SICHER o INFORMIERT
-------------------
Der Newsletter des Bürger-CERT
Ausgabe vom 30.10.2014
Nummer: NL-T14/0022

Die Themen dieses Newsletters:
1. Datenschutz: OS X Yosemite speichert ungefragt in der iCloud
2. Samsung: Schwachstelle in "Find my Mobile"
3. Phishing, die Erste: Gefälschte E-Mail von eBay
4. Phishing, die Zweite: Gefälschte E-Mail von amazon
5. Pidgin: Sicherheitsupdate für den Messenger
6. Smart-TV: BSI gibt Tipps
7. Digitale Agenda: Chancen für deutsche Anbieter von IT-Sicherheit
8. Android: 32 Sicherheits-Apps im Test
9. IT-Gipfel: ddosfrei.de vorgestellt

EDITORIAL
Guten Tag,

pünktlich zu Halloween erreicht uns die Meldung, dass in Samsungs Dienst
zum Auffinden verlorener Geräte, "Find my Mobile", erneut eine
Sicherheitslücke entdeckt wurde: Besuchen Sie eine entsprechend
präparierte Webseite mit einem Smartphone oder Tablet von Samsung, wird
das Gerät gesperrt oder löst einen lauten Alarm aus.

Gruselig ist auch das Speicherverhalten von OS X Yosemite: Unter anderem
speichert OS X ungesicherte Dateien ohne Nachfrage in der iCloud.

Gut gemeint ist also nicht immer gut, und neu ist nicht immer besser,
zumindest nicht sicherer.

Diese und weitere Meldungen rund um die Sicherheit im WWW finden Sie wie
immer in unserem Newsletter. Spannende Lektüre und sichere Stunden im
globalen Netz wünscht Ihnen

Ihr Buerger-CERT-Team

STÖRENFRIEDE
1. Datenschutz: OS X Yosemite speichert ungefragt in der iCloud

Apples neues Betriebssystem OS X 10.10 Yosemite speichert nach Angaben
des Sicherheitsspezialisten Jeffrey Paul ungesicherte Dokumente ungefragt
in Apples Cloud-Speicher iCloud. Dazu zählen alle Daten, die gerade von
Anwendungen bearbeitet werden und die Apples Funktion zur
Wiederherstellung von Dokumenten nutzen. Den Grund für dieses Verhalten
vermutet Paul in der neu eingeführten Funktion Continuity, die es
ermöglicht, auf verschiedenen Geräten an einem Dokument zu arbeiten.

Diese Eigenschaft hat es nach Angaben von
ZDNet http://www.zdnet.de/88209270/apple-speichert-private-daten-ungefragt-icloud
schon in OS X Mavericks gegeben, nur sei dies nicht so offensichtlich
gewesen.

OS X Yosemite synchronisiert über die iCloud zudem E-Mail-Adressen von
Personen, mit denen man mit Apple Mail kommuniziert. Somit werden auch
E-Mail-Adressen in die Cloud geladen, die nicht mit einem iCloud-Konto
verbunden sind.

ZDNet weist auf eine weitere Besonderheit hin: Wenn in der iCloud
gesicherte Dateien unter Yosemite gelöscht wurden, lässt sich mit OS X
Mavericks noch auf diese zugreifen.

2. Samsung: Schwachstelle in "Find my Mobile"

Samsungs Dienst "Find my
Mobile" [http://findmymobile.samsung.com/login.do] soll Eigentümern
gestohlener oder verlorener Samsung Smartphones und Tablets ermöglichen,
ihr Gerät zu finden oder zu sperren. Eine Schwachstelle in dem Dienst
ermöglicht es Angreifern, fremde Geräte zu sperren oder diese dazu zu
bringen, einen lauten Alarm ertönen zu lassen. Möglich ist dies über
präparierte Webseiten, berichtet Heise
Online http://www.heise.de/security/meldung/Immer-Aerger-mit-Samsung-Dienst-Find-My-Mobile-2435372.html.

3. Phishing, die Erste: Gefälschte E-Mail von eBay

Die Polizei berichtet von vermehrten Hinweisen auf eine Phishing-Mail,
die vorgibt, vom eBay-Käuferschutz zu kommen. Die Angeschriebenen werden
darin aufgefordert, sich einer Legitimationsprüfung zu unterziehen. Der
in diesem Zusammenhang angegebene Link führt zu einer gefälschten Seite.
Offenbar sind die E-Mails gut gefälscht und enthalten den korrekten Namen
und die Anschrift des eBay-Kunden. Betroffene finden bei
der Polizeiberatung
Tipps http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/ebay-kaeuferschutz-mail-gefaelscht.html.

4. Phishing, die Zweite: Gefälschte E-Mail von amazon

Sollten Sie eine Mail erhalten haben, die suggeriert, Ihr amazon-Konto
sei wegen "ungewöhnlicher Kontoaktivitäten" gesperrt: Die Mail ist
gefälscht, Ihr Konto intakt, wie eine rasche Überprüfung ergeben sollte.
Solche Phishing-Mails sind gerade wieder verstärkt im Umlauf und
versuchen, amazon-Kunden auf gefälschte Webseiten zu locken, auf denen
sie persönliche Daten angeben sollen. Die gefälschten Webseiten sind
häufig auch zugleich Virenschleudern. Folgen Sie dem Link in der Mail
also bitte auch nicht rein interessehalber. Mehr zu diesem Phishing-Fall
finden Sie bei der
Polizeiberatung http://www.polizei-praevention.de/aktuelles/aktuelles-detailansicht/amazon-konto-gesperrt.html.

SCHUTZMASSNAHMEN
5. Pidgin: Sicherheitsupdate für den Messenger

Der quelloffene Messenger Pidgin hat ein Sicherheitsupdate erhalten, das
fünf bekannten Sicherheitsproblemen
begegnet http://www.heise.de/security/meldung/Sicherheits-Update-fuer-Pidgin-Messenger-2435406.html.
Unter anderem war es Angreifern möglich, dem verschlüsseltem Austausch
von Nachrichten zu folgen.

PRISMA
6. Smart-TV: BSI gibt Tipps

Die Vorweihnachtszeit ist auch die Zeit, in der sich viele Fernseher der
Prüfung unterziehen müssen, ob sie noch den jeweiligen familiären
Anforderungen genügen, oder ob sie Platz für ein neues Gerät machen
müssen. Großer Beliebtheit erfreuen sich schon seit einiger Zeit
Smart-TV, oder auch Hybrid-TV. Diese Fernsehgeräte bieten einen
Internetanschluss und anderen Zusatznutzen, der jedoch auch bestimmte
Risiken birgt. Das BSI hat deshalb Tipps zum Umgang mit
Smart-TV
veröffentlicht https://www.bsi-fuer-buerger.de/BSIFB/DE/SicherheitImNetz/SmartTV/SmartTV_node.html,
damit sich zu Ihrem neuen Fernsehspaß nicht auch neue Bedrohungen
gesellen.

7. Digitale Agenda: Chancen für deutsche Anbieter von IT-Sicherheit

In der Digitalen
Agenda http://www.bmi.bund.de/DE/Themen/IT-Netzpolitik/Digitale-Agenda/digitale-agenda_node.html
bezeichnet die deutsche Bundesregierung die Verbesserung von
IT-Sicherheit und den Schutz von IT-Systemen und Diensten als eines von
drei Kernzielen. Nach Ansicht der
Computerwoche http://www.computerwoche.de/a/chancen-fuer-deutsche-security-anbieter,3068972
ergeben sich daraus Potenziale für deutsche Anbieter von IT-Sicherheit:
Es gäbe Anzeichen, dass IT-Lösungen aus Deutschland eine steigende
Bedeutung erhalten würden.

8. Android: 32 Sicherheits-Apps im Test

Das Magdeburger Institut AV Test hat 32 Sicherheits-Apps
für Android auf ihre Schutzwirkung
getestet http://www.av-test.org/de/news/news-single-view/32-schutz-apps-fuer-android-im-test/.
Gleich 13 Produkte erzielen die höchstmögliche Punktzahl und teilen sich
damit den ersten Platz. Die Tester kommen zu dem Ergebnis, dass es
Besitzern von Android-Geräten leicht gemacht werden würde, ihr System zu
sichern. Und zwar auch, ohne dafür Geld ausgeben zu müssen.

9. IT-Gipfel: ddosfrei.de vorgestellt

Auf dem Nationalen IT-Gipfel 2014 in
Hamburg http://www.it-gipfel.de/ hat der eco Verband der deutschen
Internetwirtschaft in Zusammenarbeit mit den teilnehmenden Internet
Service Providern und dem BSI ein Konzept für ein neues
Informations- und Serviceportal rund um
DDoS-Angriffe http://www.eco.de/2014/news/ddosfrei-de-neue-initiative-fuer-sichere-server.html
entwickelt.
Auf ddosfrei.de können sich künftig Privatpersonen sowie kleine und
mittlere Unternehmen über das Risiko von DDoS-Attacken informieren und
auch eine Überprüfung auf Sicherheitslücken am eigenen Server
veranlassen. Zusätzlich erfahren sie, wie sich festgestellte Mängel
beheben lassen.
Das neue Portal schließt sich
botfrei.de https://www.botfrei.de an, einer
erfolgreichen Initiative, die während des IT-Gipfels 2010 entstand.




-----------------------------------------------------------------------
Dieser Newsletter "SICHER o INFORMIERT" ist ein kostenloses Service-Angebot
des Bürger-CERT, http://www.buerger-cert.de. Er erscheint im Abstand von 14
Tagen. Die Informationen werden mit größter Sorgfalt recherchiert und
aufbereitet, dennoch kann eine Gewähr oder Haftung für die Vollständigkeit
und Richtigkeit nicht übernommen werden.

Unter http://www.buerger-cert.de haben Sie die Möglichkeit, diesen
Informationsdienst zu abonnieren oder abzubestellen. Fragen und Anregungen an
die Redaktion bitte an: oeffentlichkeitsarbeit@bsi.bund.de