1. Foren
  2. Kommentare
  3. Security
  4. Alle Kommentare zum Artikel
  5. › Angriff von innen: Router per E-Mail…

Ich habe auch eine Sicherheitslücke in Android gefunden!

Anzeige
  1. Thema

Neues Thema Ansicht wechseln


  1. Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: G-Tech 30.11.12 - 14:58

    Wenn einem Angreifer Passwort und TAN-Liste des Online-Banking-Accounts eines potentiellen Opfers bekannt sind, kann dieser im Android-Browser Überweisungen im Namen des Opfers durchführen. Schuld daran sind dabei nicht etwa das Opfer oder die Bank, sondern der Android Browser, der ungefragt beliebige URLs aufruft.



    3 mal bearbeitet, zuletzt am 30.11.12 15:00 durch G-Tech.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  2. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: rop 30.11.12 - 15:10

    +1

    Benutzer wird von Ihnen ignoriert. Anzeigen

  3. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: ppcbenni 30.11.12 - 16:44

    In gewisser Weise hast du natürlich schon Recht, aber ich denke auch, dass die Mailprogrammhersteller (schönes Wort...) nicht einfach alle externen Ressourcen ohne "Fragen" laden sollten. Das würde keinen stören, wäre leicht einzubauen und würde die Welt ein Stück sicherer machen ;)

    Denn diese "Technik" lässt sich ja auch für viele andere Dinge nutzen. Wäre ich z.B. "Anbieter" eines Spam-Newsletters, könnte ich einfach x-tausend Mailadressen generieren und dann Mails an diese verschicken. In diese Mail integriere ich ein Bild, welches (z.B. per GET) eine Anfrage mit einer einmaligen ID (evt. sogar stumpf der Mailadresse) an meinen Server stellt. Somit könnte ich wunderbar die Existenz dieser prüfen.

    LG,
    benni

    Benutzer wird von Ihnen ignoriert. Anzeigen

  4. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: a user 30.11.12 - 16:44

    -10

    es gibt keine default tans und default user-namen und default passwörter für die onlineportale der banken, welche für die meisten nutzer gültig sind, weil diese zugriffe ja von aussen kommen und nicht aus dem internen netz.

    deine analogie hat mal so absolut nichts mit der situation in der news zu tun.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  5. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: wmayer 01.12.12 - 11:28

    Erhälst du nicht sowieso eine Nachricht vom mailerdaemon wenn es die Mailadresse nicht gibt? Somit kannst du einfach aus der Liste diese streichen, alle anderen sind gültig.

    Benutzer wird von Ihnen ignoriert. Anzeigen

  6. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: dernurbs 03.12.12 - 08:32

    diese Analogie hat tatsächlich sehr viel mit der News zu tun:

    das Problem ist hauptsächlich der Mailreader ungefragt Bilder nachlädt, das Default Kennwörter und IP-Adressen auch ein erhebliches Problem darstellen wirkt in dem Fall nur problemverschärfend (der Angreifer muss wissen welchen Router wir verwenden -> damit lässt sich kaum ein gezielter Angriff durchführen)

    Da aber viel Clients ungefragt Bilder laden kann man einfach „auf den Busch klopfen“ und einfach ein paar Millionen Mails versenden in der Hoffnung das bei einem gewissen Teil beide Probleme auftreten.

    Aber es lassen sich auf diese weise auch andere Sachen ausspähen.. z.B. wäre ein Cookieklau im Frazenbuch/e-Bucht/Amazon denkbar (und damit ein Identitätsdiebstahl) und das ist fürchte ich noch gravierender als ein kompromitierter Router.

    Das Problem sitzt in diesem Fall aber nicht nur vor dem Bildschirm sondern auch auf dem PC mit dem Apfellogo..

    Benutzer wird von Ihnen ignoriert. Anzeigen

  7. Re: Ich habe auch eine Sicherheitslücke in Android gefunden!

    Autor: vulkman 03.12.12 - 11:44

    dernurbs schrieb:
    --------------------------------------------------------------------------------

    > Aber es lassen sich auf diese weise auch andere Sachen ausspähen.. z.B.
    > wäre ein Cookieklau im Frazenbuch/e-Bucht/Amazon denkbar (und damit ein
    > Identitätsdiebstahl)

    Wie soll das gehen? Dazu müsste die aufgerufene URL Zugriff auf Cookies anderer Domains bekommen, und wenn man das erstmal hingekriegt hat, braucht man auch keine Mails mehr zu verschicken, sondern schaltet einfach ne Facebook-Anzeige, die die Leute anklicken...

    Benutzer wird von Ihnen ignoriert. Anzeigen

Neues Thema Ansicht wechseln


Entschuldigung, nur registrierte Benutzer dürfen in diesem Forum schreiben. Klicken Sie hier um sich einzuloggen


Anzeige

Haben wir etwas übersehen?

E-Mail an news@golem.de


Schlaf gut, Philae: Die aufregenden letzten Tage des Kometenlanders
Schlaf gut, Philae
Die aufregenden letzten Tage des Kometenlanders
  1. Rosetta-Mission Philae ist im Tiefschlaf
  2. Philae Kometen-Lander driftet ab
  3. Philae Erstes Raumschiff landet auf einem Kometen

Chaos Computer Club: Der ungeklärte Btx-Hack
Chaos Computer Club
Der ungeklärte Btx-Hack
  1. Geheimdienst BND möchte sich vor Gesichtserkennung schützen
  2. Sicherheitstechnik Wie der BND Verschlüsselung knacken will
  3. BND-Kauf von Zero Days CCC warnt vor "Mitmischen im Schwachstellen-Schwarzmarkt"

Core M-5Y70 im Test: Vom Turbo zur Vollbremsung
Core M-5Y70 im Test
Vom Turbo zur Vollbremsung
  1. Prozessor Schnellster Core M erreicht bis zu 2,9 GHz
  2. Die-Analyse Intels Core M besteht aus 13 Schichten
  3. Yoga 3 Pro Lenovos erstes Convertible mit Core M wiegt 1,2 Kilogramm

  1. Kanzlerhandy: Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen
    Kanzlerhandy
    Bundesanwaltschaft will NSA-Ermittlungsverfahren einstellen

    Das mutmaßliche Abhören des Mobiltelefons von Kanzlerin Merkel bleibt straffrei: Die Bundesanwaltschaft will das Ermittlungsverfahren gegen den US-Geheimdienst NSA einstellen.

  2. Internetsuche: EU-Parlamentarier erwägen Google-Aufspaltung
    Internetsuche
    EU-Parlamentarier erwägen Google-Aufspaltung

    Was tun gegen Googles marktbeherrschende Stellung? Einige Europa-Abgeordnete haben eine Idee, die Google nicht gefallen dürfte. Sie wollen der EU-Kommission einen Vorschlag dazu unterbreiten.

  3. 15 Jahre Unreal Tournament: Spiel, Bot und Sieg
    15 Jahre Unreal Tournament
    Spiel, Bot und Sieg

    Künstliche Krieger und Capture-the-Flag-Modus: KI-Bots machten vor 15 Jahren Unreal Tournament erfolgreich. Dabei wollten die Entwickler ursprünglich nur ein Addon für Unreal programmieren.


  1. 12:34

  2. 10:35

  3. 09:00

  4. 19:11

  5. 18:44

  6. 17:49

  7. 16:37

  8. 15:24