Wenn Nutzer in der Vergangenheit eine Antivirus-Software von Kaspersky Lab, Microsoft, McAfee, F-Secure, Sophos, Avira, Bitdefender oder anderen einsetzten, konnte es zum Supergau kommen. Schadsoftware konnte mit sogenannten Symlinks dafür sorgen, dass sogar reguläre Dateien auf den Computern gelöscht wurden.

Seit 2018 begaben sich die IT-Spezialisten von Rack911 Labs auf die Suche nach Antivirensoftware, die über ein- und dieselbe Schwachstelle verfügte.

Antivirensoftware mit Schwachstelle

Tatsächlich nutzte Rack911 Labs die Vorgehensweise der Apps aus. Viele Antivirenprogramme „scannen“ die Festplatte und analysieren neue Dateien. Stellt das Virus-Tool dabei fest, dass eine Datei möglicherweise gefährlich ist, wird sie in Quarantäne verschoben und der Nutzer informiert, er könnte die Datei auch direkt löschen, sollte es am besten auch.

Mit Symlinks manipulieren

Nun konnte man jedoch einen Fehler im System ausnutzen, der sogenannte „Symlinks“ verwendete, um auf andere Dateien zu verweisen. Unter Windows gibt es „Pfad-Verknüpfungen“ (engl. directory junctions), unter macOS und Linux gibt es überdies noch „symbolische Verknüpfungen“. Solche „symbolischen Links“ und Pfad-Verknüpfungen konnten offenbar auf einfache Weise zur Manipulation von Antivirensoftware eingesetzt werden.

Während das Antiviren-Tool also glaubte, richtig zu handeln, löschte es am Ende womöglich reguläre und wichtige Dateien. Rack911 Labs beschreibt die Methode als einzigartig aber auch unheimlich simpel.

Zeitkorridor nutzen

Zwischen dem Zeitpunkt, an dem das Virus-Tool eine vermeintliche schadvolle Datei erkennt und sie dann aber auch bearbeitet, vergeht mal mehr, mal weniger Zeit. Malware-Autoren können diese Zeit nutzen, um über symbolische Verknüpfungen am Ende sogar die Antiviren-Software auszuhebeln. Schlimmstenfalls wäre, wenn Systemdateien gelöscht würden, eine komplette Neuinstallation notwendig. Heise nennt dies einen ungewollten Selbstzerstörungsmodus.

Unter Windows konnten Dateien, die im Gebrauch waren, nicht gelöscht werden. Sehr wohl löschten manche Viren-Tools diese dann aber beim nächsten Neustart, wie Rack911Labs erklärt.

Das Vertrauen in Antivirus-Apps

Einerseits zeigt der Vorfall, dass das Vertrauen in Antivirus-Software Schaden nehmen kann. Es zeigt aber außerdem, dass das grundsätzliche Vertrauen der Systeme in solche Apps problematisch ist. Denn bei der Installation erbeten diese viele privilegierte Rechte, die ihnen dann erlauben Dateiaktionen auszuführen, selbst wenn sie keine Root- oder Admin-Rechte haben.

Betroffen? Das Who-is-who der Branche

Zur Wahrheit gehört natürlich außerdem, dass nicht etwa schäbige Anti-Malware-Tools betroffen sind/waren, sondern vielmehr Apps namhafter Hersteller wie Sophos, Kaspersky Lab, Bitdefender und sogar Microsoft.

Das nachfolgende Video zeigt beispielsweise die Anwendung des Exploit mit McAfee Endpoint Security unter Windows.

Ein weiteres dokumentiert die Sicherheitslücke in Zusammenarbeit mit Norton Internet Security am Mac.

Die nachfolgende Auflistung an Software ist aus mehreren Gründen unvollständig. Zum einen bieten Hersteller Software unter unterschiedlichen Namen an, die aber die gleiche Technologie unter der Haube verwenden. Entsprechend könnten auch diese Apps betroffen sein. Zum anderen konnte Rack911 Labs nicht alle weltweit verfügbaren Tools testen. Doch die IT-Spezialisten haben im Nachgang auf Nachfrage auch weitere Tools überprüft, die ebenfalls das Problem aufwiesen. Im Ergebnis gibt es also eine hohe Dunkelziffer.

Welche Windows-Apps sind betroffen

Folgende Windows-Software ist/war betroffen:

• Avast Free Anti-Virus
• Avira Free Anti-Virus
• BitDefender GravityZone
• Comodo Endpoint Security
• F-Secure Computer Protection
• FireEye Endpoint Security
• Intercept X (Sophos)
• Kaspersky Endpoint Security
• Malwarebytes for Windows
• McAfee Endpoint Security
• Panda Dome
• Webroot Secure Anywhere

Welche Mac-Apps sind betroffen

Folgende Mac-Software ist/war betroffen:

• AVG
• BitDefender Total Security
• Eset Cyber Security
• Kaspersky Internet Security
• McAfee Total Protection
• Microsoft Defender (BETA)
• Norton Security
• Sophos Home
• Webroot Secure Anywhere

Welche Linux-Software betroffen ist

Folgende Linux-Apps ist/war betroffen:

• BitDefender GravityZone
• Comodo Endpoint Security
• Eset File Server Security
• F-Secure Linux Security
• Kaspersy Endpoint Security
• McAfee Endpoint Security
• Sophos Anti-Virus for Linux

Viele Apps bereits mit Updates

Rack911 Labs informiert darüber, dass es die Hersteller einzeln über die Schwachstellen der Apps informierte. „Viele“ hätten bereits Updates herausgebracht, die das Problem beheben. Dummerweise aber noch nicht „alle“. Um auf Nummer sicher zu gehen, muss man vermutlich selbst beim Anbieter der eigenen Antiviren-Software nachfragen.

Update

: Avast/AVG kontaktierte uns. Man ließ uns wissen, dass die eigenen Apps nicht (mehr) von dem Szenario betroffen seien. Offenbar kontaktierte Rack911 Labs das Unternehmen im März 2019, im April 2019 wurde dann ein Update für die betroffenen Apps veröffentlicht. Der Hersteller hat außerdem keine Hinweise darauf, dass die beschriebene Lücke tatsächlich zur Anwendung kam.

„Das im Artikel beschriebene Szenario trifft nicht auf Avast und AVG Antivirus (Gratis- und Premium-Versionen) zu, da Checks, durchgeführt von Avast und AVG File Shield, den Angriff erkennen und blocken würden.“ (Avast)

Auch andere Software betroffen

Laut Rack911 Labs ist es denkbar, dass auch andere Apps das gleiche Problem haben im Umgang mit symbolische Verknüpfungen und auf diese Weise selbst zu Opfern dieses Exploits werden können. App-Entwickler sollten ihre Software daraufhin untersuchen.

Welcher Schaden ist entstanden?

Eine Frage, die Rack911 Labs unbeantwortet lässt, ist diejenige, ob durch diesen Fehler messbarer Schaden entstanden sein könnte. Die IT-Sicherheitsspezialisten haben einen Fehler entdeckt und geholfen, ihn zu beheben. Ob diese Lücke tatsächlich ausgenutzt wurde, und wenn ja, wie oft – diese Antwort bleibt man uns schuldig.

Der Beitrag Antivirus-Software für Windows, Linux und macOS löscht(e) Dateien erschien zuerst auf Macnotes.de.

Angeblich kreiste im vergangenen Jahr 744% mehr Malware auf Mac-Rechnern als im Vorjahr, zu diesem Ergebnis kommt die Sicherheitsfirma McAfee. Doch das ehemalige Intel Security, das nun wieder eigenständig wird, sieht die Sicherheit wenig überraschend stets gefährdet.

Und ganz so schlimm sieht es auf den zweiten Blick dann auch nicht aus.

Löwenanteil nur nervige Ad-Ware

Ad-Ware, also Software, die unerwünschte Werbung enthält, macht mit einem Plus von 250% den Löwenanteil der Malware-Lawine aus. Insgesamt erkannte McAfee rund 630 Millionen Malware-Elemente, rund 460.000 davon liefen auf dem Mac. Apples System bleibt also nach wie vor ein recht friedlicher Ort, doch auch für den Mac tauchten immer wieder auch ernstzunehmende Bedrohungen auf. Grundsätzlich gilt auch hier: Software sollte man nur direkt vom Hersteller oder aus dem Mac App Store beziehen und das Surfen auf potenziell Malwareverseuchten Seiten ist nicht zu empfehlen. Regelmäßige Updates gefährdeter Elemente wie Java oder dem Flash Player verstehen sich von selbst.

Der Beitrag Bericht: 2016 deutlich mehr Malware auf dem Mac erschien zuerst auf Macnotes.de.

Regierungen in aller Welt hätten die Bodenhaftung verloren, sich vom Wähler entfernt. Dies gab John McAfee gegenüber CNNMoney zu Protokoll. Außerdem erläuterte er gegenüber dem Magazin, dass er sich dazu entschieden habe, Präsident zu werden, nachdem er von jedem positives Feedback auf die Idee dazu bekam. McAfee kandidiert weder für die Demokraten noch für die Republikaner, sondern wird von einer eigenen Partei, der Cyber Party aufgestellt.

McAfee glaubt, dass er im Internet eine treue Fangemeinde hat, die ihn wählen wird. Auch verspricht er, dass er Ungereimtheiten in seiner Vergangenheit aufklären wird. Es heißt, McAfee sei aus Belize geflohen, weil er Verdächtiger in einem Mordfall gewesen sei.

Für einen Aprilscherz ist es im September deutlich zu spät; McAfee gab gegenüber CNNMoney an, dass er, bzw. die Cyber Party beim Bundeswahlamt in den USA, dem FEC, bereits einen Antrag eingereicht hat. Allerdings wollte das FEC den Umstand nicht kommentieren.

Der Beitrag John McAfee will 2016 US-Präsident werden erschien zuerst auf Macnotes.de.

Gegegenüber IBTimes aus Großbritannien hat John McAfee angegeben die Hacker-Gruppe zu „kennen“, oder zumindest in Kontakt mit ihnen gewesen sein will. Entsprechend garantiert er öffentlich, dass die Behauptung des FBI falsch seien, dass Nordkorea Schuld am Hack von Sony Pictures habe.

McAfee habe selbst schon einmal mit dem FBI zusammengearbeitet, in diesem Fall läge die US-Bundesbehörde mit ihrer Einschätzung jedoch daneben. Er garantiere, dass es nicht Nordkorea gewesen sei, sondern eine Hackergruppe, die der Strömung der Libertaristen anhingen, Befürwortern von individuellem Handeln und Denken. Die Hacker würden die Restriktionen im Bereich der Kunst der Musik- und Film-Industrie hassen und hätten aus diesem Beweggrund Sony Pictures als Ziel der Hacker-Attacke Ende November 2014 ausgewählt.

Hacker weltweit verstreut

Laut McAfee seien die Hacker weltweit verstreut, wie für große Hackergruppen üblich. Er werde die Namen nicht preisgeben, weil er sonst als Polizeispitzel gebrandmarkt würde. Er selbst würde es aber nicht schlimm finden, dass Nordkorea deswegen beschuldigt würde, weil er die Aktionen des kommunistischen Staates nicht möge.

Als Gründer des Antiviren-Herstellers war er eins eher der Feind der Hackerkultur, doch nun würde er sie in ihrem Wunsch nach Freiheit unterstützen.

Der Beitrag McAfee: Nordkorea hat Sony Pictures nicht gehackt erschien zuerst auf Macnotes.de.

Das Wall Street Journal berichtet über einen seltsamen Auftritt John McAfees auf der DEF CON in Las Vegas. Dieser erzählte von Morddrohungen von Personen aus Belize, berichtete über das Lauschen von Bibelversen in Hörbuchform im Rauschzustand mit Marihuana und klagte sein Leid über das „Zeitalter der Zustimmung“ („age of consent“), in dem wir Dank Smartphones 2014 seien.

Zeitalter der Zustimmung

McAfee charakterisiert unsere jetzige Epoche so, weil man bei jeder Installation einer App auf dem Smartphone ungefragt „zustimmt“, dass die Software einen bespitzelt. Niemand würde sich die Nutzungsbedingungen durchlesen und dem Ausspähen so freiwillig zustimmen.

Nicht mehr länger McAfee

Obwohl McAfee ankündigt, über das Thema Privatsphäre vortragen zu wollen, erfuhren die Anwesenden noch einige andere Dinge: Einen Seitenhieb konnte der Gründer des Herstellers von Virenscanner-Software sich ebenfalls nicht verkneifen. Denn obgleich die Umbenennung bereits in den Januar zurückreicht, informierte McAfee die Zuhörer im Saal noch einmal darüber, dass Intel sich zu Jahresbeginn von „seinem Namen“ trennte. Seitdem wird der Virenscanner „Intel Security“ genannt, und das ließ dem schottischen Naturell offenbar keine Ruhe.

Intel selbst hat einen Zusammenhang zur „negativen Presse“ in Verbindung mit McAfee dementiert. Doch es wird spekuliert, dass man nicht vereinbaren konnte, die Software weiterhin McAfee zu nennen, nachdem der ehemalige Gründer 2012 sogar Verdächtiger in einem Mordfall war. Nach der Übernahme durch Intel, zu einem Kaufpreis von mehr als $7 Milliarden im Jahr 2010 hatte sich der Gründer nach Belize zurückgezogen. Dort wurde 2012 eines Tages die Leiche seines unmittelbaren Nachbarn aufgefunden. Es folgte eine Geschichte voller Irrungen und Wirrungen und die Flucht nach Guatemala, die damit endete, dass McAfee einen Herzinfarkt vorspielte, um in die USA ausgeflogen zu werden.

John McAfee nicht mehr interessiert

Aus dem Publikum wurde der Schotte angesprochen auf das Sicherheitsrisiko des Google Play Store. Doch McAfee konnte oder wollte darauf nicht antworten. Er wich aus, indem er erklärte: „Ich weiß nicht mehr viel über Technologie“ (I don’t know much about technology anymore“). McAfees Kritik an Smartphones klingt vor diesem Hintergrund wenig glaubhaft.

Der Beitrag DEF CON 2014: John McAfee rät von Smartphones ab erschien zuerst auf Macnotes.de.

Die Webseite von heiseSecurity berichtete über eine Sicherheitslücke, die einer der Leser gefunden hat. Über einen speziell präparierten Link, den man über simple Bot-Netze an tausende von Nutzern hätte schicken können, wäre man so in den Genuss von Logindaten der Nutzer gekommen. Unbemerkt hätte man so sicherlich erst einmal eine Menge geldwerten Schaden anrichten können.

Taube Ohren

Der Leser von heiseSecurity hatte Anfang Juli ClickandBuy angeschrieben, aber keine Antwort erhalten. Auch heiseSecurity hatte erst keinen Erfolg. Ganz gleich ob Support oder Pressestelle. Eine Antwort erhielt man erst mit über einer Woche Verzögerung.

Als dann schließlich am 24ten Juli ein Artikel über die Sicherheitslücke online ging, wurde binnen eines Tages selbige geschlossen. Keiner weiß, wie lange die Lücke tatsächlich vorhanden war. Denn sie kann weit vor dem Fund des heiseSecurity-Lesers schon bestanden haben.

Bedauern, das nichts kostet

Zunächst äußerte man „tiefstes Bedauern“, dass es so lange gedauert hätte, bis man geantwortet habe, dann bestätigte man das Problem jedoch. Es wurde eine Ausrede präsentiert, in der Form, dass man für seine Sicherheitspolitik unter anderem auf die Dienste von McAfee Secure zurückgreife. Die spezielle Webseite, über die es möglich war, die Zugangsdaten der Nutzer einfach abzugreifen, wurde aber nicht überprüft. Das kommt davon, wenn man Dienst nach Vorschrift tut. Aber wer will es McAfee verdenken. Denn grundsätzlich liegt die Verantwortung beim Unternehmen, das den Dienstleister hätte anweisen müssen, auch diese Seite zu überprüfen.

Unklar ist, warum diese Seite nicht mit in das Prüfintervall aufgenommen wurde. Denkbar wäre vielleicht – um einer Abmahnung aus dem Weg zu gehen -, dass nur eine begrenzte Zahl an Webseiten getestet wird, weil es sonst zu teuer wird, und sich „der Spaß“ vielleicht nicht mehr rentiert.

Erklärungen, die nicht weiterhelfen

Dann tritt die Telekom-Tochter aber in alter Tradition eines Staatsunternehmens (das die Telekom ja mal war) vor die Öffentlichkeit und gibt analog zur DB eine eher merkwürdige Erklärung bekannt. Dass der Fehler so lange nicht behoben wurde lag an einem „Fehler in der internen Zuordnung“, der jetzt beseitigt sei. Was bitteschön ist ein Fehler in der internen Zuordnung? Zuordnung wovon? Immerhin geht es dabei um das Geld von vielen Menschen, sicherlich nicht um das des Rockzipfels der Presseabteilung.

Man könnte diese Formulierung von einem „Fehler in der internen Zuordnung“, der nun beseitigt sei, sicherlich auch interpretieren als – „Da hat jemand Mist gebaut, und wir haben ihn fristlos gekündigt. Wird hoffentlich nicht wieder vorkommen.“ Was mich trotzdem ärgert ist, dass man die eigenen Kunden im Unklaren lässt. „Aber“ laut ClickandBuy gegenüber heiseSecurity gibt es keine Hinweise darauf, dass die Lücke tatsächlich ausgenutzt wurde, um Kunden um ihr Geld zu bringen. Und weil man „glaubt“, dass nichts passiert ist, muss man seine Kunden auch nicht darüber informieren, dass etwas passiert sein könnte, von dem man nicht sicher weiß, dass es nicht doch passiert ist. Ganz großes Kino.

Kontrolliert den Zahlungsverkehr!

Mein Tipp: Jeder sollte sich die Buchungen auf seinem ClickandBuy-Konto anschauen, die er seit seiner Anmeldung bis heute noch einsehen kann, und wenn er Unregelmäßigkeiten entdeckt, den Anbieter mit Verweis auf diese Cross-Site-Scripting-Sicherheitslücke, die er selbst bestätigte, um eine Erklärung bitten. „Unser“ Geld ist viel zu schade als dass man es sich durch inkompetente Dienstleister aus dem Fenster werfen lassen müsste.

Der Beitrag ClickandBuy: Die Sicherheitslücke, von der niemand wissen wollte erschien zuerst auf Macnotes.de.

Flipboard für iPad bald mit TV-Shows & Filmen: Die iPad-App Flipboard soll eine Integration von TV-Shows, Filmen und weiteren Content erhalten. Reuters berichtet, das die Macher von Flipboard an Verhandlungen dran sind. Laut Flipboard-CEO Mike McCue soll das Video-Projekt bis Ende des Jahres abgeschlossen werden. [via TUAW]

MUPromo cf/x collage 1.3.1: Heute gibt es bei MacUpdate das Foto-Tool cf/x collage 1.3.1 mit rund 50% Rabatt für nur $14,99. cf/x collage hilft dabei Fotocollagen zu erstellen. Download Trial (19,6 MB).

Software-Updates: Fehlerbehebungen für den Taskmanager Things 1.5.1, für den Uninstaller CleanApp 3.4.8, für die Safari-Erweiterung SafariRestore 5.2, für den RubyCocoa IRC-Client LimeChat 2.28 und für die Internetradio-App Radioshift 1.6.6. Der Tweeter-Client Tweetings 2.1.0 bietet ab sofort Support für die neuen nativen Twitter-Fotos, und unterstützt Tweet Marker-Sync.

Der Beitrag Android-betreffende Malware nimmt 76% zu, Flipboard für iPad bald mit TV-Shows & Filmen & Updates: Notizen vom 26.8 erschien zuerst auf Macnotes.de.

Dem Bericht zufolge haben Angriffe auf Android massiv zugenommen: 76% mehr Attacken hat das Sicherheitsunternehmen gezählt als noch im ersten Quartal 2011. Dieses Phänomen käme unter anderem daher, dass der grüne Google-Roboter im letzten Jahr einen großen Aufwärtstrend erfahren habe. Daher sei die Plattform für Autoren von Malware deutlich interessanter geworden, also wird das Angebot an Trojanern und ähnlichem Getier größer.

Ganz allein dem Marktanteil will McAfee aber nicht die Schuld geben. Ein größeres Stück vom Kuchen geht an die viel gepriesene Offenheit des Systems. Vor allem der Marketplace ist eine beliebte Quelle, sich Malware einzufangen heißt es. Dabei würden Angreifer ein harmlos erscheinendes Programm hochladen, das mit Schadcode gewürzt ist und ahnungslose Anwender installieren es.

Ende Juni kam der Sicherheitsdienstleister Symantec auf ähnliche Ergebnisse, zog dabei aber den Vergleich zu Apples iOS. Es sei demnach zwar keinesfalls so, dass iOS weniger Sicherheitslücken bieten, wohl aber bieten Apple-Mobilgeräte durch den gut moderierten App Store deutlich weniger Angriffsfläche für Attacken. Eine Sicherheitslücke müsste da schon in der Nähe des Browsers sein oder der Anwender sein iOS-Device jailbroken haben, um ähnlichen Problemen zum Opfer zu fallen, heißt es.

[Reuters]

Der Beitrag McAfee: Android verdrängt Symbian – bei den am meisten angegriffenen Mobil-Betriebssystemen erschien zuerst auf Macnotes.de.

Als CPU-Lieferant der Desktop- und Notebook-Reihen Apples wird Intel damit auch unter Mac OS X noch etwas relevanter in Sachen Security werden. Für Mac OS hat McAfee bereits seit längerer Zeit seine Internet Security-Suite im Angebot, der Virenscanner ist wie die Konkurrenz von BitDefender, F-Secure, Kaspersky und Sophos (die ihre Suite gratis anbieten) trotz des Angebots für die Mac-Plattform und einer steigenden Taktfrequenz der Mac-Malwarewarnungen noch nicht so recht zur Selbstverständlichkeit geworden.

Ein „Gesamtsicherheitspaket“ will nun auch Intel mit der McAfee-Akquise schnüren. Während sich andere Hersteller in Gesprächen und Interviews vor allem für ganzheitliche Ansätze gegen Malware im (heterogenen) Netzwerk ausgesprochen haben, plant Intel mit der McAfee-Übernahme Sicherheitskonzepte, die auf der CPU/Hardwareebene einsetzen und bis auf die Software/Anwenderebene reichen. Die passende Expertise hat man dafür nun inhouse beisammen – auch wenn McAfee eine weitgehend unabhängige Tochter bleiben soll.

Der Beitrag Intel kauft McAfee: Deal complete erschien zuerst auf Macnotes.de.

Sicherheitsupdates für Reader & Acrobat, Wartung für Brigde

Adobe hat weitere Sicherheitsupdates für Adobe Reader und Adobe Acrobat herausgegeben. Adobe Reader 9.3.4 und Adobe Acrobat 9.3.4 stehen ab sofort zum Download bereit und werden allen Nutzern der Adobe-Programme empfohlen. Außerdem gibt es ein Wartungsupdate für Adobe Bridge CS5, das die Exportfunktion erweitert und kleinere Verbesserungen bringt.

Software-Updates

ForkLift 2.0 Beta 4 kann ab sofort geladen und getestet werden. Fehlerbehebungen für den Twitterclient Twitterrific 3.2.4, für den Audio-Recorder TapeDeck 1.3.3, für das Wartungstool Purity 1.05.1, für das Designtool Art Text 2.3.2 und für den FTP-Client Flow 1.3.2. Das Update für BoinxTV 1.6.2 behebt unter anderem Probleme, die nach dem vorherigen Update auf dem MacBookPro mit Nvidia 9400M und Nvidia 9600M GT auftraten.

Der Beitrag Intel kauft McAfee & Updates: Notizen vom 19.8 erschien zuerst auf Macnotes.de.