Security Summary – März 2019

Der kurze Monatsrückblick fasst wichtige News und Blogposts zu den Themen IT-Security, Cloud-Computing und Privatsphärenschutz zusammen.

1. Cyberangriff zwingt weltweit operierenden Aluminiumhersteller in die Knie

Einer der weltweit grössten Aluminiumhersteller, der norwegische Konzern Norsk Hydro, wurde von Hackern angegriffen. Das Unternehmen bestätigte, dass die meisten ihrer IT-Systeme betroffen waren. Die Cyberkriminellen blockierten auch die Website und zwangen Norsk Hydro, weitestgehend auf manuellen Betrieb umzustellen. Es waren sowohl Anlagen in Europa als auch in den USA betroffen.

Quelle: heise.de

2. Tesla Model 3 beim Hackerwettbewerb erfolgreich geknackt

Das Team „Fluoroacetate” hat ein Tesla Model 3-Elektroauto beim in Vancouver abgehaltenen Hackerwettbewerb Pwn2Own erfolgreich geknackt. Sie nutzten dabei eine Lücke im Infotainmentsystem aus und sicherten sich somit eine Prämie von 375.000 US-Dollar. Andere Teams knackten die beliebten Browser Safari und Firefox. Insgesamt wurden 19 Sicherheitslücken von den Teams entdeckt.

Quelle: heise.de

3. Motelgäste unwissentlich von versteckten Kameras gefilmt

Vier Personen wurden festgenommen, nachdem sie versteckte Kameras in verschiedenen Motels in 10 südkoreanischen Städten angebracht hatten, um die Aktivitäten der Gäste als Livestream zu übertragen. Über 800 illegal aufgezeichnete Filme, die ahnungslose Gäste zeigen, wie sie teilweise nackt herumlaufen oder Sex haben, wurden an 97 zahlende Zuschauer auf einer nicht genannten Website übertragen. Den Verdächtigen drohen jetzt Freiheitsstrafen von bis zu 5 Jahren sowie eine Geldstrafe von 35.000 US-Dollar.

Quelle: threatpost.com

4. Bei Routineprüfung durch Facebook wurden Millionen Passwörter von Nutzern im Klartext gefunden

Bei einer Routineprüfung stellte Facebook fest, dass das Unternehmen die Passwörter von Hunderten Millionen Facebook-Nutzern im Klartext gespeichert hat, wo sie für Mitarbeiter einsehbar waren. Das Unternehmen gab an, diesen Fehler in der Zwischenzeit behoben zu haben und beabsichtigt, die folgenden Personen zu benachrichtigen: „Hunderte Millionen Nutzer von Facebook Lite, Dutzende Millionen anderer Facebook-Nutzer und Zehntausende Instagram-Nutzer…". Laut dem Unternehmen gibt es keine Hinweise auf einen missbräuchlichen Zugriff.

Quelle: heise.de

5. Schwerwiegender Fehler in Schweizer E-Voting-System entdeckt

Sicherheitsforscher haben festgestellt, dass ein Fehler im Quellcode des Schweizer E-Voting- Systems von Angreifern dazu genutzt werden könnte, um Stimmen zu manipulieren. Schlimmer noch: Eine Manipulation wäre selbst bei einer Überprüfung des Wahlsystems nicht feststellbar gewesen. Darüber hinaus entdeckten die Forscher, dass es möglich war, gefälschte Verifizierungsbelege zu erstellen. Jedoch hätten nur Angestellte der Schweizer Post oder der Kantone die Stimmen unbemerkt verändern können.

Quelle: heise.de

6. Uber hat Spyware eingesetzt, um Wettbewerber in Australien auszuschalten

Laut einer namentlich nicht genannten Quelle, bei der es sich um einen ehemaligen leitenden Angestellten handeln soll, hat Uber 2015 eine Software zur Beschaffung von Informationen entwickelt, die: „… es Uber Australia erlaubte, in Echtzeit sämtliche Wagen von Wettbewerbern online zu sehen und Daten wie den Namen des Fahrers, die Wagenzulassung usw. abzuschöpfen.” Die Quelle gibt an, dass Uber die Informationen nutzte, um den Fahrern von konkurrierenden Start-ups bessere Arbeitsbedingungen anzubieten, wenn sie zu Uber wechseln würden.

Quelle: threatpost.com

7. Einbrecher könnten Funkalarmanlage von Abus ausschalten

Die Funkalarmanlage Secvest von Abus weist drei schwere Sicherheitslücken auf, durch die sie für Angriffe von technisch versierten Einbrechern verwundbar ist. Der Sicherheitsforscher Thomas Detert stellte die Sicherheitslücken fest, die Abus angeblich im November 2018 mitgeteilt wurden. Es sind noch keine Sicherheitspatches vom Unternehmen zur Verfügung gestellt worden.

Quelle: heise.de

8. FDP will den deutschen Personalausweis für das Mobiltelefon

Die deutsche liberale Partei „FDP” fordert eine Gesamtstrategie des Bundes für die Einführung eines deutschen digitalen Personalausweises. Der erste Schritt soll darin bestehen, den deutschen Personalausweis deutschlandweit auf das Smartphone zu bringen. Des Weiteren befürworten sie für alle Deutschen die Einführung eines digitalen „Wallets” für amtliche Urkunden. Ausserdem soll es den Bürgern möglich sein, mit ihrem digitalen Ausweis Anträge auf Sozialleistungen zu stellen oder ein Auto zu mieten.

Quelle: security-insider.de

9. Hacker übernehmen Android-Mobiltelefone infolge unsicherer Browser-Merkmale

Besitzer von Android-Mobiltelefonen, die den UC Browser nutzen, können aufgrund eines versteckten Merkmals, das automatisch neue Bibliotheken und Module auf ihren Telefonen installiert, attackiert werden. Die Updates werden über eine unsichere Verbindung heruntergeladen, die es möglich macht, so genannte „Man-in-the-Middle-Angriffe” durchzuführen und Schadsoftware auf das Telefon des ahnungslosen Nutzers zu importieren.

Quelle: thehackernews.com

10. EU will europaweite Sicherheitsstandards für 5G, um Spionage zu vermeiden

Die EU hat einen Vorschlag unterbreitet, wie einheitliche Sicherheitsstandards in ganz Europa für das neue schnelle 5G-Mobilfunknetz eingerichtet werden können. Die Befürchtungen betreffen auch die Möglichkeit einer Spionage durch die Chinesen, was vor allem von der US-Regierung vorgebracht wird. Die US-Regierung verdächtigt chinesische Telekommunikationsunternehmen wie Huawei, für Spionagezwecke missbraucht zu werden.

Quelle: inside-it.ch