Sonntag, 6. September 2015

Auto-Sicherheitsupdates per Post

Die Firma Fiat Chrysler veröffentlicht nach dem Hack der Software verschiedener Modelle ein Update, was die Sicherheitslücke fixen soll.

Fraglich ist dabei nur die Art, wie das Update ausgerollt wird: Anstatt es gesichert über das Mobilfunknetz an die Autos zu verteilen, wird sämtlichen Besitzern eines betroffenen Wagens ein Brief inklusive eines USB-Sticks mit einem Update zugeschickt. Diesen Stick soll man einfach im Auto anschließen können, um das Update zu installieren.

Dieses "Feature" könnte natürlich auch Hackern Tür und Tor öffnen. Wenn die Update-Funktion, die von den USB-Sticks ausgelöst wird, nicht gut genug gesichert ist und Hacker erst einmal in der Lage sind, eine eigene manipulierte Firmware zu erstellen, müssen sie sich nicht umständlich die Mühe machen und das Netzwerk kompromittieren, um die Autos dazu zu bringen, die eigene Software zu installieren.

Hacker müssten dann einfach nur einen Brief erstellen, der aussieht wie ein offizieller Brief vom Hersteller, und einen USB-Stick mit der manipulierten Firmware beilegen. Dieser Brief kann dann in der Nachbarschaft bei allen Leuten, die ein entsprechendes Fahrzeug besitzen, in den Briefkasten geworfen werden.

Ob diese Installation von einem ungesicherten USB-Stick sicherer ist als über HTTPS im Mobilfunknetz? Anwendern wird immer wieder geraten, keine unbekannten Anhänge zu öffnen oder keine "gefundenen" USB-Sticks am PC anzuschließen, und jetzt kommt ein Autohersteller auf die Idee, einfach mal einen Brief (den jeder fälschen kann) zu schreiben mit dem Inhalt "Schließ doch mal bitte diesen Stick an dein Auto an".

Samstag, 5. September 2015

Unautorisierter Zugriff auf Mozilla-Bugtracker

Im Bugtracker von Mozilla ("Bugzilla") werden sämtliche Fehler in Mozilla-Produkten festgehalten - unter anderem auch sicherheitskritische Fehler, die etwaige Sicherheitslücken beschreiben. Mozilla macht allerdings Bug-Reports, die gefährliche Sicherheitslücken beschreiben, nicht für die Öffentlichkeit sichtbar.

Ein Angreifer hatte allerdings vor bereits einem Jahr einen Bugzilla-Account eines Entwicklers gehackt - vermutlich durch eine Sicherheitslücke im PDF-Plugin von Firefox - und konnte sämtliche Details über gemeldete Bugs und Sicherheitslücken mitlesen.

Ab der Firefox-Version 40.0.3  (erschienen am 27.08.2015) wurden alle Bugs behoben, auf die der Angreifer Zugriff erlangen konnte.
Mozilla will mit erweiterten Sicherheitsmechanismen dafür sorgen, dass ein solcher Fall in Zukunft nicht mehr vorkommt.

Weitere Details zum Angriff gibt es im Mozilla-Blog