[datensicherheit.de, 11.11.2024] Technische Hilfsmittel für die eigene Fitness erfreuen sich offensichtlich großer Beliebtheit. „Vor allem Apps wie ,Strava’ sind praktische Helfer für Fitnessbewusste: Sie tracken die zurückgelegten Strecken und Kilometer pro Monat und liefern am Ende des Tages eine Auswertung.“ Doch der Hype um solche Hilfsmittel hat wohl auch Schattenseiten, wie der französische Präsident, Emmanuel Macron, es habe erfahren müssen: Seine Leibwächter hätten sich bei der Lauf-App angemeldet und dabei anscheinend zum Teil hochsensible Informationen wie den Aufenthaltsort des Präsidenten preisgegeben. „Leider ist das keine Überraschung, denn es ist nicht das erste Mal, dass ,Strava’ und andere Soziale Netzwerke ein Risiko für die Privatsphäre oder sogar die körperliche Sicherheit ihrer Nutzer darstellen“, kommentiert Jake Moore, IT-Sicherheitsexperte bei ESET.

In Israel soll ein Unbekannter über eine Lauf-App an Bewegungsprofile Tausender israelischer Soldaten gelangt sein

Die französische Zeitung „Le Monde“, die hinter dieser Enthüllung steckt, hat weitere Beispiele parat: Soll soll in Israel ein Unbekannter über „Strava“ an die Bewegungsprofile Tausender israelischer Soldaten gelangt sein – und das mit einfachsten technischen Mitteln:

„Mit Hilfe eines Smartphones und der dazugehörigen App konnte der Unbekannte seinen Standort in die Nähe von Militärbasen und anderen kritischen Bereichen verlegen.“ Dadurch seien andere Profile in der Nähe sichtbar geworden – inklusive der bisherigen Bewegungsaktivitäten. In einigen Fällen habe sich sogar der Wohnort des Militärpersonals herausfinden lassen.

Vorfälle aus Frankreich und Israel zeigen: Laxer Umgang mit Lauf-Apps kann hochsensible Standortdaten für Fremde verfügbar machen

Diese Fälle aus Frankreich und Israel zeigten: Ein laxer Umgang mit den eigenen Daten reiche oft aus, um hochsensible Standortdaten verfügbar zu machen. „Das ist vor allem für Mitarbeiter in sensiblen Bereichen wie Politik und Militär problematisch, kann aber auch für private Nutzer zu Problemen führen: In England konnten Kriminelle einem App-Nutzer über öffentliche Bewegungsprofile Fahrräder im Gesamtwert von über zwölftausend Pfund stehlen.“

Das Dilemma laut ESET: Kriminelle brauchten oft nicht mehr als einen Computer oder ein Smartphone, um an ihr Ziel zu gelangen. Gleichzeitig benötigten diese Apps Zugriff auf den genauen Standort, um wie gewünscht zu funktionieren. „Apps wie ,Strava’ sind nicht per se gefährlicher als andere Anwendungen“, erläutert Moore. Vielmehr sollten die Nutzer darauf achten, „wie sie sie nutzen und welche Daten sie preisgeben“.

Lauf-Apps sollten über Datenschutzeinstellungen sicherer gemacht werden

Nutzer könnten die Datenschutzeinstellungen der meisten Tracking-Apps so konfigurieren, „dass nur autorisierte Personen über die eigenen Aktivitäten informiert werden“. Die „Heatmap“ beispielsweise, auf der u. a. eigene Laufrouten dargestellt würden, müssten Nutzer selbst aktivieren. Aber auch in anderen Einstellungen könne man „noch ein paar Stellschrauben anziehen, um sicher zu bleiben“.

Bei „Strava“ gebe es beispielsweise im Einstellungsmenü den Punkt „Privatsphäre-Einstellungen“. Unter Umständen könnten Daten dort freizügig dargestellt werden, z.B. sei das eigene Profil und damit Name, Aktivitäten, Fotos und Statistiken öffentlich sichtbar. Die Sichtbarkeit des Profils könne indes auf Abonnenten beschränkt werden. Die Aktivitäten, zu denen auch Trainings und zurückgelegte Strecken gehörten, ließen sich besser verbergen: Mit der Einstellung „Nur du“ könne nur der Nutzer seine eigenen Aktivitäten verfolgen. „Die Gruppenaktivitäten, das sind beispielsweise Aufzeichnungen von gemeinsamen Läufen, lassen sich sogar ganz deaktivieren.“

Aktivitätskarten in Lauf-Apps sollten für Fremde deaktiviert werden

Zudem können Nutzer bei „Kartensichtbarkeit“ bestimmte Adressen definieren, an denen die App keine Start- und Endpunkte von Aktivitäten aufzeichnen soll. Auch dort könnten Aktivitätskarten für andere deaktiviert werden.

„,Strava’-Nutzer sollten die ,private’ Nutzung der App in Betracht ziehen und es sich zweimal überlegen, bevor sie die optionale ,Heatmap’-Funktion aktivieren, insbesondere wenn sie den Verdacht haben, verfolgt zu werden oder in einem Bereich mit höheren Sicherheitsanforderungen arbeiten“, so Moores Fazit.

Weitere Informationen zum Thema:

Le Monde, Sébastien Bourdon & Antoine Schirer, 04.11.2024
StravaLeaks : en pleine guerre, des milliers de soldats israéliens identifiables par le biais de l’application sportive / Malgré les alertes, l’armée israélienne laisse toujours des militaires dévoiler des informations sensibles via Strava. L’enquête du « Monde » a conduit Israël à se croire victime d’une opération d’espionnage par un service étranger

MailOnline, Sophie Law, 21.09.2028
Thieves steal cycling enthusiast’s entire collection of specialist racing bikes ‚after tracking down the 51-year-old’s home using routes he’d posted on fitness app Strava‘

datensicherheit.de, 10.07.2018
Fitness-App: Datenpanne könnte Mitarbeitern sensibler Bereiche schaden / Tim Berghoff kommentiert aktuelle Entdeckung einer Schwachstelle

datensicherheit.de, 08.09.2014
Wearable Technology: Tech-Gadgets verraten persönliche Daten und Angewohnheiten / „Tragbare Technologie“ misst neben dem Pulsschlag auch den Kalorienverbrauch, Schlafgewohnheiten oder Bewegung gibt außerdem Aufschluss über den Standort des Trägers

[datensicherheit.de, 08.06.2024] Surfshark hat eine neue Studie veröffentlicht: „Smart Home Privacy Checker“ berichtet über Smart-Home-Geräte sowie deren Apps und die dadurch entstehenden Datenschutzprobleme. Da der Markt für Smart-Home-Geräte weiter wächst, sollten die vorliegenden Studienergebnisse für jeden Nutzer relevant sein: „Die Tech-Giganten Amazon und Google haben die Apps für Smart-Home-Geräte entwickelt, die am meisten Daten zur Eingabe fordern. Amazons ,Alexa’ sammelt 28 von 32 möglichen Datenpunkten, was mehr als das Dreifache des Durchschnitts ist, der von typischen Smart-Home-Geräten gesammelt wird.“

Eine von zehn Smart-Home-Apps verwendet Daten zur Nutzerverfolgung

Eine von zehn Smart-Home-Apps verwendet demnach die gesammelten Daten für die Nutzerverfolgung. Smart-Device-Apps überwachten die Benutzer in erster Linie über ihre Geräte-ID, E-Mail-Adresse und Produktinteraktionen. „Fast ein Drittel der Apps, die Daten verfolgen, verfolgen genau diese persönlichen Informationen.“ Einige Apps hörten damit nicht auf – „sie verfolgen auch den genauen Nutzerstandort“.

Die Überwachungskamera-Apps für den Außenbereich sammelten im Vergleich zu anderen Smart-Home-Geräten die meisten Nutzerdaten: „Im Durchschnitt sammeln sie zwölf Datenpunkte, das sind 50 Prozent mehr als bei anderen Smart-Home-Geräten üblich. Außerdem verknüpfen sie sieben dieser zwölf Punkte mit der Benutzeridentität.“

App-Problem geht über bloße Datenerfassung hinaus und greift in intime Aspekte des Lebens der Nutzer ein

Zwölf Apps hätten seit mindestens einem Jahr keine Einzelheiten über ihre Erfassungspraktiken mitgeteilt. „In einer Zeit, in der Bequemlichkeit häufig Vorrang vor Datenschutzbedenken hat, haben unsere jüngsten Untersuchungen einen beunruhigenden Trend bei den Apps für Smart-Home-Geräte aufgedeckt, vor allem von Tech-Giganten wie Amazon und Google. Es ist wichtig zu verstehen, dass dieses Problem über die bloße Datenerfassung hinausgeht und in die intimen Aspekte des Lebens der Nutzer eingreift, was, wenn es falsch gehandhabt wird, zu Datendiebstahl, Sicherheitsverletzungen und der unerlaubten, unkontrollierten Weitergabe von persönlichen Informationen an Dritte führen kann“, erläutert Goda Sukackaite, die Datenschutzbeauftragte bei Surfshark.

Sie fordert: „Die Nutzer müssen sensibilisiert und in die Lage versetzt werden, ihre digitale Privatsphäre zurückzuerlangen!“ Um der Bedrohung entgegenzuwirken, sollten Einzelpersonen aktiv nach Datenschutzeinstellungen suchen und diese nutzen, App-Berechtigungen hinterfragen und verwalten und sich über die Datensicherheitsrichtlinien der Smart-Home-Geräte informieren, die sie in ihr Leben integrieren möchten.

Weitere Informationen zum Thema:

Surfshark
Smart Home Privacy Checker insights / 1 in 10 smart home apps collected data for user tracking

statista
Number of users of smart homes worldwide from 2019 to 2028

datensicherheit.de, 04.09.2023
Smart-Home-Anwendungen bei über 30 Millionen Deutschen im Einsatz / Smart-Home-Skeptiker sorgen sich vor allem um Datensicherheit

datensicherheit.de, 18.08.2021
Schwachstelle: Millionen Smart-Home-Geräte anfällig für unbefugten Zugriff / Mit dem Internet verbundene Smart-Home-Geräte wie Kameras, Babymonitore und digitale Videorekorder könnten betroffen sein

[datensicherheit.de, 04.04.2024] „Check Point Research“ (CPR), die Threat-Intelligence-Abteilung der Check Point® Software Technologies Ltd., hat nach eigenen Angaben „eine alarmierende Schwachstelle in der Privatsphäre von Dating-Apps“ aufgedeckt. Der Fokus der Untersuchung hat demnach auf der weit verbreiteten „LGBTQ+“-App „Hornet“ gelegen, welche von über zehn Millionen Nutzern heruntergeladen worden sei. CPR habe nachweisen können, „wie der genaue Standort dieser Nutzer mit erschreckender Präzision ermittelt werden kann“. Dies berge erhebliche Risiken – von der Verletzung der Privatsphäre bis hin zu ernsthaften Sicherheitsbedenken für Nutzer dieser Plattform.

Einige Apps können Nutzern die eigene Entfernung zu anderen Nutzern anzeigen

„Dating-Apps bieten die Möglichkeit, mit Menschen in der Nähe in Kontakt zu treten und nutzen in der Regel Standortdaten, um die Chancen auf reale Treffen der Nutzer zu erhöhen. Einige Apps können den Nutzern dabei sogar die eigene Entfernung zu anderen Nutzern anzeigen. Diese Funktion ist sehr nützlich für die Koordinierung von Treffen, da sie anzeigt, ob ein pozentieller Partner nur eine kurze Strecke entfernt, oder etwas weiter weg ist.“

Wenn der eigene Standort offen mit anderen Nutzern geteilt wird, könne dies allerdings zu ernsthaften Sicherheitsproblemen führen. Die Risiken würden deutlich, „wenn man den möglichen Missbrauch durch eine neugierige Person bedenkt, die über Kenntnisse der Trilateration verfügt“.

Mittels Trilateration, ein Messverfahren zur Positionsbestimmung, könnten die Zielkoordinaten bestimmt werden, „indem die Koordinaten mehrerer Punkte und die Entfernung zwischen diesen Punkten und dem Ziel bekannt sind“. In manchen Fällen reiche es aus, die genaue Entfernung zu zwei Punkten und nur die ungefähre Entfernung zu einem dritten Punkt zu kennen.

Nutzern wird empfohlen vorsichtig zu sein, welche Berechtigungen sie Apps gewähren

Trotz der Versuche, den Standort des Nutzers zu schützen, hätten die CPR-Untersuchungen gezeigt, dass der Standort in reproduzierbaren Experimenten bis auf zehn Meter genau habe bestimmt werden können. „Nach der verantwortungsvollen Offenlegung durch CPR haben die ,Hornet’-Entwickler Schritte unternommen, um die Sicherheit der Nutzer zu verbessern und die Genauigkeit der Standortbestimmung auf 50 Meter zu verschlechtern.“

Dennoch werde Nutzern empfohlen vorsichtig zu sein, „welche Berechtigungen sie den Apps, die sie nutzen, gewähren, insbesondere in Bezug auf Standortdienste“. Auch sollten Nutzer sich regelmäßig über die neuesten Sicherheitspraktiken und Updates der von ihnen verwendeten Apps informieren, um die eigene Privatsphäre zu schützen.

„Vor allem bedenklich werden mögliche Sicherheitsverletzungen, wenn diese von Dritten missbraucht werden, um Personen aktiv zu schaden oder die Daten zu verkaufen. Diese Besorgnis ist bei Dating-Apps für Menschen mit diverser Orientierung noch ausgeprägter, da die Verwundbarkeit durch die Tatsache verstärkt wird, dass ,LGBTQ+‘-Leute in einigen Teilen der Welt keine oder wenig Rechte bezüglich ihrer sexuellen Orientierung in Anspruch nehmen können.“ In diesen Regionen sei es keine Wahl, sondern eine entscheidende Notwendigkeit, persönliche Informationen wie die Geolokalisierung privat zu halten.

App-Entwickler haben Maßnahmen ergreifen, um die Sicherheit der Nutzer zu gewährleisten

Frühere Veröffentlichungen von Forschern zu diesem Thema hätten Entwickler dazu veranlasst, Maßnahmen zu ergreifen, um die Sicherheit der Nutzer zu gewährleisten und die Preisgabe der Geolokalisierung zu verhindern.

Gängige Praktiken dazu sind laut CPR:

• Die Rundung geografischer Koordinaten.
• Die Rundung und zufällige Änderung der Entfernung zu Nutzern in Suchergebnissen.
• Die Möglichkeit, die Entfernung zu verbergen.

„Dass diese Versuche Wirkung zeigten, konnte bei erneuten Untersuchungen festgestellt werden, bei welchen die Standorte der Nutzer sehr viel ungenauer festgestellt werden konnten.“

Notwendigkeit eines geschärften Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps

„Diese Untersuchung unterstreicht die Notwendigkeit eines erhöhten Bewusstseins und verbesserter Sicherheitsmaßnahmen bei Dating-Apps“, betont Alexander Chailytko, „Cyber Security, Research & Innovation Manager“ bei Check Point.

Er führt aus: „Da digitale Räume immer mehr zu einem integralen Bestandteil persönlicher Beziehungen werden, müssen Sicherheit und Privatsphäre der Nutzer an erster Stelle stehen.“ CPR fordere App-Entwickler auf, diesen Aspekten Priorität einzuräumen und ermutige die Nutzer, wachsam zu bleiben bezüglich der von ihnen erteilten Berechtigungen und einhergehender Schwachstellen.

Mehr Details und eine genaue Erklärung der sogenannten Trilateration ist im Check-Point-Blog im Beitrag „Not So Private After All: How Dating Apps Can Reveal Your Exact Location“ (s.u.) zu finden.

Weitere Informationen zum Thema:

CHECK POINT, 04.04.2024
RESEARCH / Not So Private After All: How Dating Apps Can Reveal Your Exact Location

[datensicherheit.de, 15.02.2024] Das Bundesamt für Bevölkerungsschutz und Katastrophenhilfe (BBK) teilt in einer aktuellen Meldung mit, dass über die Warn-App „NINA“ nun geographisch genauere Hochwasser-Informationen zur Verfügung stehen. Bisher seien diese jeweils für das ganze Bundesland ausgegeben worden, seit dem 1. Februar 2024 sind demnach nun regionale Informationen möglich. Alle Smartphones mit installierter Warn-App „NINA“ sollen dann eine Benachrichtigung erhalten, wenn für die von den Nutzern ausgewählte Region eine Hochwasser-Information herausgegeben wurde.

Abbildung: BBK

NINA: Mit der Warn-App können jetzt regionale Hochwasser-Warnungen empfangen werden

NINA-Darstellung hydrologischer optimiert

Nutzer der Warn-App „NINA“ können laut BBK fortan regionale Hochwasser-Informationen erhalten – somit geographisch präzisere Informationen zu Hochwasser bzw. drohendem Hochwasser in ihrer Gegend. Hierzu sei insbesondere bei „NINA“ die Darstellung hydrologischer Daten optimiert worden. Bislang seien damit die Hochwasser-Informationen der Landes-Hochwasserzentralen für das gesamte Bundesland ausgegeben worden – „auch wenn nur einzelne Bereiche davon betroffen waren“.

Nunmehr werden auf die jeweilige Region bezogene Hochwasser-Informationen bereitgestellt: „Die herausgebenden Landesämter und -anstalten können diese Hochwasser-Informationen wahlweise für Fluss-Einzugsgebiete bzw. Fluss-Abschnitte innerhalb ihres Bundeslandes oder für ihre Landkreise herausgeben.“ Unberührt davon könnten die zuständigen Gefahrenabwehr- und Katastrophenschutz-Behörden weiterhin Bevölkerungs-Schutzwarnungen vor Hochwasser herausgeben, welche ebenfalls in „NINA“ enthalten seien.

Hochwasserwarnungen erhalten: Bei NINA-Einstellungen muss Funktion aktiviert werden

„Alle Smartphones mit installierter Warn-App ,NINA’ erhalten eine Benachrichtigung, wenn für das ausgewählte Gebiet eine Hochwasser-Information herausgegeben wurde.“ Hierzu müssten Nutzer entweder den aktuellen Standort abonnieren und sich im Einzugsgebiet befinden – „oder sie erhalten eine Benachrichtigung zu einer Hochwasser-Information für einen abonnierten Ort, wenn dieser im Einzugsgebiet liegt“. Wichtig ist dabei laut BBK, dass in den Einstellungen der App die Funktion „Hochwasserwarnungen erhalten“ aktiviert ist.

„Wir entwickeln die Warn-App ,NINA’ kontinuierlich weiter und passen sie auf neue Bedarfe oder technische Neuerungen an“, betont BBK-Präsident Ralph Tiesler. Dabei berücksichtigten sie auch immer die Rückmeldung aus der Bevölkerung, wie in diesem Fall: „Der Wunsch nach einer genaueren Information zu Hochwasser-Gefahren war groß. Ich bin froh, dass wir gemeinsam mit allen beteiligten Akteuren eine gute Lösung gefunden haben, die den Schutz vor Gefahren verbessert und damit das Vertrauen der Bevölkerung in unsere Systeme stärkt.“

NINA zeigt automatisch Hochwasser-Informationen des Länderübergreifenden Hochwasserportals an

Im Hochwasserfall oder bei drohendem Hochwasser würden Landesämter oder -anstalten für Umwelt oftmals fortlaufend hydrologische Lageberichte bzw. Hochwasser-Informationen auf ihren Hochwasser-Portalen veröffentlichen. Diese enthielten zumeist detaillierte Informationen zur jeweiligen Hochwasser-Gefahr der einzelnen Einzugsgebiete. Die deutschen Landesämter oder -anstalten für Umwelt seien an das „Länderübergreifende Hochwasserportal“ (LHP) angeschlossen.

Hinzu kämen das Bundesamt für Seeschifffahrt und Hydrographie als Herausgeber für Sturmflut-Warnungen an den Nord- und Ostseeküsten sowie die Hochwasser-Warn- und -Vorhersagedienste der Anrainerstaaten Frankreich, Luxemburg, Schweiz und Tschechien. Das LHP bündele diese Hochwasser-Informationen und bilde in aktuellen Lagekarten die Gesamtsituation ab. Um nun eine große Reichweite der Informationen zu erzielen, zeige „NINA“ automatisch die Hochwasser-Informationen des LHP an – ebenso die „WarnWetter“-App des DWD.

Weitere Informationen zum Thema:

LHP Länderübergreifendes Hochwasser Portal
Aktuelle Hochwassersituation

BBK Bundesamt für Bevölkerungsschutz und Katastrophenhilfe
Warnung in Deutschland

[datensicherheit.de, 28.09.2023] Kaspersky-Experten haben nach eigenen Angaben eine neue Kampagne des Banking-Trojaners „Zanubis“ aufgedeckt, welcher sich demnach als legitime Apps ausgeben kann. Derzeit tarne er sich als offizielle App der peruanischen Regierungsorganisation SUNAT, um die Kontrolle über angegriffene Geräte zu erlangen. Weiterhin seien zwei Schadprogramme entdeckt worden, welche es explizit auf Krypto-Wallets abgesehen hätten – die kürzlich aufgetauchte Malware ,AsymCrypt‘ und der sich stetig weiterentwickelnde Stealer ,Lumma‘.

Zanubis trat nach Kaspersky-Erkenntnissen erstmalig im August 2022 in Erscheinung

Der „Android“-Banking-Trojaner „Zanubis“ trat laut Kaspersky-Erkenntnissen zum ersten Mal im August 2022 in Erscheinung und zielte anfänglich auf Nutzer von Finanz- und Krypto-Apps in Peru ab. „Er gab sich als legitime ,Android’-App aus, um Anwender dazu zu verleiten, Zugriffsberechtigungen zu erteilen. Im April dieses Jahres gingen die Hintermänner der Malware einen Schritt weiter und tarnten Zanubis als offizielle App der peruanischen Regierungsorganisation SUNAT (Superintendencia Nacional de Aduanas y de Administración Tributaria).“ Dieser Trojaner werde mit Hilfe von „Obfuscapk“ – einem beliebten Obfuskator für „Android“-APK-Dateien – verschleiert. „Sobald er die Erlaubnis für den Gerätezugriff erhält, lädt er mithilfe von ,WebViewer’ eine legitime SUNAT-Website und führt somit das Opfer damit in die Irre.“

Zur Kommunikation mit dem Server verwendet „Zanubis“ „WebSockets“ und die Bibliothek „Socket.IO“. Dadurch könne dieser Trojaner sich individuell an die vorherrschenden Gegebenheiten anpassen und die Verbindung selbst bei auftretenden technischen Problemen aufrechterhalten. „Zanubis“ verfüge nicht über eine feste Liste von Ziel-Apps, sondern könne durch entsprechende Remote-Programmierung Daten bei Ausführung bestimmter Apps stehlen. Darüber hinaus stelle er eine zweite Verbindung her, wodurch Cyber-Kriminelle die volle Kontrolle über ein bestimmtes Gerät erlangen könnten, und sei – getarnt als „Android“-Update – in der Lage, es komplett zu deaktivieren.

Weitere Kaspersky-Entdeckung: AsymCrypt und Lumma zielen auf Krypto-Wallets

„Eine weitere Entdeckung der Kaspersky-Experten ist Cryptor und Loader ,AsymCrypt’, der auf Krypto-Wallets abzielt und in Darknet-Foren verkauft wird.“ Dabei handele es sich um eine weiterentwickelte Version des „DoubleFinger“-Loaders, der vorgebe, zu einem „TOR“-Netzwerkdienst zu führen. Die Käufer von „AsymCrypt“ könnten Injektionsmethoden, Zielprozesse, Startpersistenz und Stub-Typen für schädliche DLLs individuell anpassen – „wodurch sich die Payload in einem verschlüsselten Blob innerhalb eines .png-Bildes, das auf eine Bild-Hosting-Website hochgeladen wird, verstecken lässt“. Bei der Ausführung werde das Bild entschlüsselt und die Payload im Speicher aktiviert.

Zudem seien die Experten von Kaspersky auf den „Lumma“-Stealer gestoßen, einer sich sukzessiv weiterentwickelnden Malware-Familie. Ursprünglich unter dem Namen „Arkei“ bekannt, habe „Lumma“ 46 Prozent seiner früheren Eigenschaften beibehalten. Als .docx-zu.pdf-Konverter getarnt, löse dieser Stealer, sobald hochgeladene Dateien mit der doppelten Erweiterung .pdf.exe zurückkommen, die schädliche Payload aus. Die Hauptfunktionalität aller Varianten habe sich jedoch im Laufe der Zeit nicht verändert – der Diebstahl zwischengespeicherter Dateien, Konfigurationsdateien und Protokollen von Krypto-Wallets. Der „Lumma“-Stealer gebe sich dafür als Browser-Plugin aus, unterstützt aber auch die eigenständige „Binance“-App. Die Entwicklung von „Lumma“ umfasse die Übernahme von Systemprozesslisten, die Änderung von Kommunikations-URLs und die Optimierung von Verschlüsselungstechniken.

Kaspersky sieht in Threat Intelligence eine entscheidende Rolle für betriebliche IT-Sicherheit

„Cyber-Kriminelle sind in ihrem Streben nach finanziellem Gewinn grenzenlos. Sie wagen sich in die Welt der Krypto-Währungen vor und geben sich sogar als staatliche Institutionen aus“, Tatyana Shishkova, leitende Sicherheitsforscherin im „Global Research and Analysis Team“ (GReAT) bei Kaspersky, in ihrem Kommentar. Die sich ständig weiterentwickelnde Malware-Landschaft, wie der facettenreiche „Lumma“-Stealer und „Zanubis“ als vollwertiger Banking-Trojaner zeigten, machten die dynamische Entwicklung solcher Bedrohungen deutlich.

Sicherheitsteams stehen laut Shishkova permanent vor der Herausforderung, sich an ständig verändernde schädliche Codes und cyber-kriminelle Taktiken anzupassen. Um sich vor solchen Gefahren zu schützen, müssten Unternehmen wachsam und gut informiert bleiben. Sie führt abschließend aus: „Threat Intelligence spiele eine entscheidende Rolle, wenn es darum geht, sich über die neuesten schädlichen Tools und Techniken von Angreifern auf dem Laufenden zu halten. Sie ermöglichen es Unternehmen, den Cyber-Kriminellen im ständigen Kampf für digitale Sicherheit einen Schritt voraus zu sein.“

3 Kaspersky-Empfehlungen:

Offline-Backups erstellen, die von Eindringlingen nicht manipuliert werden können!
Dabei müsse im Notfall ein schneller Datenzugriff gesichert ermöglicht werden.

Einen Ransomware-Schutz für alle Endgeräte implementieren!
Z.B. das kostenlose „Kaspersky Anti-Ransomware Tool for Business“, welches Computer und Server vor Ransomware und anderen Arten von Malware schütze, Exploits verhindere und mit bereits installierten Sicherheitslösungen kompatibel sei.

Sicherheitslösungen mit Anwendungs- und Webkontrolle nutzen!
„Kaspersky Endpoint Security for Business“ beispielsweise minimiere die Wahrscheinlichkeit, dass Krypto-Miner unrechtmäßig gestartet werden. Die integrierte Verhaltensanalyse-Funktion helfe darüber hinaus, schädliche Aktivitäten schnell zu erkennen – und der Schwachstellen- und Patch-Manager schütze vor Sicherheitslücken ausnutzenden Krypto-Minern.

Weitere Informationen zum Thema:

SECURELIST by Kaspersky, 28.09.2023
A cryptor, a stealer and a banking trojan

SECURELIST by Kaspersky, 12.06.2023
Sneaky DoubleFinger loads GreetingGhoul targeting your cryptocurrency

[datensicherheit.de, 23.02.2023] „ChatGPT“ genießt offensichtlich derzeit eine enorme Popularität – nun soll OpenAI laut einer aktuellen Meldung von Arctic Wolf ein kostenpflichtiges Angebot („ChatGPT Plus“) eingeführt haben, „das es Nutzern ermöglicht, den ,Chatbot’ ohne Verfügbarkeitsbeschränkungen zu verwenden“. Bedrohungsakteure machten sich dies indes zunutze – „und versprechen uneingeschränkten, kostenlosen Zugang zum ,Premium-ChatGPT’“. Tatsächlich seien diese Angebote aber „betrügerisch“: Diese zielten darauf ab, Nutzer zur Installation von Malware oder zur Angabe von Zugangsdaten zu verleiten.

Foto: Arctic Wolf

Ian McShane: Cyber-Kriminelle nutzen Fake-Versionen von ChatGPT, um Malware für Android und Windows zu verbreiten!

Hype um ChatGPT gigantisch – das lockt auch Cyber-Kriminelle an

„Der Hype um ,ChatGPT’ ist gigantisch, und die Online-App erlebt einen rasanten Anstieg der Nutzerzahlen. Da ist es keine große Überraschung, dass auch Hacker diesen Hype für ihre bösartigen Aktionen nutzen“, kommentiert Ian McShane, „Vice President of Strategy“ bei Arctic Wolf, die gegenwärtige Situation.

Wie schon bei dem Hype-Phänomen „Pokémon Go“ nutzten Cyber-Kriminelle nun auch Fake-Versionen von „ChatGPT“, um Malware für „Android“ und „Windows“ zu verbreiten. Daher sollten Verbraucher sehr vorsichtig sein und jedes Angebot meiden, das zu gut klingt, um wahr zu sein.

„,ChatGPT’ ist ein reines Online-Tool und nur unter, chat.openai.com’ verfügbar“, betont McShane. Derzeit gebe es keine mobilen oder Desktop-Apps für irgendein Betriebssystem. Er stellt klar: „Apps oder Websites, die sich als ,ChatGPT’ ausgeben und versuchen, Nutzer zum Herunterladen von Apps zu verleiten, sind Fakes.“ Diese zielten darauf ab, Geräte und Systeme mit Malware zu infizieren und sollten daher dringend gemieden werden.

ChatGPT ändert nichts an Grundlagen der Cyber-Sicherheit – Cyber-Hygiene in Unternehmen gefragt

Ihn überrascht es nicht, „dass Kriminelle nicht nur den Hype für sich nutzen, sondern auch das Tool selbst, um bösartige Codes zu schreiben“. Es sei ein weiteres Werkzeug, welches die Einstiegshürde für potenziell bösartige Aktivitäten senke. Er führt aus: „In der Vergangenheit erforderte die Erstellung einer sich ständig verändernden Malware ein hohes Maß an Programmierkenntnissen. Jetzt kann fast jeder, der ein Grundverständnis für gegnerische TTPs hat, ,ChatGPT’ in eine potenzielle Waffe verwandeln.“

„ChatGPT“ ändere jedoch nichts an den Grundlagen der Cyber-Sicherheit – und die beste Möglichkeit für Unternehmen, sich gegen diese (und andere) neue Bedrohungen zu schützen, bestehe darin, weiterhin eine gute „Cyber-Hygiene“ zu praktizieren. Sie sollten mit externen Experten zusammenarbeiten, um ihre Cyber-Sicherheit zu verbessern, regelmäßige Systemprüfungen durchführen, neue Technologien einsetzen und ihre Mitarbeiter weiterbilden, „damit sie diese richtig nutzen können“.

Außerdem sollte nicht vergessen werden, dass es in der Welt der Cybersecurity auch positive Anwendungen für „ChatGPT“ gibt. McShane erläutert: „So könnte es beispielsweise zur Automatisierung der Analyse von Protokolldateien oder zur Erstellung von Berichten verwendet werden. Sicherheitsteams können ,ChatGPT’ auch nutzen, um Phishing-E-Mails oder Social-Media-Nachrichten zu generieren, um ihre Verteidigungsmaßnahmen zu testen.“ Zum Abschluss unterstreicht McShane, dass all dies zur Verbesserung der Effektivität der Cyber-Sicherheit in Unternehmen beitrage.

Weitere Informationen zum Thema:

datensicherheit.de, 22.02.2023
ChatGPT: Malware-Kampagne missbraucht Hype / Malware ermöglicht Diebstahl von Login-Daten und persönlichen Informationen

datensicherheit.de, 09.02.2023
ChatGPT: Gefahren und Grenzen der KI / Verteidiger müssen auf dem Stand der Technik und des Wissens sein

datensicherheit.de, 08.02.2023
Zum SAFER INTERNET DAY 2023: LfDI Rheinland-Pfalz nimmt Stellung zu KI und ChatGPT / ChatGPT nur ein Beispiel, wie KI-Systeme sich mehr und mehr in digitalen Anwendungen unseres Alltags finden

datensicherheit.de, 17.02.2023
Betrug mittels KI: Chatbots und Text-to-Speech bergen neben Vorteilen auch potenzielle Gefahren / Auf dem Gebiet der KI hat sich in den letzten Monaten viel getan – so sorgt derzeit vor allem ChatGPT für Aufsehen

[datensicherheit.de, 11.01.2022] Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) hat nach eigenen Angaben davon Kenntnis erlangt, „dass die Staatsanwaltschaft Mainz zusammen mit der lokalen Polizeibehörde und dem örtlichen Gesundheitsamt über die ,LUCA‘-App erfasste Kontaktdaten von Besuchern einer Mainzer Gastwirtschaft zu Ermittlungszwecken erhoben und genutzt hat“ – es seien umgehend aufsichtsrechtliche Verfahren eingeleitet worden.

Eindeutige Rechtslage zur datenschutzrechtlich unzulässigen Abfrage und Nutzung der LUCA-App-Daten…

Der LfDI RLP möchte demnach insbesondere die Umstände geklärt wissen, welche ungeachtet der eindeutigen Rechtslage zu der „datenschutzrechtlich unzulässigen Abfrage und Nutzung“ der ausschließlich zu Infektionsschutzzwecken erfassten Kontaktdaten geführt haben. Entsprechende Informationsersuchen seien bereits versendet worden.

Hintergrund sei ein Vorfall aus dem November 2021: „Nachdem vor einer Mainzer Gastwirtschaft ein 39-jähriger Mann mit schwersten Kopfverletzungen aufgefunden wurde, ersuchten die zuständigen Strafermittlungsbehörden das Gesundheitsamt um Bereitstellung der über die ,LUCA‘-App von dem Betreiber der Gastwirtschaft zu dem vermuteten Tatzeitpunkt erfassten Kontaktdaten.“

Gesundheitsamt hat Daten übermittelt, welche auf Anfrage vom LUCA-App-Betreiber zur Verfügung gestellt wurden

Das Gesundheitsamt sei dieser Aufforderung nachgekommen und habe die Daten von 21 Personen übermittelt, welche der Behörde auf Anfrage von dem App-Betreiber zur Verfügung gestellt worden seien. Die Betroffenen seien dann von der Polizei kontaktiert und zu dem Vorfall befragt worden. Mittlerweile hätten die beteiligten Behörden die Unzulässigkeit der erfolgten Datenverarbeitung eingeräumt.

„Für mich ist es zunächst einmal besorgniserregend, dass sowohl Staatsanwaltschaft als auch Gesundheitsamt die bereits vor einiger Zeit geänderte Rechtslage im Infektionsschutzgesetz und damit zusammenhängende datenschutzrechtliche Bestimmungen offensichtlich nicht kannten oder sich darüber hinweg gesetzt haben“, so der Kommentar des LfDI RLP, Prof. Dr. Dieter Kugelmann, zu diesem Vorfall.

Vorgehen im LUCA-App-Fall erschüttert Vertrauen der Bürger in Rechtmäßigkeit staatlichen Handelns

Aus § 28a Abs. 4 Satz 3 des Infektionsschutzgesetzes gehe eindeutig hervor, dass zum Zwecke des Infektionsschutzes erfasste Kontaktdaten lediglich zur Kontaktnachverfolgung verarbeitet werden dürften und eine anderen Zwecken dienende Datenverwendung unzulässig sei.

Professor Kugelmann warnt: „Das Vorgehen erschüttert das Vertrauen der Bürger in die Rechtmäßigkeit staatlichen Handelns und ist gerade in Zeiten einer die Gesellschaft als Ganzes herausfordernden ,Pandemie‘ das völlig falsche Signal.“ Er kündigt an, nach Aufklärung des Sachverhaltes die Ausübung sämtlicher ihm datenschutzrechtlich zur Verfügung stehender Befugnisse zu prüfen.

[datensicherheit.de, 01.11.2021] „Es kommt sicher nicht überraschend, aber Wetter-Apps sind perfekte Datensammler“, warnt die Suchmaschine „Startpage“ in einer aktuellen Stellungnahme – jeder nutze sie, meist seien sie vorinstalliert, und sie seien ein Garant für zuverlässige Standort-Daten, die sich optimal mit Wetter-Tracking verbinden ließen. Indes: „Die beliebteste Wetter-Seite ,wetter.de‘ beispielsweise sammelt bei einem Seitenaufruf bis zu 45 Trackers und 10 Cookies.“

MOBILSICHER auf der Suche nach Wetter-App-Datenkraken

„MOBILSICHER – Das Infoportal für sichere Mobilnutzung“ hat demnach kürzlich eine Reihe deutscher Wetter-Apps untersucht und habe bestätigt, „dass Standortdaten und weitere Informationen oftmals bei Drittanbietern und Werbepartnern landen“.

Startpage – als sicherste Datenschutz-Suchmaschine geltend – bietet jetzt auch Wetter-Widget

Die Alternative nach eigenen Angaben: „Ab sofort bietet ,Startpage‘, die sicherste Datenschutz-Suchmaschine, auch ein Wetter-Widget.“ Dabei würden weder IP-Adresse, Standort oder sonstige persönliche Daten während der Suche geteilt oder gespeichert. Die Ergebnisse stammten aus einer Partnerschaft mit „Tomorrow.io“ und böten alle typischen Features, wie:

• stündliche Wetterangabe
• 7-Tage-Vorhersage
• UV-Index
• Luftqualitätsindex (AQI)
• Zeit des Sonnenaufgangs/ Sonnenuntergangs
• Mondphase
• Niederschlag (stündlich)
• Windgeschwindigkeit (stündlich)

Auch die App „OpenWeather“ und die App des Deutschen Wetterdienstes ,„WarnWetter“, kämen laut „MOBILSICHER” ohne Tracker aus.

Weitere Informationen zum Thema:

datensicherheit.de, 28.08.2020
Kontaktdaten: Risiken auch bei Erfassung mit Apps und Webservern

MOBILSICHER – Das Infoportal für sichere Mobilnutzung
Apps gecheckt: Wetter-Apps (Android)

Startpage, 01.11.2021
Mit der neuen Wetter-Funktion von Startpage sind Tracker Schnee von gestern

[datensicherheit.de, 08.09.2021] Malwarebytes berichtet in einer aktuellen Stellungnahme, dass „wer bereits eine gesunde Skepsis hegt, dass der Datenschutz bei der Smartphone-Nutzung zu wünschen übrig lässt“, durch den zufälligen Fund des Malwarebytes-Sicherheitsexperten Pieter Arntz bestätigt werde.

Laut Malwarebytes wurde Arntz über Aufenthaltsorte seiner Frau auf dem Laufenden gehalten

Arntz musste demnach nämlich feststellen, dass er den Aufenthaltsort seiner Frau ausspionieren konnte – ohne Spionage-Tool, völlig kostenlos. Übeltäter sei hierbei das Google-Account gewesen. Er habe auf dem „Android“-Smartphone seiner Frau eine App installiert und sich zu diesem Zweck auf dem Gerät in seinem Google-Account eingeloggt:
„In der Folge hielt ihn sein eigenes ,Android‘-Smartphone über die Aufenthaltsorte seiner Frau auf dem Laufenden. Einziger Hinweis für seine Frau auf die ungewollte Überwachung war das Profilbild seines angemeldeten Kontos, wenn sie die ,Google Play‘-App verwendete.“ Selbst nach dem Ausloggen aus „Google Play“ am Smartphone seiner Frau habe er weiterhin regelmäßig Updates über ihren Standort erhalten.
Nach weiterem Nachforschen habe er herausgefunden, dass sein „Google Account“ jedes Mal zu den Smartphone-Accounts seiner Frau hinzugefügt werde, wenn er sich im „Google Play Store“ einloggt, „aber nicht entfernt wird, wenn er sich wieder ausloggt“.

Malwarebytes Gründungsmitglied der Koalition gegen Stalkerware

Malwarebytes ist nach eigenen Angaben eines der Gründungsmitglieder der Koalition gegen Stalkerware (CAS) – mit dem Ziel, Menschen vor Spionage zu schützen.
Malware-Scanner seien jedoch darauf beschränkt, Anwendungen zu finden, welche „den Benutzer ausspionieren und die Informationen an andere Stellen weiterleiten“. Dies treffe in diesem Fall nicht zu, denn es handele sich hierbei nicht um eine Form von Stalkerware, und es werde auch nicht versucht, die Zustimmung des Benutzers zu umgehen. „Vielmehr ist es ein Fehler im Design.“
Eva Galperin, Direktorin für Cyber-Sicherheit der Electronic Frontier Foundation und auch Gründungsmitglied der CAS, findet, dass dieser Fehler zeige, warum es für Technologieentwickler so wichtig sein müsse, Situationen häuslicher Gewalt bei der Produktentwicklung zu berücksichtigen. Der Begriff „Tech-enabled abuse“ habe sich zu der Problematik bereits etabliert.

Malwarebytes empfiehlt Löschung fremden Google-Kontos vom Smartphone

„Die Sicherheitslücke macht deutlich, wie wichtig Qualitätssicherung und Benutzertests sind, die auch Situationen häuslichen Missbrauchs berücksichtigen und die Weitergabe von Standortdaten ernst nehmen“, betont Galperin und führt weiter aus: „Eine der gefährlichsten Situationen bei häuslicher Gewalt ist die Zeit, in der das Opfer versucht, ihr digitales Leben von dem des Täters zu trennen. Das ist eine Zeit, in der die Daten des Opfers besonders anfällig für diese Art von Fehlkonfigurationen sind, und die möglichen Folgen sind sehr ernst.“
Google habe das Problem bisher nicht als Fehler deklariert. „Darum besteht aktuell die einzige Möglichkeit, sich zu schützen, in der Überprüfung, welche Konten auf einem Smartphone hinzugefügt wurden.“ Bisher sei nicht eindeutig, ob es auch andere Apps gebe, „die mit dem Google-Konto und nicht mit dem Smartphone verknüpft sind“. Auch diese Apps könnten andere Personen als der Besitzer dazu nutzen, Informationen abzufragen.
Unter „Einstellungen > Konten und Backups > Konten verwalten“ werde das Google-Konto aufgelistet. Nach dem Klick auf das zu entfernende Konto werde die entsprechende Option angezeigt. „Nachdem Arntz sein Google-Konto vom Smartphone seiner Frau entfernte, wurden auch die Standortdaten nicht mehr geteilt.“

Weitere Informationen zum Thema:

datensicherheit.de, 29.07.2021
Манифест.docx – Malwarebytes warnt vor neuer Cyber-Doppel-Attacke

Malwarebytes LABS, Pieter Arntz, 01.09.2021
Google Play sign-ins can be abused to track another person’s movements

[datensicherheit.de, 30.06.2021] Check Points Sicherheitsforscher haben sich nach eigenen Angaben wegen aufflammender Diskussionen um den Datenschutz die „Voila“-App flüchtig angeschaut und ziehen ein positives Fazit – allerdings mit einem „großen Wermutstropfen“: Fotos werden demnach nämlich mit der Installations-ID des Smartphones verbunden und sind somit nicht anonymisiert.

Foto: Check Point

Yaniv Balmas: Nutzer sollten sich des Voila-Risikos bewusst sein

Voila erstellt aus dem Nutzer-Foto einen Zeichentrick-Avatar

„Die Anwendung ,Voila‘ ist in der Lage, aus dem Foto eines Nutzers einen Zeichentrick-Avatar zu erstellen. Dieser Cartoon mag oft lustig oder süß aussehen und der Vorgang vielen Menschen Spaß machen, doch aus er Freude kann schnell Leid werden, falls die App inkorrekt mit den Nutzerdaten und deren Absicherung umgeht“, berichtet Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH. Es gebe bereits Diskussionen über den Datenschutz bezüglich dieses Programms.
Balmas führt aus: „Wir haben uns die Anwendung kurz angeschaut und folgende Bedenken sind zu äußern: ,Voila‘ sendet die Porträts der Nutzer an seinen Server für die Verarbeitung; diese werden nicht lokal auf dem Telefon bearbeitet, wie wahrscheinlich viele Menschen denken.“ Im Zuge dessen vermerke die App allerdings die besondere und zu­or­den­bare Installation-Identifikation (vdid, ID), welche unter „Android“-Systemen von „Google Play“ erstellt und mit dem Smartphone des Nutzers verbunden werde. Somit seien die Fotos an diese ID gebunden und die Gesichtsbilder der Nutzer damit identifizierbar, würden also nicht anonymisiert übertragen und bearbeitet – „dies steht allerdings ehrlich in den Datenschutzbestimmungen des Unternehmens“.

Hacker könnten Interesse an Voila-Datenbank finden

Geschieht nun aber eine virtuelle Attacke durch irgendeine Art von Hacker-Gruppierung, liege die Gefahr auf der Hand, denn ID und zugehöriges Foto des Gesichts könnten gestohlen und zu verschiedenen Zwecken missbraucht werden. Balmas warnt: „Sie lockt eine große Datenbank von oft hochaufgelösten Porträts mit eindeutiger Identifikation des jeweiligen Menschen.“
Darüber hinaus könnte auch das Unternehmen selbst, oder eine angehängte Firma, diese Informationen für weitere Zwecke ausschlachten, welche den Nutzern kaum recht sein dürften. „Diesem Risiko sollten sich alle Nutzer oder Neulinge der Anwendung bewusst sein.“

Voila-Entwickler haben indes bei der Datensicherheit vieles richtig gemacht

Gut an dieser Anwendung seien diese Merkmale: „Sie wurde von einer registrierten und somit gesetzlich genehmigten LLP-Firma in Großbritannien geschrieben und verlangt nur das Minimum an Zugriffsrechten und Berechtigungen auf dem Smartphone, welche für die Funktionen notwendig sind.“ Diese App stelle sicher, dass auf dem Bild nur ein Gesicht zu sehen sei, sonst nichts, und schicke erst nach einer Bestätigung die Bilder an den Server.
Die Kommunikation mit dem Server werde durch HTTPS verschlüsselt und sei somit ab Werk geschützt. „Voila“ nutze außerdem bekannte Open-Source-Bibliotheken für die Programmzeilen – soweit möglich. „Somit lässt sich nach unserer kleinen Untersuchung zusammenfassen, dass die Entwickler der Anwendung vieles richtig gemacht haben, um die Privatsphäre und Daten der Nutzer zu schützen. Allerdings bleibt ein großer Wermutstropfen bezüglich der Verknüpfung von Fotos mit der ID, wodurch Nutzer enttarnt werden können“, kommentiert Balmas.

Weitere Informationen zum Thema:

cnet, Jessica Dolcourt, 23.06.2021
Voila AI artist, the app that turns you into a Pixar-worthy cartoon avatar, is taking over social media