lost+found: Was von der Woche übrig blieb
Heute mit: Apps im Schafspelz, Keyjacking, einer 20.000-Dollar-Facebook-Lücke, einer Exploit-Quelle, Tor-Hinterlassenschaften und einem Geburtstagskind.
(Bild: McAffee)
Hacktivisten haben eine manipulierte Version von Jay Z's Android-App Magna Carta Holy Grail in Umlauf gebracht, in der laut McAfee eine ganz besondere Überraschung lauert: Am gestrigen US-Unabhängigkeitstag soll sie versucht haben, das Obama-Konterfei als Smartphone-Hintergrundbild zu setzen – begleitet von der Botschaft: Yes we scan! Passend dazu wurde ein "NSAListenerService" installiert.
Symantec hat die Android-App "Password Wifi Hacker Plus" entdeckt, die verspricht, die Passwörter von verschlüsselten WLANs zu knacken. Dies ist jedoch zum Scheitern verurteilt: Die Knackfunktionen spielt die App nur vor. Stattdessen teilt sie persönliche Daten des Smartphone-Besitzers mit sechs Werbenetzwerken.
Clickjacking, das Entführen von Mausklicks durch präparierte Webseiten, ist dem Sicherheitsforscher Rosario Valotta nicht genug. Er hat es auch auf Tastatureingaben abgesehen. Bei seinem Proof-of-Concept segnet der Internet-Explorer-Nutzer unbemerkt einen Download-Dialog ab, während er eigentlich ein Captcha ausfüllt – und zwar mit "Ausführen".
Facebook-Konten, die mit dem Handy des Besitzers verknüpft sind, konnten mit per SMS abgesetzten Befehlen komplett übernommen werden. Facebook war die Lücke 20.000 US-Dollar wert.
Auf WICAR.org findet man einsatzbereite Browser-Exploits, mit denen man die Sicherheit seines Systems auf die Probe stellen kann – Nutzung auf eigene Gefahr.
Tor-Mitentwicklerin Runa A. Sandvik hat auf verschiedenen Plattformen nach Hinterlassenschaften des Tor Browser Bundle Ausschau gehalten und ist zahlreich fündig geworden (PDF).
Der MySQL-Bug #20786 ist gerade sieben Jahre alt geworden – das muss gefeiert werden! (kbe)