PayPal führt Passkeys in Deutschland ein

PayPal

PayPal hat eine wichtige Neuerung im Bereich der Nutzersicherheit angekündigt. In Kürze wird das Unternehmen in Deutschland die Authentifizierung mittels Passkeys einführen. Damit soll den Kundinnen und Kunden mehr Sicherheit beim Einkaufen und Bezahlen im Internet geboten werden.

Passkeys sind ein Produkt der Zusammenarbeit zwischen der FIDO Alliance und dem World Wide Web Consortium. Sie sind als innovative Lösung für einige der gravierendsten Sicherheitsprobleme im Internet konzipiert, die durch Schwachstellen in der traditionellen Passwortauthentifizierung verursacht werden.

Im Gegensatz zu herkömmlichen Passwörtern, die anfällig für Phishing und Malware-Angriffe sind, bietet die Passkey-Technologie eine robustere und sicherere Methode zur Benutzerauthentifizierung. Sie verwendet ein kryptografisches Element, das Passwörter ersetzt und weder vom Benutzer selbst noch von Unbefugten gelesen oder eingegeben werden kann. Dadurch ist es für Hacker nahezu unmöglich, an die Zugangsdaten zu gelangen.

→ weiterlesen

Windows-Vorschau mit Passkey-Unterstützung

Microsoft Logo

Microsoft hat angekündigt, Passkeys in zukünftigen Windows-Versionen nativ zu unterstützen. Passkeys sind eine innovative Technologie zur Erhöhung der Sicherheit von Benutzerkonten, die das Abfangen und den Missbrauch von Anmeldedaten für Webseiten oder Anwendungen erschwert.

Die Einführung der Passkey-Unterstützung wurde mit der Ankündigung der Windows Insider Preview für den Developer Channel (Beta-Version) mit der Build-Nummer 23486 bekannt gegeben. Nutzer haben die Möglichkeit, ihre Passwörter durch Passkeys zu ersetzen, wenn sie sich bei unterstützten Websites oder Anwendungen anmelden.

Passkeys sind eine sichere und benutzerfreundliche Alternative zu herkömmlichen Passwörtern. Unternehmen wie Google unterstützen Passkeys bereits.

→ weiterlesen

Apple aktiviert Nacktfoto-Funktion bald standardmäßig

Fotos auf dem Apple iPhone

Apple hat angekündigt, in den neuesten Versionen von iOS 17, iPadOS 17 und macOS 14 standardmäßig die Kommunikationssicherheitsfunktion zu aktivieren, die Betriebssysteme nach Nacktbildern durchsucht. Diese Änderung betrifft Nutzerinnen und Nutzer unter 13 Jahren und wird noch in diesem Jahr weltweit eingeführt. Bisher mussten Eltern die Funktion manuell aktivieren, um ihre Kinder davor zu schützen, Nacktbilder in der Messaging-App zu sehen oder zu teilen.

Die als „Communication Safety“ bekannte Technologie arbeitet lokal und durchsucht nicht die iCloud. Sie wird auf das gesamte System ausgeweitet, einschließlich iMessage, Photo Picker, AirDrop, FaceTime Video Messaging und Anwendungen von Drittanbietern über eine API. Die Technologie kann sowohl Standbilder als auch Videos scannen.

Das ursprünglich geplante Scan-Tool für kinderpornografisches Material (CSAM) hat Apple nach heftiger öffentlicher Kritik nicht eingeführt. Stattdessen wird die „Communication Safety“-Funktion als Instrument zur Eindämmung der Verbreitung solchen Materials gesehen. Ziel von Apple ist es, durch das Scannen und Identifizieren von Nacktbildern „möglichen Kindesmissbrauch zu unterbinden, bevor er stattfinden kann“.

Die ursprüngliche Scan-Strategie von CSAM sah vor, dass Apple-Mitarbeiter bei etwa 30 Treffern informiert werden sollten. Diese Mitarbeiter hätten dann eine niedrig aufgelöste Version des betreffenden Bildmaterials entschlüsseln und sichten sollen. Beim Auffinden von CSAM-Material sollte die Kinderschutzorganisation NCMEC in den USA kontaktiert werden.

Mit der nun geplanten Vorgehensweise will Apple die Verbreitung von ungeeignetem Material reduzieren und gleichzeitig den Bedenken hinsichtlich der Privatsphäre der Nutzer Rechnung tragen.

Wichtige BIOS-Sicherheitsupdates für Dell-PCs

Mehrere Sicherheitslücken im BIOS von Dell-PCs könnten Angreifern die Möglichkeit bieten, Schadsoftware zu verbreiten und die vollständige Kontrolle über betroffene Computer zu erlangen. Dell hat inzwischen Sicherheitsupdates zur Behebung dieser Schwachstellen bereitgestellt und empfiehlt Nutzern der betroffenen Modelle dringend, diese Updates zu installieren.

Die gefährlichste der als „hoch“ eingestuften Sicherheitslücken mit der Bezeichnung CVE-2023-28073 betrifft die Modelle Latitude 5530 und Precision 3570. Authentifizierungsfehler können es bereits authentifizierten lokalen Angreifern ermöglichen, erweiterte Benutzerrechte zu erlangen und im schlimmsten Fall die vollständige Kontrolle über das System zu übernehmen. Dell hat diese Schwachstelle mit der BIOS-Version 1.13.2 behoben.

Eine weitere als „mittel“ eingestufte Sicherheitslücke (CE-2023-32480) ermöglicht es einem Angreifer mit physischem Zugriff auf den betroffenen PC, ohne Authentifizierung die vollständige Kontrolle zu übernehmen. Die Schwachstelle ist auf unzureichende Eingabe-Prüfungen zurückzuführen und betrifft mehrere Modelle, darunter Inspiron und Vostro. Dell hat in einer Sicherheitswarnung die jeweiligen BIOS-Versionen aufgelistet, die gegen diese Art von Angriff geschützt sind.

Eine dritte, als „niedrig“ eingestufte Sicherheitslücke (CVE-2023-28064) könnte von Angreifern ausgenutzt werden, um einen Denial-of-Service (DoS)-Zustand auszulösen. Die Schwachstelle basiert auf einem Speicherfehler, der als „Out-of-Bounds“-Bedingung bezeichnet wird. Details zu den betroffenen Modellen und den korrigierten BIOS-Firmware-Versionen finden sich in einer separaten Sicherheitswarnung von Dell.

Bislang liegen keine Berichte vor, dass diese Sicherheitslücken bereits für Angriffe ausgenutzt wurden. Dennoch raten Sicherheitsexperten und Dell selbst, die verfügbaren Updates schnellstmöglich zu installieren, um mögliche Risiken zu minimieren.

Google Chrome-Update schließt hochriskante Sicherheitslücken

Google Chrome

Google hat ein wichtiges Software-Update für seinen Webbrowser Chrome veröffentlicht. Das Update behebt mehrere als hochriskant eingestufte Sicherheitslücken. Wie bei Google üblich, wurden die Details der Sicherheitslücken nicht vollständig veröffentlicht, um die Nutzer vor möglichen Bedrohungen zu schützen.

Von den vier behobenen Sicherheitslücken sind drei genauer bekannt und alle als hochriskant eingestuft. Bei der ersten handelt es sich um eine „Type Confusion“-Schwachstelle in der Javascript-Engine V8 (CVE-2023-3420), die aufgrund einer Diskrepanz zwischen den tatsächlichen und den erwarteten Datentypen einen unautorisierten Speicherzugriff ermöglichte. Diese Schwachstelle wurde entdeckt und von Google mit 20.000 US-Dollar belohnt.

Zusätzlich wurden zwei Use-after-free-Lücken in den Bereichen Media und Guest View (CVE-2023-3421, CVE-2023-3422) geschlossen. Diese Schwachstellen können zu Systemabstürzen führen und das Einschleusen von Schadcode durch Zugriff auf freigegebene Ressourcen ermöglichen.

Die Updates sind für verschiedene Chrome-Versionen verfügbar: 114.0.5735.196 für Android, 114.0.5735.198 für Linux und Mac und 114.0.5735.198/199 für Windows. Nutzer werden dringend gebeten, ihre Chrome-Version zu überprüfen und zu aktualisieren, um sicherzustellen, dass sie diese neuen Versionen verwenden.

Da auch andere auf Chromium basierende Webbrowser wie Microsoft Edge von den Sicherheitslücken betroffen sein könnten, wird Nutzern dieser Browser dringend empfohlen, die entsprechenden Sicherheitsupdates zeitnah einzuspielen.

→ weiterlesen

MFA: Lastpass-Benutzer durch Sicherheitsupdate ausgesperrt

LastPass Logo

In den letzten Tagen haben viele Lastpass-Nutzer berichtet, dass sie nicht mehr auf ihre Konten zugreifen können. Dies ist auf ein kürzlich durchgeführtes Sicherheitsupdate des Passwortmanagers (Password-Based Key Derivation Function 2) zurückzuführen.

Im Rahmen dieses Updates müssen die Nutzer ihre Multi-Faktor-Authentifizierung (MFA) zurücksetzen. Einige Nutzer, die diesen Schritt bereits durchgeführt haben, berichten jedoch, dass sie immer noch keinen Zugriff auf ihre Konten haben. Ein weiteres Problem ist, dass viele Nutzer den Support nicht erreichen können. Um den Support zu erreichen, ist ein Login erforderlich, der jedoch aufgrund von Problemen mit den MFA-Codes nicht funktioniert.

Besondere Schwierigkeiten haben Nutzer, die ihre E-Mail-Zugangsdaten über Lastpass verwalten. Diese Nutzer können ihr Passwort nicht zurücksetzen, da sie keinen Zugriff auf die dafür notwendige E-Mail haben.

Lastpass hat diese Änderungen eingeführt, um die Sicherheit der Master-Passwörter der Nutzer zu erhöhen. Nach den Sicherheitsvorfällen im Jahr 2022 hatte das Unternehmen seine Kunden bereits im März aufgefordert, ihre MFA zurückzusetzen. Im April folgte eine weitere Erinnerung per E-Mail und schließlich wurden die Nutzer beim nächsten Login in die Anwendung direkt aufgefordert, ihre MFA zurückzusetzen.

Laut den FAQs des Unternehmens ist ein MFA-Reset nur auf der Lastpass-Website möglich und kann nicht direkt in der Browser-Erweiterung oder der mobilen App durchgeführt werden. Dies könnte zu zusätzlichen Schwierigkeiten für Nutzer führen, die hauptsächlich über diese Plattformen auf ihre Konten zugreifen. Lastpass hat sich zu den aktuellen Problemen noch nicht geäußert.

Enkeltrickbetrug durch KI-Sprachimitation

Roboter mit Telefon
Mit der Unterstützung von KI erreicht der Enkeltrickbetrug eine ganz neue Dimension.

Der berüchtigte Enkeltrick hat eine neue Dimension erreicht. Cyberkriminelle nutzen zunehmend hoch entwickelte künstliche Intelligenz (KI), um die Stimmen vermeintlich hilfsbedürftiger Verwandter täuschend echt zu imitieren, was zu noch überzeugenderen Betrugsversuchen führt.

Mit nur 30 Minuten Audiomaterial kann eine KI ein komplettes Stimmprofil einer Person erstellen. Je mehr Audiomaterial zur Verfügung steht, desto genauer wird die Imitation und desto schwieriger wird es für potenzielle Opfer, Unstimmigkeiten in der imitierten Stimme zu erkennen.

Dank sozialer Medien ist es für Cyberkriminelle einfach, an das benötigte Audiomaterial zu gelangen. Die verwendeten KI-Modelle können nicht nur Stimmhöhe, Tonfall und regionale Dialekte imitieren, sondern auch individuelle Phrasen und Sprachmuster.

Der amerikanische Netzwerksicherheitsspezialist McAfee hat einen alarmierenden Bericht mit dem Titel „Beware the Artificial Impostor“ veröffentlicht. Demnach gaben 25 Prozent der Befragten an, bereits mit einem solchen KI-basierten Stimmbetrug konfrontiert worden zu sein.

Fast die Hälfte der Befragten gab an, bei verschiedenen Notfällen wie Autounfällen, Diebstahl oder verlorenem Portemonnaie helfen zu würden, wenn sie einen Anruf bekämen.

Und diese Betrugsmasche ist nicht nur auf Privatpersonen beschränkt, auch Unternehmen sind potenzielle Ziele. Viele Geschäftstransaktionen werden per Telefon oder Voicemail abgewickelt und stellen somit ein Einfallstor für Kriminelle dar.

→ weiterlesen

Sicherheitslücke in Microsoft Teams ermöglicht das Einschleusen von Schadcode

IT-Sicherheitsforscher des britischen Unternehmens Jumpsec haben eine bisher unentdeckte Schwachstelle in der beliebten Kommunikationssoftware Microsoft Teams identifiziert, die Angreifern Tür und Tor öffnet, um Malware an Nutzer zu versenden. Die Schwachstelle tritt in der Standardkonfiguration von Teams auf und umgeht den üblichen Phishing-Schutz.

Laut den Sicherheitsexperten von Jumpsec liegt das Problem in der Art und Weise, wie Teams externe und interne Kontakte filtert. Die Filterung erfolgt clientseitig und durch das Vertauschen der internen und externen Empfänger-IDs in einer POST-Anfrage kann diese Sicherheitsmaßnahme leicht umgangen werden. Dies ermöglicht es Benutzern außerhalb des Unternehmens, Dateien an Mitarbeiter des Unternehmens zu senden, was es Cyberkriminellen leicht macht, Opfer zu finden und ihnen Schadcode unterzuschieben.

Beispiel Chat-Verlauf
Ein Beispiel, das zeigt, wie Angreifer im Team Schadcode an potentielle Opfer weitergeben können. Die Dateien werden nicht als Link, sondern direkt angezeigt.
Quelle: Jumpsec

Obwohl Teams bei Kontakten von außerhalb der Organisation eine Warnung anzeigt, wird diese oft ignoriert. Das macht die Schwachstelle besonders gefährlich, vor allem in Kombination mit der Verwendung von Typosquatting-Domains.

Microsoft hat die Schwachstelle zwar bestätigt, hält sie aber nicht für schwerwiegend genug, um sofortige Sicherheitsupdates zur Verfügung zu stellen. Dies hat die Forscher dazu veranlasst, Unternehmen und Anwendern dringend zu empfehlen, zu prüfen, ob der Kontakt mit externen Parteien über Teams unbedingt notwendig ist. Ist dies nicht der Fall, sollte der Zugriff im Teams Admin Center unter „Externer Zugriff“ eingeschränkt werden.

Microsoft Teams hatte in der Vergangenheit bereits mehrfach mit Sicherheitsproblemen zu kämpfen. In einem früheren Fall wurden beispielsweise Microsoft Token unverschlüsselt gespeichert, was Angreifern den Zugriff auf Microsoft-Dienste der Nutzer ermöglichte.