Facebook, MySpace und andere soziale Netzwerke sollen sensible Nutzerdaten an Werbekunden weitergegeben haben. Entgegen den Richtlinien und Beteuerungen seitens der Plattformbetreiber wurden laut einem Bericht des Wall Street Journal persönliche Informationen ohne Zustimmung der Nutzer versendet. Die Daten sollen ein genaues Identifizieren der Personen ermöglichen.
Die Informationen gingen an Werbekunden wie Googles DoubleClick und Yahoos Right Media und sollen sowohl Nutzernamen, Wohnort, Alter und Beruf umfasst haben. Die Weitergabe sei dann passiert, wenn Nutzer in den sozialen Netzwerken auf Anzeigen klickten. Google und Yahoo beteuern jedoch, keine solchen Daten zu haben oder zu benutzen.
Zwischen Skandal und Missverständnis
Nach dem WSJ-Bericht wird nun diskutiert, ob es sich tatsächlich um einen großen Skandal oder nur um ein Missverständnis handelt. An sich werden den Werbern jedes Mal, wenn ein Nutzer auf einen Link klickt, die URLs angezeigt, von wo aus der Nutzer zugegriffen hat. Im aktuellen Fall sollen aber weit mehr Daten als üblich mitversendet worden sein. Offen ist, ob die Weitergabe möglicherweise auch unabsichtlich geschah.
“Facebook gibt keine Nutzerdaten weiter”, betont wiederholt eine Sprecherin der Plattform. Laut dem WSJ-Bericht gab es jedoch zumindest ein teilweises Eingeständnis der betroffenen Social Networks, dass hier sensible Informationen an Dritte gelangt sind. Denn die Plattformen sollen nach dem Aufkommen der Vorwürfe den Code für die Datenübermittlung geändert haben. Neben Facebook und MySpace wurden auch Seiten wie Digg und LiveJournal als Datensünder kritisiert.
Facebook am Pranger
Unabhängig davon, in wie vielen Fällen – ob unabsichtlich oder bewusst – die Informationen nach Außen gelangten, steht Facebook neuerlich am stärksten unter Druck. Einerseits sollen über die Seite noch mehr persönliche Daten mitgeliefert worden sein als bei anderen Portalen, andererseits ist Facebook derzeit ohnehin gehörig unter Beschuss. Der vom WSJ geortete Skandal kommt demnach zu einem äußerst ungünstigen Zeitpunkt für das einst so populäre Netzwerk. (pte/tc)
Posted by t.claus at 10:58 am on Mai 21st, 2010.
Categories: News. Tags: Datenmissbrauch, Facebook, Sicherheitslücke, Social-Networking, Verbraucherschutz.
Bereits im vergangenen Jahr kursierten Meldungen über einen Bug in der Firmware der IP-Telefone des Herstellers snom. Hierbei handelte es sich um Cross-Site Request Forgery, die es Angreifern erlaubt, Adressbucheinträge und Anrufprotokolle zu ändern sowie Gespräche abzuhören. Snom reagierte damals mit Maßnahmen, um den Schutz der Produkte zu optimieren. Nun wurde eine weitere Lücke im System ausgemacht und gemeldet, sodass diese behoben werden konnte.
Cross-Site Request Forgery ermöglicht es dem Angreifer, unberechtigt Daten in einer Webanwendung zu verändern und Vollzugriff auf das Endgerät zu erhalten. Somit wird unter anderem das Abhören der Gespräche ermöglicht. Snom hatte zur Verhinderung der Attacke empfohlen, einen Benutzernamen und Passwort für das Webinterface zu definieren. Man hat jedoch herausgefunden, dass die Authentisierung nicht korrekt implementiert war. Durch einfache Manipulation des http-Requests wird sie vollständig ausgehebelt. Der Angreifer kann somit ohne Kenntnisse bezüglich des Passwortes auf das Webinterface des Telefons zugreifen und dieses vollständig kontrollieren.
Das bedeutet, dass der gesamte Netzwerk-Verkehr erfasst und abgehört werden kann. Der Zugriff auf sensible Adressbuchdaten wird ebenso ermöglicht wie das Anrufen kostenpflichtiger Dienste. Darüber hinaus können der SIP-Benutzername und das Passwort sowie alle Konfigurationen des Telefons eingesehen und verändert werden. Angreifer erhalten außerdem die Möglichkeit, Gespräche zu einem anderen SIP-Server umzuleiten und eine stille Raumüberwachung durch Aktivieren des Mikrofons durchzuführen.
Snom wurde über die Erkenntnisse informiert und teilte mit, das der Bug bereits bekannt sei jedoch noch nicht in allen Firmware-Versionen behoben. Snom konnte den Bug mit dem letzten Update beheben. Der Hersteller empfiehlt daher, mindestens die Firmware-Versionen 6.5.20, 7.1.39, 7.3.14 oder höher zu installieren. (Quelle: VoIPphones.de)
Posted by admin at 6:55 pm on August 13th, 2009.
Categories: News. Tags: Bug, Firmware-Update, Sicherheitslücke, Update.
Eigentlich ist das Update, das sich kürzlich viele Blackberry-Nutzer in den Vereinigten Arabischen Emiraten heruntergeladen und installiert haben, vom Mobilnetzbetreiber Etisalat als Performance-Update beworben worden. Erst nachdem viele Kunden, die das vermeintliche Update installiert hatten, mit deutlich verkürzter Akkulaufzeit oder gar Totalausfällen ihrer Blackberrys konfrontiert waren und sich deshalb an den Hersteller wandten, flog der Skandal auf. Bei dem “Performance-Update” handelte es sich um eine Überwachungssoftware der kalifornischen Firma SS8 Networks Inc..
Das Unternehmen versorgt eigenen Angaben zufolge Ermittler und Nachrichtendienste weltweit mit Überwachungslösungen für Telekommunikation. Die auf den Blackberrys installierte Software ermögliche den Zugriff auf private Daten, heißt es von Blackberry-Hersteller Research in Motion. RIM hat mittlerweile ein eigenes Update herausgegeben, das die Überwachungssoftware wieder entfernt.
Wieso Überwachungssoftware in das Update eingeschleust wurde, ist nach wie vor unklar. Ans Licht kam die Aktion nur, weil die betroffenen Mobiltelefone durch ständige Anmeldeversuche an einem zentralen Server langsamer reagierten als üblich und die Akkulaufzeit durch das ständige Senden stark reduziert wurde. Betroffen waren rund 145.000 Blackberry-Nutzer, die das Netz des ehemaligen staatlichen Monopolisten Etisalat nutzen. Kunden des Konkurrenz-Netzbetreibers “Du” blieben verschont.
“Dass Spyware auf Handys in so einem Ausmaß Verbreitung findet, habe ich noch nie gehört. Wenn SS8 schon auf der Homepage damit wirbt, Nachrichtendienste und Ermittler als Kunden zu haben, dann kann man natürlich spekulieren, was da dahintersteckt. Das könnten Wirtschaftskriminelle ebenso sein wie Geheimdienste”, so Telekommunikationsexperte von VoIPphones.de Thorsten Claus gegenüber der Krypto e.V.. Angesichts der Tatsache, dass besonders Dubai als internationale Drehscheibe gelte, könnten auch Blackberrys von Durchreisenden betroffen sein, die sich im Etisalat-Mobilfunknetz angemeldet und etwaige Updates installiert haben.
Posted by admin at 6:39 pm on Juli 21st, 2009.
Categories: News. Tags: IT-Sicherheit, Online-Schnüffelei, Sicherheitslücke, Spionage, Überwachung.
Google hat am Donnerstag das Sicherheits-Update 1.0.154.5 für den Browser Chrome veröffentlicht. Roi Saltzman von der IBM Rational Application Security Research Group hat bereits am 8. April auf gravierende Sicherheitslücken hingewiesen. Die Mängel des Browsers haben domainübergreifende Scripting-Attacken ermöglicht. “Angreifer haben eine falsche Verarbeitung der URI chromehtml: gezielt ausgenützt, wenn der Aufruf mit dem Internet Explorer erfolgte”, sagte Mark Larson, Google Chrome Program Manager.
Die Verarbeitung von JavaScript im Internet Explorer haben dazu geführt, dass Chrome mit zwei Tabs geöffnet und der eingebettete Schadcode in einem der beiden Tabs ausgeführt wird. Dies ermöglichte aufgrund einer weiteren Schwachstelle, von Experten als Universal Cross Site Scripting (UXSS) bezeichnet, den Zugriff auf andere Domains. “Eine Cross-Site-Request-Forgery (CSRF) ist eine domain-übergreifende Aufruf-Manipulation. Cross-Site-Scripting erlaubt es Cyberkriminellen, Daten in einer Webanwendung ohne Berechtigung zu verändern”, sagt Candid Wüest, Virenforscher von Symantec.
“Angreifer benötigen jedoch immer einen berechtigten Benutzer von Webanwendungen. Mit dem Einsatz von Skripten oder auf dem Wege von Social Engineering wird aus dem Webbrowser des Opfers ohne dessen Wissen eine HTTP-Anfrage an die Webanwendung gerichtet”, erklärt Wüest. Browser der neuesten Generation würden zwar mehr Security-Features aufweisen, Cross-Side-Scripting könne jedoch nur über eine vollständige Trennung von Websessions in den Griff bekommen werden, meint Wüest. Wenn Nutzer neben der Abwicklung ihrer Internetbanking-Geschäfte noch zahlreiche andere Websites besuchen, könne ein CSRF-basierter Angriff nicht ausgeschlossen werden.
Datenklau ist in vielen Fällen auf die Ausführung eines in Webseiten oder Dateien eingebetteten Schadcodes zurückzuführen, wobei es sich zumeist um JavaScript-Programme handelt. “Eine Deaktivierung von JavaScript im Browser schützt nur bedingt. Gefahren wie Drive-by-Downloads können auf diese Weise jedoch wirksam eingedämmt werden”, so Wüest weiter. Die Infizierung seriöser Webseiten mit schadbringendem Code ist ein weiteres Problem. Potentieller Schaden kann nicht mehr nur durch den Aufruf von dubiosen Sites angerichtet werden. Eine verstärkte Nutzung von Webdiensten ist allgemein feststellbar. Online-Backups und Textverarbeitung über Webdienste liegen voll im Trend, bergen aber auch neue Gefahren für Nutzer in sich, heißt es bei Symantec.
Posted by admin at 1:58 pm on April 25th, 2009.
Categories: News. Tags: Browser, Chrome, Sicherheitslücke.