Der unabhängige IT- und Tech-Kanal!
internet.board.entertainment.games.hardware
Bei Video-Links wird mit dem neuen System sogar direkt eine Vorschau generiert. In dem dazu verwendeten System existiert offenbar eine Sicherheitslücke, die es ermöglicht, zu verhindern, dass die im Link enthaltenen Zeichen ordnungsgemäß interpretiert werden (nämlich eine Escape-Sequenz durchlaufen). Das ermöglicht einem Angreifer mit entsprechenden Kenntnissen das Einschleusen von aktivem HTML- oder JavaScript-Code.
Über diesen Code kann beispielsweise die Weiterleitung auf eine mit Schadcode verseuchte Website erfolgen. Auch könnten sensible Daten wie Session-Cookies, die geheime E-Mail-Adresse des Accounts oder sogar private Nachrichten ausgelesen und an den Angreifer weitergeleitet werden. Für die erfolgreiche Weiterleitung sowie das Auslesen der Cookies liegt gulli:News ein Proof of Concept vor. Der Schüler und Hacker Armin R. entdeckte die Lücke und setzte sich daraufhin mit gulli:News in Verbindung. Seiner eigenen Aussage nach will der 16-Jährige verhindern, dass die Probleme totgeschwiegen werden, und bei den Benutzern ein Bewusstsein für die Problematik des Netzwerks wecken.
Der Angriff bietet ein erhebliches destruktives Potential. Wird die Weiterleitung entsprechend implementiert, kann sie versteckt erfolgen, so dass der betroffene Benutzer nichts davon mitbekommt. Denkbar wäre sogar, ein Script zu schreiben, über das sich der bösartige Link selbst weiterverbreitet. So ließen sich mit überschaubarem Aufwand in kurzer Zeit erhebliche Mengen an Daten gewinnen. Auch für die Malware-Verbreitung wäre diese Vorgehensweise vielversprechend, da zahlreiche Benutzer "automatisiert" auf Websites mit entsprechendem Schadcode weitergeleitet werden könnten. Der Angreifer selbst hat bei diesem Angriff kaum Traffic- und Rechenaufwand. Das unterscheidet diese Form der Datensammlung vom bereits mehrfach bei VZ-Netzwerken praktizierten Einsatz eines Crawlers. Auch ist der hier vorliegende Angriff, wie bereits beschrieben, weit vielseitiger einsetzbar.
Da der Exploit auf der Video-Vorschau-Funktion basiert, funktioniert er nur, wenn der für die zuständige Dienst oohembed erreichbar ist. Ist dieser - wie es momentan häufiger der Fall zu sein scheint - durch Überlastung nicht erreichbar, kann entsprechend auch der Angriff nicht erfolgreich durchgeführt werden.
Die VZ-Netzwerke fielen in der Vergangenheit bereits mehrfach durch Sicherheitslücken auf. Am prominentesten war der Fall des auch im gulli:Board aktiven Matthias L. ("exit", "Matthew"), der mit Hilfe eines Crawlers erfolgreich auch als privat gekennzeichnete Daten auslesen konnte (gulli:News berichtete). SchülerVZ warf dem 20-Jährigen vor, er habe mit dem Wissen um die Sicherheitslücke und der Drohung, die gefundenen Daten zu veröffentlichen, SchülerVZ erpressen wollen, was der Hacker stets bestritt. Matthias L. kam in Untersuchungshaft, wo er kurze Zeit später tot aufgefunden wurde. Allem Anschein nach hatte er sich selbst das Leben genommen (gulli:News berichtete). Der Anwalt von Matthias L. zeigte die Betreiber von SchülerVZ wegen des Verdachts einer falschen uneidlichen Aussage und falscher Verdächtigungen an (gulli:News berichtete). Das Verfahren wurde aber kürzlich eingestellt (gulli:News berichtete). Auch vor einem Monat tauchten wieder berichte über den erfolgreichen Einsatz eines Crawlers bei SchülerVZ auf (gulli:News berichtete).
Es ist nicht unwahrscheinlich, dass andere VZ-Netzwerke (StudiVZ, meinVZ) ebenso wie SchülerVZ für den neuen Angriff anfällig sind.
Update 1:
Der Entdecker der Sicherheitslücke bestätigte gegenüber gulli:News mittlerweile, dass der Angriff in jedem Fall auch bei StudiVZ und meinVZ funktioniert.
Update 2:
SchülerVZ reagierte mittlerweile auf die Sicherheitslücke, indem das angreifbare Thumbnail-Feature deaktiviert wurde. Momentan besteht also kein diesbezügliches Sicherheitsrisiko für die Nutzer der VZ-Netzwerke.
Update 3: (von Ghandy)
Auszug einer aktuellen E-Mail eines Technikers der VZnet Netzwerke Limited: „Ich habe heute Mittag mit dem Finder der Lücke zweimal telefoniert, er hat uns seinen proof of concept code geschickt. Wir konnten die Lücke nachvollziehen, haben sie behoben und sind gerade dabei ein neues release auf die produktiv plattform zu schieben.“ Das betroffene Feature wird bald wieder aktiviert, die Sicherheitslücke ist damit behoben. „Nochmal vielen Dank für den Hinweis und die Vermittlung zwischen dem Finder und VZ.“ Zudem würde man sich wünschen, dass wir der Firma derartige Bugs vor einer Veröffentlichung ankündigen, damit man dort genügend Reaktionszeit zur Verfügung hat. Das Unternehmen hatte uns im Vorfeld schriftlich zugesagt, dass der Hacker Armin R.strafrechtlich nicht von ihnen belangt wird. Unter dieser Voraussetzung waren wir zu einer Vermittlung bereit, damit der Bug so schnell wie möglich behoben werden kann.
Annika Kremer am Dienstag, 08.06.2010 20:18 Uhr
Tags:
schülervz
Wenn die sich so viel Mühe geben, sollen die ihre News halt auch bekommen... finde ich auch. Sicherheitslücken gehören zur Tagesordnung. Wie damit umgegangen wird ist das interessante! ...
Irgend ein VZ Netzwerk is doch echt bald jeden Tag in irgendwelchen News sei es Datenschutz oder Sicherheit :D Wenn die sich so viel Mühe geben, sollen die ihre News halt auch bekommen... ...
Irgend ein VZ Netzwerk is doch echt bald jeden Tag in irgendwelchen News sei es Datenschutz oder Sicherheit :D ...
Naja, der Fall von "exit" war schon ein wenig anders. Aber sicher ist sicher. ...
das mit dem selbstmord finde ich ein wenig übertrieben oO auch wenn sowas schonmal vorgekommen zu sein scheint (hatte davon noch nichts gewusst bis zu den gewissen Beiträgen am Anfang des Threads) Aber sonst, wäre ja auch die Höhe wenn sie auf so eine Sicherheitslücke hi ...
Lars Sobiraj am 20.05.2012, 16:54 Uhr
Im US-amerikanischen iTunes Store wurden statt dem Begriff "Jailbreak" lediglich Sternchen zwischen dem Anfangs- und Endbuchstaben angezeigt. Davon waren letztlich alle Kategorien betroffen. So wurden neben Apps auch Klingeltöne, Podcasts, Musikstücke, ganze Alben und eBooks zensiert angezeigt. Laut den Untersuchungen von Shoutpedia waren mehrere Monate lang 95% aller Begriffe davon betroffen.
Kämpfe als Held in diesem einzigartigen Fantasy Game. Viele Gefahren und Abenteuer erwarten dich! 
spielen
Erschaffe deine eigene Insel und erobere die Welt. Krieg oder Wachstum - deine Strategie entscheidet! spielen
Werde Gladiator und kämpfe im antiken Zeitalter um Ruhm und Ehre. Gehe Bündnisse mit anderen Spielern ein und kämpft gemeinsam gegen die schrecklichen Barbaren. spielen
Ziehe als einsamer Waldläufer oder an der Seite von Kampfgefährten in einem Fantasy-Spiel von Abenteuer zu Abenteuer. spielen
Tritt gegen legendären Samurai aus Japan des 19. Jahrhundert an und werde der gefürchtetste aller Samurai. spielen
Tritt in eine epische Schlacht zwischen Werwölfen und Vampiren, in der nur die Stärksten überleben werden, ein. spielen
