In der vergangenen Woche wurden drei Nachrichten über nicht triviale Sicherheitslücken gleichzeitig aufgegriffen. In diesem Jahr hatten wir bereits ein
Problem zu diesem Thema , dann haben wir den Ausfall von Festplatten mithilfe von
schreiendem Ton und Diebstahl persönlicher Daten durch einen Fehler in CSS untersucht. Heute werden wir über die Funktionen der Fingerabdruckerkennung in Android-Smartphones, den Angriff auf GMail an einem Ort und das Töten von Skype mit Emojis sprechen.
Beginnen wir mit den Fingerabdrücken. Der Fingerabdruckscanner in Smartphones ist eine der wenigen Funktionen moderner Geräte, die das Leben wirklich komfortabler machen. Es bietet einen angemessenen Schutz für Ihr Telefon vor Manipulationen und ermöglicht es Ihnen, das Gerät mit einem Tastendruck zu entsperren. Die Hersteller von Smartphones haben sich noch nicht für die Position des Scanners entschieden: Je nach Modell bewegt er sich von der Frontplatte zur Seitenwand, bewegt sich um die Kamera herum und Apple hat seinen Scanner zugunsten der Gesichtserkennung vollständig ausgeschnitten. Tencent chinesische Forscher haben eine Sicherheitslücke in der neuesten Version des Fingerabdruckscanners entdeckt, die sich direkt unter dem Display befindet.
Vertreter von Xuanwu Lab, einer der Forschungseinheiten von Tencent, behaupten, dass absolut alle Telefone, die mit einem Fingerabdruckscanner unter dem Display ausgestattet sind, anfällig sind (
Nachrichten ). Dies sind die neuesten Modelle, nächstes Jahr wird diese Technologie auf fast allen Flaggschiffen erwartet. Zu den anfälligen Smartphones gehörten Huawei Mate 20 Pro und Porsche Design Mate RS. Dieser Hersteller hat jedoch bereits Patches für diese Geräte veröffentlicht. Die Sicherheitsanfälligkeit in anderen Modellen (Vivo, OnePlus und Xiaomi haben Telefone mit einem Scanner im Display) wurde nicht bestätigt, aber auch nicht widerlegt.
Alle vorhandenen Scanner dieses Typs arbeiten in Verbindung mit dem Display. Wenn der Träger einen Finger auf den Bildschirm legt, hebt der Bildschirm die Oberfläche hervor, und optische Miniatursensoren analysieren den Fingerabdruck. Das Problem war genau das optische Erkennungsverfahren, das sich von den in herkömmlichen Scannern verwendeten kapazitiven Sensoren unterscheidet. Wie sich herausstellte, erwies sich der optische Sensor als empfindlich genug, um nicht einen Finger, sondern einen Fingerabdruck auf der Oberfläche des Bildschirms zu erkennen. Das Hacken des Telefons ist daher einfach: Wir warten darauf, dass der Besitzer seinen Finger auf den Bildschirm legt, das Telefon auswählt, ein Stück Folie auf den Fingerabdruck aufbringt, der auf dem Display verblieben ist - und hier sind wir autorisiert. Im Fall von Huawei war es einfach, das Problem zu lösen: Sie haben den Erkennungsalgorithmus aktualisiert und anscheinend die Empfindlichkeit verringert.
Google Mail - Spoiler - nicht gehackt. Der Forscher Tim Cotten entdeckte letzte Woche (
Nachrichten , ein
spezieller Blog-Beitrag ) eine Methode, um Briefe in den Ordner "Gesendete Objekte" zu legen. Alles begann damit, dass Tim im Ordner "Gesendete Objekte" Briefe fand, die er eindeutig nicht gesendet hatte. Wie sich herausstellte, legt GMail den Brief automatisch in den entsprechenden Ordner, wenn Sie beim Senden eines Briefes in den Informationen über den Absender die E-Mail des Empfängers angeben.
Es ist bemerkenswert, dass GMail selbst das Versenden von Briefen nicht zulässt, wenn der Name des Absenders eine E-Mail-Adresse enthält. Wenn solche Nachrichten jedoch eintreffen und die Adresse im Namen des Absenders mit der Adresse des Empfängers übereinstimmt, werden sie im Ordner mit den gesendeten Nachrichten angezeigt. Dies kann zumindest Verwirrung stiften, aber ein solch kniffliger Trick kann auch die Wahrscheinlichkeit erhöhen, dass ein unerfahrener Benutzer einen böswilligen Link aus einer E-Mail öffnet und versucht, zu verstehen, was er gesendet hat. Der gleiche Forscher stellte später fest
, dass Sie beim Versuch, HTML-Tags in den Namen des Absenders einzufügen, eine Nachricht im Posteingang erhalten können, die überhaupt keinen Absender hat.
Schließlich hat SEC Consult Vulnerability Lab
einen interessanten Fehler in Skype gefunden (jetzt wissen wir, wer ihn verwendet!). Einige Versionen des Messenger verwenden einige sehr komplexe Algorithmen zum Anzeigen von Emojis, sodass es nicht schwierig war, einen DoS-Angriff auf einen Skype-Client zu erstellen. Die Forscher begannen einfach, Emoji in vielen Teilen gleichzeitig zu senden, und als ihre Anzahl in einer Nachricht Hunderte erreichte, begann der Kunde merklich langsamer zu werden.
Achthundert „Kätzchen des Schicksals“ - und die Anwendung friert für einige Sekunden ein. Wenn Sie weiterhin Emojis senden, können Sie den Client für eine lange Zeit deaktivieren. Sicherheitslücken sind nur von einigen Versionen von Skype for Business 2016-Clients sowie vom Vorgänger Microsoft Lync 2013 betroffen. Die Sicherheitsanfälligkeit wurde diese Woche geschlossen, aber die Tatsache, dass ein solches Problem in Geschäftsversionen von Skype festgestellt wurde, sagt uns was? Dass Emotionen keinen Platz bei der Arbeit haben! Übrigens hat Microsoft neben emotionalem Skype eine viel schwerwiegendere Sicherheitslücke in 32-Bit-Windows 7 geschlossen, die zuvor von Experten von Kaspersky Lab anhand einer Analyse eines echten Cyberangriffs entdeckt wurde.
Haftungsausschluss: Die in dieser Übersicht geäußerten Meinungen stimmen möglicherweise nicht immer mit der offiziellen Position von Kaspersky Lab überein. Sehr geehrte Redakteure empfehlen generell, Meinungen mit gesunder Skepsis zu behandeln.