lost+found: Was von der Woche übrig blieb
Heute mit: mehr Security bei Twitter, einem möglichen iOS-Problem, MITM-Angriffe auf goto-fail, einem Android-Trojaner und einem unglaublichen Webserver.
Tarjei Mandt meldet Zweifel an der Qualität des Zufallszahlengenerators early random() im iOS7-Kernel an. Als Konsequenz könnten bestimmte Exploit-Techniken doch wieder funktionieren, die spezielle Sicherheitsvorkehrungen wie Stack Cookies eigentlich ausbremsen sollen.
Twitter hat eine "kleine" Schwachstelle geschlossen, die es Nutzern unter bestimmten Voraussetzungen erlaubte, die Tweets von 93.788 geschützten Nutzerkonten zu lesen. Diese Nachrichten, die nur für Nutzer lesbar sein sollten, denen der betroffene Account auch folgt, waren über SMS-Nachrichten und Push-Nachrichten von Smartphones lesbar. Der Bug sei seit November 2013 in den Twitter-Servern vorhanden gewesen.
Außerdem hat Twitter angekündigt, ab sofort StartTLS für sein E-Mail-System zu verwenden. Damit werden E-Mails von Twitter verschlüsselt ausgeliefert, wenn der Mailserver des Empfängers ebenfalls StartTLS beherrscht.
Das Tool mitmproxy unterstützt nun Angriffe mit Hilfe von Apples Goto-Fail-Bug. Mit dem Befehl
mitmproxy --ciphers="DHE-RSA-AES256-SHA" --cert-forward
lässt sich ein Man-in-the-Middle-Angriff auf SSL-Verbindungen von ungeflickten Apple-Geräten fahren. Spätestens jetzt sollte man also seine iOS- und Mac OS X-Systeme mit den entsprechenden Updates absichern.
Symantec hat einen neuen Android-Trojaner entdeckt, der aktuell auf dem Schwarzmarkt verkauft wird. Dendroid kann nach Angaben der Verkäufer verdeckt Telefonnummern anrufen, Denial-of-Service-Angriffe ausführen, Webseiten öffnen und Anrufe und Textnachrichten mitschneiden. Der Schadcode wird mit einem sogenannten APK Binder an legitime Android-Apps angehängt.
Zum Schluss noch ein bisschen Zauberei mit Format-Strings und Zeigern: Da hat jemand einen kompletten Web-Server mit einem einzigen printf()-Befehl implementiert. Ja, richtig gelesen: Die Rede ist von der C-Funktion zur formatierten Ausgabe – nichts sonst. Auf meinem Linux läuft leider der falsche Compiler, um das auszuprobieren; wer den Webserver also zum Laufen bekommt, möge also bitte Bescheid geben. [Update: heisec-Leser Ringo Leese hat den printf-WebServer auf seinem Elementary OS übersetzt und er meldete anschließend tatsächlich auf http://localhost:8080/ sein "Hello World!".]
