazitiven Sensoren unterscheidet, die in herkömmlichen Scannern verwendet werden. Der optische Sensor war empfindlich genug, um nicht einen Finger, sondern einen Fingerabdruck auf der Bildschirmoberfläche zu erkennen. Das Hacken des Telefons ist daher einfach: Wir warten, bis der Besitzer einen Finger auf den Bildschirm legt, das Telefon auswählt, den verbleibenden Fingerabdruck mit einem Stück Folie bedeckt - und dann sind wir autorisiert. Im Falle von Huawei war das Problem leicht zu lösen: Der Erkennungsalgorithmus wurde anscheinend durch Verringerung der Empfindlichkeit aktualisiert.


    Google Mail - Spoiler - nicht gehackt. Forscher Tim Cotten entdeckte letzte Woche ( Nachrichten , ein Post in einem Fachblog ) die Methode, Buchstaben in den Ordner "Gesendete Objekte" zu setzen. Angefangen hat alles mit dem, was Tim im Ordner "Gesendete Objekte" gefunden hat, was er eindeutig nicht gesendet hat. Wenn Sie beim Senden des Briefs die E-Mail-Adresse des Empfängers angeben, legt GMail den Brief automatisch in dem entsprechenden Ordner ab.


    Es ist bemerkenswert, dass GMail selbst das Versenden von E-Mails nicht zulässt, wenn der Name des Absenders eine E-Mail-Adresse enthält. Wenn solche Nachrichten ankommen und die Adresse im Absendernamen mit der Adresse des Empfängers übereinstimmt, befinden sie sich in dem Ordner mit den gesendeten Nachrichten. Dies kann zumindest zu Verwirrung führen, aber eine solche List kann auch die Wahrscheinlichkeit erhöhen, dass ein unerfahrener Benutzer einen böswilligen Link aus einem Brief öffnet und versucht zu verstehen, was er gesendet hat. Derselbe Forscher entdeckte später , dass Sie, wenn Sie versuchen, HTML-Tags in den Namen des Absenders einzufügen, eine Nachricht im Posteingang anzeigen lassen, in der der Absender vollständig abwesend ist.


    Schließlich hat das Unternehmen SEC Consult Vulnerability Lab einen interessanten Fehler in Skype gefunden (jetzt wissen wir, wer es verwendet!). Sicherlich verwenden einige Versionen des Messenger einige sehr komplexe Algorithmen, um Emoji anzuzeigen. Daher war es leicht, einen DoS-Angriff auf einen Skype-Client zu erstellen. Die Forscher begannen gerade, Emoji in mehreren Teilen gleichzeitig zu senden, und als ihre Anzahl in einer Nachricht hundert erreichte, verlangsamte sich der Kunde merklich.


    Achthundert "Kätzchen des Unheils" - und die Anwendung friert einige Sekunden lang ein. Wenn Sie weiterhin Emoji senden, können Sie den Client für längere Zeit deaktivieren. Nur einige Versionen von Skype for Business 2016-Clients sowie deren Vorgänger Microsoft Lync 2013 sind anfällig: Die Sicherheitsanfälligkeit wurde diese Woche geschlossen, aber die Tatsache, dass ein solches Problem in den Geschäftsversionen von Skype entdeckt wurde, sagt uns - was? Das Gefühl bei der Arbeit ist nicht der Ort! By the way, zusammen mit den emotionalen skype heruntergefahren Microsoft eine viel ernsteren Verwundbarkeit in der 32-Bit - Version von Windows 7, das zuvor entdeckt durch Spezialisten von "Kaspersky Lab" auf der Analyse von realen Cyber - Attacken.

    Haftungsausschluss: Die Meinungen in diesem Digest stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen grundsätzlich, Meinungen mit gesunder Skepsis zu behandeln.

    Jetzt auch beliebt: