Apps Blue Mail und Type App stehlen Email-Passwörter

Nach einem Bericht von Golem leiten die beiden Email-Clients für das Betriebssystem Android die Passwörter für die Anmeldung beim Email-Postfach einfach an die Anbieter der beiden Apps weiter, fand der Sicherheitsexperte Mike Kuketz heraus. E.T. Phone Home Er testete Email-Apps für das Online-Magazin Mobilsicher, als er auf das gravierende Sicherheitsproblem stieß: Beim Einrichten beider Apps übertragen die beiden Email-Clients die Emailadresse zusammen mit dem dazugehörigen Passwort im Klartext an den Anbieter. Das Recht zum Einsacken der Anmeldedaten gewähren sich die Anbieter der App Blue Mail selbst in der dazugehörigen "Datenschutzerklärung", die in der Praxis erfahrungsgemäß kaum jemand liest. Blue Mail liest sogar alle Emailadressen aus Dabei liest zumindest Blue Mail auch noch weitere Daten aus. So landen beispielsweise alle Emailadressen des Postfachs auch beim den Anbietern der App. Kuketz nimmt an, dass beide Apps vom selben Hersteller stammen, was sich aber kaum zweifelsfrei klären lässt. Beide Email-Clients haben im Play Store relativ viele positive Bewertungen und kommen auf 5-10 Millionen (Blue Mail) bzw. 1-5 Millionen (Type App) Installationen. Wer eines der Programme nutzt, ist sicher gut beraten, die App zu löschen und sein eigenes Email-Konto mit einem neuen Passwort zu versehen…

2018-03-06T19:36:49+02:00März 6th, 2018|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Apps Blue Mail und Type App stehlen Email-Passwörter
Weiterlesen

Filezilla jetzt mit Master-Passwort

Die Nutzer des für diverse Betriebssysteme verfügbaren FTP-Clients Filezilla sollen die Passwörter für ihre FTP-Sites jetzt endlich mit einem Master-Passwort verschlüsselt auf der Festplatte speichern können. Bisher sind diese Daten in einer Textdatei ohne Verschlüsselung abgelegt, und wer sich Zugang zu dieser Datei verschafft, hat auch alle Passwörter für die von Filezilla gespeicherten FTP-Zugänge. Das neue Master-Passwort steht schon im Release Candidate der Betaversion 3.26.00 zur Verfügung. Das Master-Passwort muss der User in den Optionen erst aktivieren. Wie beispielsweise Bleepingcomputer.com und andere berichten, haben die Nutzer von Filezilla schon seit zehn Jahren immer wieder erfolglos gebeten, dass die FTP-Passwörter bei Filezilla durch ein Master-Passwort geschützt und nur noch verschlüsselt gespeichert werden. Ende 2016 hat nach dem Bericht dann ein frustierter Benutzer einen Fork des Filezilla-Programms mit einem solchen Master-Passwort erstellt, weil ihm durch Malware alle seine Passwörter kopiert und damit gestohlen wurden. Man vermutet, dass dieser Fork den Druck auf den Entwickler von Filezilla erhöht hat, jetzt endlich selbst tätig zu werden.

2017-05-29T07:24:45+02:00Mai 29th, 2017|Allgemein|Kommentare deaktiviert für Filezilla jetzt mit Master-Passwort
Weiterlesen

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager
Weiterlesen

Ein Zufallspasswort mit PHP

Ein Zufallspasswort, das Wörterbuchangriffe verhindert, lässt sich leicht mit einem Codeschnipsel in PHP erzeugen. Man schreibt alle Zeichen, die Teil des Passworts sein dürfen, in eine Zeichenkette und ruft dann so oft die PHP-Zufallsfunktion rand() auf, bis man die gewünschte Länge des Passwortes erreicht hat. Mit jedem der Aufrufe wird eines der Zeichen aus dem String in die zu Beginn leere Passwort-Variable eingetragen, deshalb können auch Zeichen mehrfach vorkommen. Hier der PHP-Code dazu: <?php function erzeugeZufallsPasswort() { $chars = "abcdefghijkmnopqrstuvwxyz023456789"; srand((double)microtime()*1000000); $i = 0; $passwort = ''; while ($i <= 8) { $num = rand() % 33; $tmp = substr($chars, $num, 1); $passwort = $passwort . $tmp; $i++; } return $passwort; } // Benutzung: // $NeuesPasswort = erzeugeZufallsPasswort(); ?> Dieses Codebeispiel soll nur ein Muster sein und kann deutlich verbessert werden. Es sollten zum Beispiel Großbuchstaben und Sonderzeichen in den Quellstring aufgenommen werden und dann die Obergrenze des Ergebnisses des Aufrufs der Zufallsfunktion dann von 33 auf die neue Länge des Strings angepasst werden – sonst werden die hinzugefügten Zeichen nie „gezogen“. Wer es noch besser machen will, sorgt dafür, dass von jeder Zeichensorte (Klein- und Großbuchstaben, Ziffern und Sonderzeichen mindestens eins vorkommen muss…

2014-11-18T19:07:08+02:00November 18th, 2014|PHP|Kommentare deaktiviert für Ein Zufallspasswort mit PHP
Weiterlesen

Fehler in Joomla-Updater per Update beseitigt

Es waren die Updates Joomla 3.3.5 und 2.5.26, die einen Bug in das beliebte CMS einschleusten, über den der eingebaute Update-Mechanismus ausgehebelt wird. Deshalb haben die Entwickler ein neues Update (3.3.6 und 2.5.27) herausgebracht, das aber auf einem anderen Weg als mit dem üblichen Klick eingespielt werden muss… Die Aktualisierung ist aber trotzdem nicht besonders kompliziert. Administratoren können dafür den Erweiterungsmanager von Joomla nutzen, mit dem sich ZIP-Dateien hochladen und entpacken lassen. Das neue Release Joomla 3.3.6 fügt dem CMS einen Fallback-Mechanismus für die Update-Komponente hinzu und korrigiert einen Fehler in der Passwort-Rücksetz-Routine sowie ein Tag-Problem. Weitere Details finden Sie in der Release-Ankündigung. Joomla 3.3.6 und 2.5.27 können Sie als Komplettpaket beziehungsweise Update-Paket über die Joomla-Website downloaden.

2014-10-02T19:33:04+02:00Oktober 2nd, 2014|PHP|Kommentare deaktiviert für Fehler in Joomla-Updater per Update beseitigt
Weiterlesen

Die gefährliche Methode preventDefault()

Die DOM-Methode preventDefault() erlaubt es, den Aufruf einer aufgrund eines Ereignisses jetzt aufzurufende Methode nicht durchzuführen und stattdessen eigenen Code ablaufen zu lassen. Auch die Reaktion auf eine vom Benutzer eingegebene Tastenkombination kann damit geändert werden. Das sieht zum Beispiel so aus: $(window).keydown(function(evt){          if((evt.which == "70" && ( evt.metaKey || evt.ctrlKey ))){                 evt.preventDefault();                 /* Fake-Suche anzeigen */            }          });    Der Blogger h43z hat gezeigt, wie man die lokale Browsersuche, die mit „Strg+F“ aufgerufen wird, für das Ausspionieren eine Passwortes benutzen kann. Dazu wird dem Benutzer eine Passwortliste gezeigt, die angeblich durch einen Hack erbeutet wurde, und wenn dieser dann mal mit „Strg+F“ nachsehen möchte, ob sein Passwort auch dabei ist, kommt statt der Standard-Browsersuche ein täuschen ähnliches Fenster, über das ein Angreifer verfügen kann, wie er will.

2012-12-04T12:45:24+02:00Dezember 4th, 2012|Javascript|Kommentare deaktiviert für Die gefährliche Methode preventDefault()
Weiterlesen

MySQL Root-Passwort festlegen

Nach Abschluss einer LAMP-Installation fehlt in der Regel das Passwort für den Datenbank-Admin root von MySQL. Mit dem Aufruf MySQL –u root MySQL kann man das überprüfen. Kommt als Prompt MySQL>, dann hat MySQL noch kein root-Passwort. Um ein neues Passwort für den Benutzer root festzulegen, gibt man UPDATE user SET Password=PASSWORD('geheim') WHERE user='root'; ein.  Die Benutzereinstellungen speichert MySQL aus Geschwindigkeitsgründen im Arbeitsspeicher zwischen, also muss die Datenbank danach an diesen Cache angeglichen werden. Das erreicht man mit dem Befehl MySQL –u root MySQL. Man kann alternativ das Passwort auch mit MySQLAdmin eingeben, das Verwaltungsprogramm wird direkt von der Shell aus gestartet. Diese Methode ist aber unter Umständen unsicher, denn ein anderer Benutzer des Systems könnte das Passwort im Klartext mitlesen, wenn er sich alle aktuell laufenden Prozesse ansieht. Wenn das Passwort einmal gesetzt wurde, muss sich der User root vor jedem Zugriff mit diesem Passwort identifizieren.

2010-09-09T08:16:15+02:00September 9th, 2010|Allgemein|Kommentare deaktiviert für MySQL Root-Passwort festlegen
Weiterlesen

WLAN-Urteil des BGH vom 12.5.2010

Vor wenigen Tagen fällte der Bundesgerichtshof (Urteil d. 1. Zivilsenats v. 12.5.2010 - 1 ZR 121/08) eine Entscheidung zum Zugangsschutz von privaten WLANs. Entschieden wurde damit höchstrichterlich ein Fall, bei dem der Anschluss eines Privatmannes von Dritten missbraucht wurde, um darüber ein geschütztes Musikstück herunterzuladen, während der Inhaber des Anschlusses im Urlaub war. Der Internetzugang war nur mit dem vom Provider voreingestellten Standard-Passwort geschützt. Zunächst die gute Nachricht für private Betreiber eines WLAN: Auch wenn kein individuelles Passwort den Zugang abgesichert hat, haftet der Anschlussbetreiber nicht für die meist sehr hohen Schadenersatzansprüche der Rechteinhaber (im bezogenen Fall der Plattenfirma). Allerdings gibt es auch eine schlechte Nachricht: Nicht nur derjenige, der überhaupt keine Zugangssicherung zu seinem WLAN hat, sondern auch jemand, der das Standardpasswort seines Providers benutzt, muss mit einer Abmahnung über 100 € rechnen. Da privaten Betreibern nicht zugemutet werden kann, laufend ihre Sicherheitstechnik auf den aktuellen Stand zu bringen, ist es ausreichend, wenn Sie die zum Zeitpunkt der Einrichtung üblichen Standards einhalten. Dazu reicht das vom Werk eingestellte Passwort nicht aus, da es zu einfach zu erraten ist. Sollten Sie also noch keine Verschlüsselung in Ihrem WLAN haben oder nur eine mit einem vom Hersteller des Routers vorgegebenen Passwort, wird es Zeit, zu handeln und [...]

2010-05-17T07:23:02+02:00Mai 19th, 2010|Allgemein|Kommentare deaktiviert für WLAN-Urteil des BGH vom 12.5.2010
Weiterlesen
Nach oben