Woche 21: Die unaufhaltsame Bedrohung zwischen den Zeilen
Samsungs Irisscanner ausgetrickst, ein Darknet-Schwarzmarkt gibt Rätsel auf und eine Malware ohne Schadcode. Die Redaktion hat die Neuigkeiten zu Cybercrime und Cybersecurity der Woche zusammengefasst.
Derzeit kann kaum einer die Begriffe Cybersecurity oder Cybercrime verwenden, ohne dass gleich von irgendwoher der Name Wannacry ertönt, fast schon wie ein Echo. Vor fast zwei Wochen erschütterte die aussergewöhnlich starke Ransomware die Welt.
Sie legte global über 200'000 IT-Systeme lahm. Ransomware ist nun jedem Nachrichtenleser ein Begriff. Jedes Nachrichtenportal, jeder Sicherheitsanbieter und überhaupt gefühlt fast jedes Unternehmen publizierte eine Medienmitteilung zu dem Thema.
Die Welt dreht sich jedoch weiter und das Thema Cybercrime hat sich mit Wannacry nicht erschöpft. An dieser Stelle darum vier Beiträge, die mit Wannacry nichts zu tun haben.
Here's looking at you, Irisscanner
Fingerabdruckscanner sind notorisch unsicher. Dies zeigte sich auch erst kürzlich wieder. Derartige Security-Mechanismen taugen daher immer seltener als Verkaufsargument. Wohl mitunter einer der Gründe, wieso Hersteller neuerdings andere Wege beschreiten.
Einige Hersteller verbauen in ihren aktuellen Smartphones daher einen Irisscanner. Dieses biometrische Authentifizierungsverfahren erkennt den Nutzer an der Iris, die bei jedem Menschen einzigartig ist.
Im Gegensatz zum Fingerabdruckscanner muss der Nutzer dafür kein Gerät berühren. Zudem besteht bei der Iris nicht die Gefahr der Abnutzung. Ein Fingerabdruck kann sich jedoch mit der Zeit verändern - etwa nach jahrelanger Handarbeit.
Mehr Sicherheit scheinen die Geräte jedoch nicht zu bieten. Der Chaos Computer Club hat etwa den Irisscanner des Samsung Galaxy S8 umgangen. Mit nur einem ausgedruckten Foto des Auges des Benutzers und einer Kontaktlinse! Wie das funktioniert, zeigen die IT-Experten in einem Video.
Forscher schreiben Malware ohne Schadcode
Sicherheitsexperten der Universität von Georgia haben eine neue Schwachstelle in Android-Geräten entdeckt. Sie nannten sie Cloak & Dagger. Streng genommen handelt es sich dabei nicht um eine Sicherheitslücke. Stattdessen könnten zwei legitime App-Genehmigungen auf eine boshafte Art und Weise ausgenutzt werden.
Die beiden Genehmigungen sind System_Alert_Window ("Draw on top") und Bind_Accessibility_Service ("ally"). Die erste Genehmigung erteilt einer App die Erlaubnis, andere Apps mit ihren Inhalten zu überlagern. Bei der zwiten geht es um die Barrierefreiheit. Sie soll blinden Nutzern helfen, das Smartphone mit Sprachbefehlen zu bedienen oder Inhalte vorgelesen zu kriegen.
Da es sich um legitime App-Features handelt, müssen die Cyberkriminellen nicht mal Schadcode schreiben, sondern eine ganz gewöhnliche App, die diese Features unterstützt. Das macht sie für den Google Play Store besonders schwer zu erkennen.
Eine Malware mit diesen Berechtigungen könnte theoretisch sämtliche Tastaturbefehle aufzeichnen oder private Nutzerdaten, wie etwa Passwörter, Sprachnachrichten oder Kontaktdaten, stehlen. Wie Cyberkriminelle die beiden Berechtigungen ausnutzen können, zeigen die Forscher in verschiedenen Videos:
Darknet-Bazaar verstummt – Ursache unklar
Das Darknet, das nicht öffentlich zugängliche Internet, das dem Nutzer Anonymität verspricht, ist aus just den Gründen ein äusserst beliebter Ort für Anbieter von illegalen Schwarzmärkten. Es gibt nichts, was man im Darknet nicht irgendwo kaufen könnte.
Das gilt auch für den 2013 gegründeten Schwarzmarkt Outlaw. Dieser sei zwar nie der populärste gewesen, doch baute der Markt im Laufe der Jahre eine treue Kundschaft auf, wie Bleeping Computer berichtet. Auf Outlaw wurde alles angeboten, von Waffen über Drogen bis gestohlene Daten. Die Zahlungen laufen jeweils über das Bitcoin-Konto der Marktbetreiber.
Jetzt ist Outlaw aber verstummt. Nach eigenen Angaben wurde die Seite gehackt, das Bitcoin-Konto geplündert. Aber nicht alle kaufen den Betreibern diese Erklärung ab. Wie es in dem Bericht heisst, könnte dahinter auch ein sogenannter Exit Scam stecken.
Das sei bei Darknet-Märkten nicht unüblich. Kriegen die Betreiber kalte Füsse oder wenn sie eine Gelegenheit wittern, machen sie sich mit den Bitcoins, die sie in ihrem Konto verwalten, davon und geben vor, sie seien bestohlen worden.
Und die unaufhaltsame Bedrohung zwischen den Zeilen
Die Sicherheitsexperten von Check Point haben ein neues Einfallstor für Cyberkriminelle gefunden: die Untertitel von Filmen und Serien. Das Opfer muss dafür nicht mal eine infizierte E-Mail öffnen oder auf eine präparierte Website klicken. Er muss nur ein Video mit Untertiteln schauen, wie der Sicherheitsanbieter mitteilt.
Für Cyberkriminelle stehe diese Tür quasi sperrangelweit offen. Denn Untertiteldateien gelten standardmässig als vertrauenswürdige Dateien. Das heisst, dass Media Player sie automatisch herunterladen und Anti-Viren-Lösungen die Files generell einfach durchwinken. Präpariert ein Cyberkrimineller folglich so eine Datei, gelangt sie ohne Check auf dem Rechner des Opfers.
Wie derartige Angriffe funktionieren, erklärt Check Point in einem Video:
Auf diese Weise könnte ein Hacker die komplette Kontrolle über das infizierte Gerät erlangen – egal ob das Opfer das Video auf einem PC, einem Smartphone oder auf einem Smart-TV ansieht. Die Mediaplayer VLC, Kodi, Popcorn Time und Stremio hätten das Problem allerdings bereits behoben.