Sicherheit

Die zuletzt aufgedeckte und vergleichsweise harmlose Hacking-Kampagne ist für den Softwarekonzern keine Entwarnung. Microsoft rechnet mit "effektiveren Angriffen". Es will erreichen, dass Kunden ihre ungepatchten Systeme mit Windows 7 und Server 2008 aktualisieren. weiter

Teilnehmer des Wettbewerbs kompromittieren auch das Xiaomi Mi9 sowie Router von TP-Link und Netgear sowie Fernseher von Sony und Samsung. Galaxy S10 und Xiaomi Mi9 werden per Browser und NFC gehackt. Eine weitere kritische Lücke steckt im Baseband-Chip des S10. weiter

Das ist das Ergebnis einer Studie des Digitalverbands Bitkom, für die mehr als 1.000 Geschäftsführer und Sicherheitsverantwortliche quer durch alle Branchen repräsentativ befragt wurden. Digitale Angriffe haben in den vergangenen beiden Jahren bei 70 Prozent der Unternehmen einen Schaden versursacht, im Jahr 2017 waren es erst 43 Prozent. weiter

Die Hintermänner machen aus der Schadsoftware eine Malware-as-a-Service. Ein neuer modularer Aufbau erlaubt das Hinzufügen neuer Funktionen. Außerdem übernimmt Emotet Tarnfunktionen von Trickbot. weiter

Einfallstor sind die verwendeten Mikrofone. Sie sind so empfindlich, dass Laserstrahlen Vibrationen der Membran auslösen können. Die Forscher testen ihren Angriff erfolgreich über eine Entfernung von 110 Metern. weiter

Das von Google initiierte OpenTitan Project entwickelt Standards für sichere Siliziumchips. Sie basieren auf einem Design von lowRISC. Unterstützung erhält Google unter anderem von der ETH Zürich und von Western Digital. weiter

Unbekannte verteilen einen Crypto-Miner. Ihr Exploit basiert auf im September veröffentlichten Beispielcode des Metasploit-Teams. Die Angriffe scheitern oft, weil der Exploit die fraglichen Windows-Systeme abstürzen lässt. weiter

xHelper richtet sich als Android-Dienst ein und installiert sich nach seiner Löschung erneut. Weder Malwarebytes noch Symantec finden heraus, wie die Malware auch ein Factory Reset übersteht. Bisher beschränkt sich xHelper auf die Einblendung unerwünschter Werbung. weiter

Sicherheitsanwendungen scheitern unter Umständen mit einer verhaltensbasierten Erkennung. Verschlüsselung und mehrfach gepackte Archive hebeln außerdem Sicherheitsdefinitionen aus. Adwind nimmt derzeit nur Windows-Systeme sowie Internet Explorer, Outlook und Chromium-Browser ins Visier. weiter

Sie setzen unter anderem auf Spear-Phishing, um in internetfähige Geräte einzubrechen. Microsoft vermutet einen Zusammenhang mit der drohenden erneuten Sperre für russische Athleten. Bisher waren offenbar nur wenige Attacken erfolgreich. weiter

Die nächste Ausgabe des Wettbewerbs konzentriert sich ausschließlich auf diesen Bereich. Trend Micro lobt dafür ein Preisgeld von 250.000 Dollar aus. Lücken, die das Ausführen von Schadcode erlauben, bringen Hackern 20.000 Dollar ein. weiter

Web-Server sind über eine speziell präparierte URL angreifbar. Beispielcode für einen Exploit sowie ein Skript zum Auffinden anfälliger Server ist frei verfügbar. Betroffen sind aber nur NGINX-Server mit PHP-FPM. weiter

Quelle ist eine mit dem Internet verbundene ungesicherte Test-Umgebung. Die Datenbank enthält E-Mail-Adressen und Nutzernamen. Klarnamen von Nutzern oder gar Bezahldaten finden sich in dem Elasticsearch-Speicher indes nicht. weiter

Die Kampagne dauert rund ein Jahr. Die mehr als 8 Millionen Downloads verteilen sich auf mehr als 40 Apps. Sie verfügen über zahlreiche Funktionen, um Googles Sicherheitskontrollen auszutricksen und auch Nutzer zu täuschen. Eset enttarnt indes den Entwickler der Apps. weiter

Sie deaktiviert Sicherheitsprogramme und weitere Anwendungen. Zudem richtet MedusaLocker eine Kopie von sich als Windows-Dienst ein. Erneute Scans alle 60 Sekunden sollen sicherstellen, dass auch neu erstellte Dateien verschlüsselt werden. weiter

Sie fordert die Berechtigung für den Zugriff auf Benachrichtigungen. Das erlaubt es der App, den SMS-Bestätigungscode eines WAP-Abonnements zu lesen und unbemerkt in eine WAP-Website im Hintergrund einzugeben. Ähnliche Apps gibt es auch für iOS. weiter