[datensicherheit.de, 06.08.2021] Sicherheitsforscher von Check Point melden nach eigenen Angaben „eine gefährliche Sicherheitslücke im berühmten e-book-Lesegerät ,Amazon Kindle‘“. Es sei möglich gewesen, über ein verseuchtes e-book sehr einfach das Gerät selbst und sogar das verknüpfte Amazon-Konto des Nutzers zu übernehmen.

Beliebtes Lesegerät Amazon Kindle könnte durch sehr einfachen Hack übernommen werden

Check Point Software Technologies Ltd. hat demnach eine gefährliche Sicherheitslücke im „Amazon Kindle“ gefunden. „Das beliebte Lesegerät für e-books konnte durch einen sehr einfachen Hack übernommen werden, wodurch die Angreifer sogar in den Besitz des vollständigen Amazon-Kontos gelangt wären, sollte der Nutzer keine Zwei-Faktor-Authentifizierung eingerichtet haben.“ Außerdem hätten alle Daten des Geräts ausgelesen werden können, wozu die Passwörter gehörten.
Die Attacke beginne mit einem verseuchten e-book: Die Hacker versteckten in einem solchen ihre Malware oder „Payload“ und böten es zum Herunterladen an. „Wer darauf drückt, aktiviert ungewollt die schädlichen Befehlszeilen, die das ,Kindle‘-Gerät knacken und den Bildschirm des Nutzers sperren.“
Fortan hätten die Angreifer vollen Zugriff auf das Gerät und könnten darüber das verknüpfte Amazon-Konto übernehmen. Gegen letzteres helfe nur eine Zwei-Faktor-Authentifizierung. Besonders perfide bei dieser Attacke: „Da es sich um Bücher handelt, können über Sprache und Inhalt der verseuchten Pseudo-Ware die Opfer sehr gut ausgewählt werden, zum Beispiel nach Herkunft oder Alter.“

Alle auf dem Amazon Kindle gespeicherten Informationen hätten gestohlen werden können

„Amazon wurde von Check Point informiert und hat die Lücke geschlossen.“ Das Update 5.13.5 vom April 2021 werde bei bestehender Internet-Verbindung automatisch installiert. Check Point stelle die Nachforschung außerdem auf der „Def Con“ in Las Vegas vor und habe ein kurzes Video zur Demonstration dieses Hacks erstellt.
Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH, führt aus: „Wir haben im ,Kindle‘ einige Schwachstellen gefunden, die es einem Angreifer ermöglicht hätten, die volle Kontrolle über das Gerät zu übernehmen. Indem er ,Kindle‘-Nutzern ein bösartiges E-Book unterjubelt, hätte ein Angreifer alle auf dem Gerät gespeicherten Informationen stehlen können, von der Anmeldung des Amazon-Kontos hin zu Rechnungsdaten. ,Kindle‘-Geräte werden, wie andere IoT-Geräte, oft als harmlos angesehen und als Sicherheitsrisiko vernachlässigt.“
Ihre Forschung zeige jedoch, „dass jedes elektronische Gerät letztendlich eine Art von Computer ist und als solche sind diese IoT-Geräte für dieselben Angriffe anfällig wie vollwertige Computer“, warnt Balmas.

Amazon Kindle erlaubt Hackern hohen Grad der Opfer-Spezifität

Jeder sollte sich der Cyber-Risiken bewusst sein, welche bei der Verwendung digitaler, mit dem Internet verbundener Geräten bestünden, insbesondere bei so allgegenwärtigen Geräten wie dem „Kindle“ von Amazon.
„Was uns in diesem Fall am meisten beunruhigte, war der Grad der Opfer-Spezifität. Die Sicherheitslücken ermöglichen es einem Angreifer nämlich ein bestimmtes Publikum anzusprechen. Um ein willkürliches Beispiel zu nennen: Wenn ein Angreifer rumänische Bürger ins Visier nehmen wollte, bräuchte er nur eine kostenlose Fälschung eines dort beliebten E-Books in rumänischer Sprache zu veröffentlichen. Von da an könnte der Hacker ziemlich sicher sein, dass beinahe alle seiner Opfer tatsächlich Rumänen sind – dieser Grad an Spezifität bei Angriffen ist in der Welt der Cyber-Kriminalität und Cyber-Spionage sehr begehrt“, so Balmas. In den falschen Händen könnten diese Fähigkeiten ernsthaften Schaden anrichten, „was uns große Sorgen bereitet“.
Amazon sei während ihres koordinierten Offenlegungsprozesses kooperativ gewesen – „und wir sind froh, dass sie einen Patch für diese Sicherheitslücken bereitgestellt haben“.

Weitere Informationen zum Thema:

datensicherheit.de, 22.06.2021
IoT-Geräte im Gesundheitswesen: Check Point warnt vor Zunahme von Angriffen

Check Point Software Technologies, Ltd. auf YouTube, 06.08.2021
Amazon Kindle Vulnerabilities Could Have Led Threat Actors to Device Control and Information Theft

Voila-Fotos mit Installations-ID des Smartphones verbunden und somit nicht anonymisiert

[datensicherheit.de, 30.06.2021] Check Points Sicherheitsforscher haben sich nach eigenen Angaben wegen aufflammender Diskussionen um den Datenschutz die „Voila“-App flüchtig angeschaut und ziehen ein positives Fazit – allerdings mit einem „großen Wermutstropfen“: Fotos werden demnach nämlich mit der Installations-ID des Smartphones verbunden und sind somit nicht anonymisiert.

Foto: Check Point

Yaniv Balmas: Nutzer sollten sich des Voila-Risikos bewusst sein

Voila erstellt aus dem Nutzer-Foto einen Zeichentrick-Avatar

„Die Anwendung ,Voila‘ ist in der Lage, aus dem Foto eines Nutzers einen Zeichentrick-Avatar zu erstellen. Dieser Cartoon mag oft lustig oder süß aussehen und der Vorgang vielen Menschen Spaß machen, doch aus er Freude kann schnell Leid werden, falls die App inkorrekt mit den Nutzerdaten und deren Absicherung umgeht“, berichtet Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH. Es gebe bereits Diskussionen über den Datenschutz bezüglich dieses Programms.
Balmas führt aus: „Wir haben uns die Anwendung kurz angeschaut und folgende Bedenken sind zu äußern: ,Voila‘ sendet die Porträts der Nutzer an seinen Server für die Verarbeitung; diese werden nicht lokal auf dem Telefon bearbeitet, wie wahrscheinlich viele Menschen denken.“ Im Zuge dessen vermerke die App allerdings die besondere und zu­or­den­bare Installation-Identifikation (vdid, ID), welche unter „Android“-Systemen von „Google Play“ erstellt und mit dem Smartphone des Nutzers verbunden werde. Somit seien die Fotos an diese ID gebunden und die Gesichtsbilder der Nutzer damit identifizierbar, würden also nicht anonymisiert übertragen und bearbeitet – „dies steht allerdings ehrlich in den Datenschutzbestimmungen des Unternehmens“.

Hacker könnten Interesse an Voila-Datenbank finden

Geschieht nun aber eine virtuelle Attacke durch irgendeine Art von Hacker-Gruppierung, liege die Gefahr auf der Hand, denn ID und zugehöriges Foto des Gesichts könnten gestohlen und zu verschiedenen Zwecken missbraucht werden. Balmas warnt: „Sie lockt eine große Datenbank von oft hochaufgelösten Porträts mit eindeutiger Identifikation des jeweiligen Menschen.“
Darüber hinaus könnte auch das Unternehmen selbst, oder eine angehängte Firma, diese Informationen für weitere Zwecke ausschlachten, welche den Nutzern kaum recht sein dürften. „Diesem Risiko sollten sich alle Nutzer oder Neulinge der Anwendung bewusst sein.“

Voila-Entwickler haben indes bei der Datensicherheit vieles richtig gemacht

Gut an dieser Anwendung seien diese Merkmale: „Sie wurde von einer registrierten und somit gesetzlich genehmigten LLP-Firma in Großbritannien geschrieben und verlangt nur das Minimum an Zugriffsrechten und Berechtigungen auf dem Smartphone, welche für die Funktionen notwendig sind.“ Diese App stelle sicher, dass auf dem Bild nur ein Gesicht zu sehen sei, sonst nichts, und schicke erst nach einer Bestätigung die Bilder an den Server.
Die Kommunikation mit dem Server werde durch HTTPS verschlüsselt und sei somit ab Werk geschützt. „Voila“ nutze außerdem bekannte Open-Source-Bibliotheken für die Programmzeilen – soweit möglich. „Somit lässt sich nach unserer kleinen Untersuchung zusammenfassen, dass die Entwickler der Anwendung vieles richtig gemacht haben, um die Privatsphäre und Daten der Nutzer zu schützen. Allerdings bleibt ein großer Wermutstropfen bezüglich der Verknüpfung von Fotos mit der ID, wodurch Nutzer enttarnt werden können“, kommentiert Balmas.

Weitere Informationen zum Thema:

cnet, Jessica Dolcourt, 23.06.2021
Voila AI artist, the app that turns you into a Pixar-worthy cartoon avatar, is taking over social media

Hoffnung der Sicherheitsforscher, dass mittlerweile alle Anwender der Instagram-App die Patches installiert haben

[datensicherheit, 26.09.2020] Laut einer aktuellen Meldung von Check Point soll es eigenen Sicherheitsforschern gelungen sein, die Smartphone-App für „Instagram“ zu knacken und so das Konto wie auch das Gerät zu übernehmen und zu überwachen. Yaniv Balmas, „Head of Cyber Research“ bei Check Point Software Technologies, geht in seiner Stellungnahme auf diese Entdeckung ein. Die Schwachstelle sei von Check Point bereits vor sechs Monaten entdeckt und an facebook, den Eigner von „Instagram“, gemeldet worden. Die Lücke sei bald darauf geschlossen worden, doch Check Point habe sich zur langen Wartezeit entschieden, um keine Nutzer zu gefährden. Die Sicherheitsforscher hofften nun, „dass mittlerweile alle Anwender die Patches installiert haben“. facebook habe die Lücke als CVE-2020-1895 aufgenommen.

Bild: Check Point

Yaniv Balmas: Programmdatenbanken von Drittanbietern können gefährliches Einfallstor sein!

Social-Media-Plattform Instagram unter die Lupe genommen und gefährliche Schwachstelle gefunden

Sicherheitsforschern von Check Point ist es demnach gelungen, mit Malware verseuchte Bilder einzusetzen, um die „Instagram“-App auf Smartphones zu attackieren. Der Diebstahl von Konten und die Überwachung des Mobilgeräts des potenziellen Opfers seien dadurch möglich geworden.
Sie hätten die beliebte Social-Media-Plattform „Instagram“ unter die Lupe und eine gefährliche Schwachstelle gefunden. „Mithilfe eines verseuchten Fotos konnten die Experten Nutzerkonten stehlen und Mobilgeräte überwachen.“ „Instagram“ zähle derzeit über eine Milliarde Nutzer auf der Welt.

Daten-Verlust möglich: Hacker könnte Instagram-App abstürzen lassen und dem Nutzer Zugriff verwehren

Der Vorgang sei denkbar einfach: Angreifer hätten lediglich ein infiziertes Bild an einen Nutzer über E-Mail, „WhatsApp“ oder „MMS“ schicken müssen – oder über eine andere Plattform ihrer Wahl. „Sobald der Anwender das Bild speichert (was bei ,WhatsApp‘ unter Werkseinstellungen automatisch geschieht) und die ,Instagram‘-App auf seinem Smartphone öffnet, wird die Malware hinter dem Bild aktiviert.“
Auf diese Weise erhalte der Angreifer volle Kontrolle über das Mobilgerät des Opfers, um es fernzusteuern. Daraufhin eröffneten sich ihm verschiedene Möglichkeiten: Der Hacker könnte die „Instagram“-App abstürzen lassen und dem Nutzer solange den Zugriff darauf verwehren, bis diese gelöscht und erneut installiert wird, was zu Daten-Verlust führen könne.

Hacker hätten Zugang zum Nutzerkonto des Opfers bei Instagram gewinnen und dessen Nachrichten sowie Bilder einsehen können

Außerdem erlange der Hacker den Zugang zum Nutzerkonto des Opfers bei „Instagram“ und könne dessen Nachrichten und Bilder einsehen, Fotos löschen und neue veröffentlichen, sowie die Profildaten ändern.
Schließlich könne er das Smartphone in eine Wanze verwandeln, weil die „Instagram“-App enorm viele Zugriffsberechtigungen auf verschiedene Funktionen des Smartphones fordere. „Das kommt dem Angreifer sehr gelegen, denn so erhält er Einsicht in die Kontakte, den GPS-Standort, die gespeicherten Dateien und kann die Kamera auslesen“, warnt Balmas.

Konkrete Sicherheitslücke wurde in Mozjpeg (Open-Source-Decoder für jpeg-Bilder) gefunden

Die konkrete Sicherheitslücke hätten die Sicherheitsforscher in „Mozjpeg“, einem Open-Source-Decoder für jpeg-Bilder, gefunden, den „Instagram“ nutze, um Bilder in die Anwendung zu laden. Aus diesem Grund warnten die Experten alle Entwickler davor, solche Drittanbieter-Programme einzusetzen, ohne eingehend deren Sicherheit zu prüfen.
„Zum einen ergaben unsere Nachforschungen, dass die Programmdatenbanken von Drittanbietern ein gefährliches Einfallstor sein können. Daher empfehlen wir allen Entwicklern diese Software umfangreich zu prüfen, bevor sie eingebunden wird und die gesamte App-Struktur gefährdet. Solche Drittanbieter-Programme aus Open-Source-Quellen sind weit verbreitet. Außerdem raten wir allen Nutzern dringend, sich darüber zu informieren, welche oft weitreichenden Berechtigungen eine App bei der Installation erfordert. Das ist die stärkste Verteidigungslinie gegen Smartphone-Attacken“, erklärt Balmas.

Weitere Informationen zum Thema:

Check Point Blog
#InstaHack: how researchers were able to take over the Instagram App using a malicious image

cp<r> CHECK POINT RESEARCH, Gal Elbaz, 24.09.2020
#Instagram_RCE: Code Execution Vulnerability in Instagram App for Android and iOS

datensicherheit.de, 16.08.2018
Instagram-Hacking-Welle: Phishing möglicher Angriffsvektor / Phishing-Angriffe Ende Juli signifikant gestiegen

Extrem kritische Schwachstellen in Qualcomm DSPs entdeckt, die zu über 400 Sicherheitslücken in Android-Smartphones führen

[datensicherheit.de, 06.08.2020] Sicherheitsforscher bei Check Point haben nach eigenen Angaben „extrem kritische Schwachstellen in den ,Qualcomm DSPs‘ entdeckt, die zu über 400 Sicherheitslücken in ,Android‘-Smartphones führen“. Diese Schwachstellen seien „dermaßen gefährlich, dass Check Point die vollständigen technischen Details zurückhält, um die Nutzer nicht zu gefährden“. Der ausführliche Blog-Artikel „Achilles: Small chip, big peril. Over 400 vulnerabilities on Qualcomm’s Snapdragon chip threaten mobile phones’ usability worldwide“ soll am Abend des 7. August 2020 – nach dessen Präsentation auf der „DefCon“ – publiziert werden.

Foto: Check Point

Yaniv Balmas: Monate oder sogar Jahre, bis Schwachstellen vollständig entschärft sind…

Der Chip ist in fast 40 Prozent aller Smartphones weltweit verbaut

Die Sicherheitsforscher bei Check Point haben demnach Hunderte Sicherheitslücken im Code von „Qualcomm’s Digital Signal Processor“ (DSP) gefunden – einem Chip, der in fast 40 Prozent aller Smartphones weltweit verbaut sei. Sie sähen darin „eine Bedrohung, die über Monate oder Jahre bestehen wird, weil die Behebung kompliziert ist“.
Es handle sich um „signifikante Schwachstellen in Smartphone-Prozessoren“ von Qualcomm – Chips dieses Herstellers finden sich laut Check Point unter anderem in Geräten der Firmen Google, Samsung, LG, Xiaomi und OnePlus. Geräte von Apple seien nicht betroffen, da sie auf andere CPUs setzten.

Alle betroffenen Smartphone-Hersteller über Schwachstellen CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 und CVE-2020-11209 informiert

„Check Point übermittelte die Suchergebnisse verantwortungsbewusst an die Firma Qualcomm, die wiederum alle betroffenen Smartphone-Hersteller benachrichtigte über die Schwachstellen CVE-2020-11201, CVE-2020-11202, CVE-2020-11206, CVE-2020-11207, CVE-2020-11208 und CVE-2020-11209.“
Dennoch bestehe weiterhin Gefahr durch das „DSP-Gate“, „solange die Anbieter keine einheitliche Lösung dieses Problems erarbeitet haben“. Aus diesem Grund verzichtet Check Point darauf, „technische Details bekannt zu geben, um Hackern keinen Hinweis zu liefern“. Gleichzeitig biete Check Point jedem interessierten Sicherheitshersteller die Zusammenarbeit an.

Einmal auf dem Smartphone, ist der Angriff kaum noch zu stoppen

Das Ausnutzen der Schwachstellen benötige lediglich der Installation einer einfachen Applikation, entweder durch falsche Links oder „Social Engineering“. Einmal auf dem Smartphone, sei der Angriff kaum noch zu stoppen. Die Art der Schwachstelle erlaube es Hackern, die Kontrolle über das angegriffene Smartphone vollständig zu übernehmen. Die möglichen Folgen sind laut Check Point:

Ihr Telefon spioniert Sie aus
Angreifer könnten das Gerät in ein perfektes Werkzeug zur Spionage verwandeln, ohne Interaktion oder Wissen des Benutzers. Zu den Informationen, die gestohlen werden können, gehören demnach: Fotos, Videos, Gesprächsaufzeichnungen, Echtzeit-Mikrofondaten, GPS- und Standortdaten, Bewegungsdaten und vieles mehr.

Ihr Telefon reagiert nicht mehr
Angreifer könnten die Schwachstellen ausnutzen, um das Smartphone ständig stillzulegen. Alle auf diesem Telefon gespeicherten Informationen – einschließlich Fotos, Videos, Kontaktdaten usw. – seien dauerhaft nicht mehr verfügbar.

Ihr Telefon versteckt Aktivitäten der Hacker
Malware und anderer Schad-Code könnten sich, ebenso wie die manuellen Aktivitäten eines Hackers, vollständig verbergen lassen und nicht mehr entfernt werden.

Hunderte Millionen von Smartphones einem Risiko ausgesetzt

„Obwohl Qualcomm das Problem gelöst hat, ist es leider nicht das Ende der Geschichte. Hunderte Millionen von Telefonen sind diesem Risiko ausgesetzt. Die Nutzer können ausspioniert werden und alle Daten verlieren. Unsere Prüfung verdeutlicht das komplexe ,Ökosystem‘ in der mobilen Welt: Die lange Lieferkette jedes einzelnen Smartphones führt dazu, dass tief verborgene Probleme in den Geräten zu finden sind. Sie zu beheben ist jedoch schwierig“, warnt Yaniv Balmas, „Head of Cyber Research“ bei der Check Point Software Technologies GmbH.
„Wir gehen darum davon aus, dass es Monate oder sogar Jahre dauern wird, diese Schwachstellen vollständig zu entschärfen, denn abgesehen vom Hersteller kann niemand tiefgehend das Design, die Funktionen oder den Quell-Code solcher Chips überprüfen“, so Balmas. Bis dahin werde es Millionen von Anwendern geben, die für sehr lange Zeit kaum eine Möglichkeit hätten, sich zu schützen. Spezialisierte Sicherheitslösungen für Mobilgeräte seien aber ein guter Ansatz, um das Gröbste zu verhindern.

Weitere Informationen zum Thema:

cp<r> CHECK POINT RESEARCH
Recent Publications

Check Point
Check Point Blog

datensicherheit.de, 11.02.2020
Check Point: Facebook ist die Top-Adresse für Phishing-Versuche