backup & security – Page 39

AMD Sinkclose: Sicherheitslücke betrifft Mio. von CPUs und wird nicht bei allen geschlossen

AMD hat seine neuen Ryzen 9000 vorgestellt.

Nachdem es bei Intel Ärger um einen Fehler gegeben hat, der durch zu hohe Spannungen die Core der 13. und 14. Generation dauerhaft beschädigen kann, vernimmt man nun auch Probleme um AMDs Prozessoren. So sind Millionen von Chips von einer Sicherheitslücke betroffen. Sicherheitsforscher haben den Exploit „Sinkclose“ getauft. Über die Schwachstelle könnten sich Angreifer Zugriff auf den „System Management Mode“ (SMM) sichern und so im Grunde schalten und walten, wie ihnen beliebt.

Pikant: Die Sicherheitslücke betrifft offenbar CPUs von AMD, die teilweise bereits vor zwei Jahrzehnten veröffentlicht worden sind. Einmal infiziert, wäre die Ausnutzung von Sinkclose kaum zu erkennen, denn Antivirensoftware würde nichts bemerken. Selbst das komplette Zurücksetzen des Systems würde keine Abhilfe schaffen. Die Sicherheitsforscher geben an, man müsste ein hardwarebasiertes Programmiertool einsetzen und direkt mit einem betroffenen Speicherchip verbinden, um die Malware zu entfernen. Das sei derart aufwändig, dass die meisten Anwender ihren Rechner dann besser entsorgen sollten.

Immerhin: Das Ausnutzen von Sinkclose alias CVE-2023-31315 ist alles andere als ein Kinderspiel. Denn um überhaupt einen erfolgreichen Angriff auszuführen, benötigen Dritte bereits Kernelzugriff (Ring O). Somit muss das jeweilige System ohnehin schon kompromittiert worden sein. Über Sinkclose ließe sich also in erster Linie bei einem bereits erfolgreich angegriffenen System dauerhaft der unentdeckte Zugriff absichern.

Sinkclose könnte staatlichen Hackern in die Hände spielen

Interessant ist Sinkclose deswegen wohl primär interessant für Hacker, die viele Ressourcen zur Verfügung haben und im Auftrag von Regierungen agieren. Sie nutzen häufig Techniken aus, um auf Kernel Zugriff zu erhalten und gewinnen so einen Weg, einmal gewonnene Zugänge abzusichern. Entdeckt worden ist Sinkclose dabei von den Forschern von IOActive. Sie habe AMD bereits im Oktober 2023 über das Problem informiert.

Öffentlich äußern sich die Forscher erst jetzt zu der Misere, da man AMD ausreichend Zeit einräumen wollte, an einem Fix zu arbeiten. Daher gibt es auch kein öffentliches Proof-of-Concept. Im Stillen hat AMD schon Firmware-Updates für viele Prozessoren der Reihen Epyc, Athlon und Ryzen veröffentlicht. Einige Embedded-Modelle will man im Oktober 2024 versorgen. Gleichzeitig hat AMD bedauerlicherweise angesagt (via Toms Hardware), dass ältere CPUs dauerhaft von Sinkclose betroffen sein werden.

So sind teilweise Chips aus z. B. dem Jahr 2006 betroffen. Weil sie längst aus der Support-Dauer herausgefallen und kaum noch im Gebrauch sind, will AMD für jene keine Updates mehr liefern.

Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.

Ecovacs: Zahlreiche Produkte sind unsicher

Angreifer können die Kontrolle über Staubsauger- und Rasenmäherroboter von Ecovacs übernehmen, um ihre Besitzer mithilfe der Kameras und Mikrofone der Geräte auszuspionieren, wie neue Forschungen ergeben haben.

Die Sicherheitsforscher Dennis Giese und Braelynn hatten auf der Def-Con-Konferenz über ihre Untersuchungen zu Ecovacs-Robotern gesprochen. Bei der Analyse mehrerer Ecovacs-Produkte entdeckten die beiden Forscher eine Reihe von Schwachstellen, die ausgenutzt werden können, um die Roboter über Bluetooth zu hacken und heimlich Mikrofone und Kameras aus der Ferne einzuschalten.

„Ihre Sicherheit war wirklich, wirklich, wirklich, wirklich schlecht“, sagte Giese in einem Interview mit dem US-Medium TechCrunch.

Die Forscher erklärten, dass sie Ecovacs kontaktierten, um die Schwachstellen zu melden, aber nie eine Antwort von dem Unternehmen erhielten. Sie glauben, dass die Schwachstellen noch immer nicht behoben sind und von Angreifern ausgenutzt werden könnten. Ecovacs reagierte auch nicht auf Anfragen von TechCrunch für eine Stellungnahme.

Das Hauptproblem, so die Forscher, besteht darin, dass es eine Schwachstelle gibt, die es jedem ermöglicht, sich mit einem Telefon über Bluetooth mit einem Ecovacs-Roboter zu verbinden und ihn aus bis zu 130 Meter Entfernung zu übernehmen. Sobald die Angreifer die Kontrolle über das Gerät haben, können sie sich remote damit verbinden, da die Roboter selbst über WLAN mit dem Internet verbunden sind.

„Man sendet eine entsprechende Anfrage (Payload), die eine Sekunde dauert, und dann verbindet sie sich zurück zu unserer Maschine. So kann sie sich zum Beispiel mit einem Server im Internet verbinden. Und von dort aus können wir den Roboter fernsteuern“, sagte Giese. „Wir können die WLAN-Zugangsdaten auslesen, wir können alle [gespeicherten Raum-] Karten auslesen. Wir können, weil wir auf dem Betriebssystem des Roboters sitzen, auf Kameras, Mikrofone und alles andere zugreifen.“ Normalerweise – so kenne ich das – muss an den Geräten selbst bestätigt werden, wenn man Kamera und Co. nutzen möchte, sprich, man muss eine Hardware-Taste drücken.

Giese sagte im Interview, dass die Rasenmäherroboter ständig Bluetooth aktiviert haben, während die Staubsaugerroboter Bluetooth für 20 Minuten aktivieren, wenn sie eingeschaltet werden, und einmal täglich bei ihrem automatischen Neustart, was sie etwas schwieriger zu hacken macht.

Da die meisten neueren Ecovacs-Roboter mit mindestens einer Kamera und einem Mikrofon ausgestattet sind, können die Roboter, sobald die Angreifer die Kontrolle über einen kompromittierten Roboter haben, in Spione verwandelt werden. Laut den Forschern haben die Roboter keine Hardware-Leuchte oder andere Indikatoren, die Personen in der Nähe darauf hinweisen, dass ihre Kameras und Mikrofone eingeschaltet sind.

Doch es soll noch mehr Probleme mit Ecovacs-Produkten geben. Die auf den Robotern gespeicherten Daten verbleiben auf den Cloud-Servern von Ecovacs, selbst nachdem das Benutzerkonto gelöscht wurde; auch der Authentifizierungstoken bleibt in der Cloud, wodurch jemand auf einen Staubsaugerroboter zugreifen kann, nachdem das Konto gelöscht wurde, und möglicherweise die Person ausspionieren kann, die den Roboter gebraucht gekauft hat.

Untersucht wurden folgende Modelle: Ecovacs Deebot 900 Series, Ecovacs Deebot N8/T8, Ecovacs Deebot N9/T9, Ecovacs Deebot N10/T10, Ecovacs Deebot X1, Ecovacs Deebot T20, Ecovacs Deebot X2, Ecovacs Goat G1, Ecovacs Airbot Z1, Ecovacs Airbot AVA und der Ecovacs Airbot ANDY. Viele Produkte sind auch in Deutschland sehr beliebt.

Angebot

Proton Pass: Identitätsmanagement und biometrische Authentifizierung am Desktop

Neues gibt es ab sofort für Nutzer des Passwortmanagers Proton Pass, nämlich Identitäten. Identitäten erleichtert Nutzern die plattformübergreifende Organisation und Sicherung ihrer persönlichen Daten, so die Entwickler. Sprich: Ihr könnt da unterschiedliche Identitäten verwalten, das geht über Zugangsdaten hinaus, man kann jegliche Daten festhalten.

Die Funktion steht der gesamten Proton-Pass-Community zur Verfügung und wird ab heute schrittweise eingeführt. Sie wird auf allen wichtigen Plattformen verfügbar sein. Im Rahmen dieser Einführung führt man in den Desktop-Apps auch biometrische Authentifizierung für diejenigen mit kostenpflichtigen Abos ein. Das gilt für alle Plattformen. Mobil war das ja schon gängig, nun eben auch am Desktop, beispielsweise mit Windows Hello. Die Ankündigung findet ihr hier.

Xiaomi Security Center verrät euch, wie lange eure Smartphones Updates erhalten

Eines der ersten offiziellen Bilder des Xiaomi 14 Ultra.

Kleiner Tipp für alle Leser, die Smartphones oder IoT-Geräte von Xiaomi nutzen bzw. über den Kauf nachdenken. So gibt es online das sogenannte „Xiaomi Security Center“. Dahinter verbirgt sich unter anderem eine Datenbank, in welcher der Hersteller seine Geräte auflistet und auch angibt, wie lange diese Sicherheits-Updates erhalten (haben). Nicht nur Geräte von Xiaomi selbst, auch jene der Marken Redmi und Poco sind dort eingetragen.

Ist also im Grunde eine ganz simple Sache: Ihr gebt den Namen eures Geräts ein und schon seht ihr, wie lange ihr noch Sicherheits-Updates erwarten könnt. Wichtig allerdings: Die verbleibende Support-Dauer sagt leider nichts darüber aus, wie regelmäßig Aktualisierungen bei euch ankommen. Denn da ist Xiaomi nicht unbedingt das große Vorbild und belässt in der Regel einige Monate zwischen den Updates.

Vielleicht hilft euch dieser Link-Tipp aber ja weiter. Denn ich habe den Eindruck, das Xiaomi Security Center ist nicht allen ein Begriff. Solltet ihr dort mal stöbern wollen: Hier findet ihr das Xiaomi Security Center online. Neben der Geräte-Datenbank findet ihr auf der Website auch noch weitere Informationen, etwa zu Sicherheitsmeldungen.

Google Authenticator 7.0 mit Neuerungen veröffentlicht

Vermutlich nutzen die meisten unserer Leser mittlerweile einen Passwortmanager. Die bieten seit vielen Jahren auch eine integrierte Verwaltung von OTP-Codes an. Doch nicht alle wollen „alle Eier in ein Nest“ legen, weshalb sie zu einer externen Lösung zur Code-Generierung greifen. Der Google Authenticator ist eine App von Google, die für die Zwei-Faktor-Authentifizierung (2FA) verwendet wird. Mithilfe der App können Nutzer zusätzliche Einmalpasswörter generieren, die neben dem herkömmlichen Passwort bei der Anmeldung zu verschiedenen Online-Diensten abgefragt werden. Aktuell verteilt das Unternehmen die Version 7.0 des Google Authenticator für Android mit kleineren Neuerungen. Grundsätzlich setzt Google erst einmal sein Material-3-Redesign weiter fort.

In den Einstellungen können Nutzer einen neuen Datenschutzbildschirm aktivieren, der den Zugriff auf die App durch die Bildschirmsperre, PIN oder biometrische Daten schützt. Anwender haben auch die Möglichkeit, die Option „Entsperren erforderlich, nachdem die App unsichtbar ist“ auf verschiedene Zeitintervalle einzustellen: sofort, nach 10 Sekunden, nach 1 Minute oder nach 10 Minuten.

Verschiedene Bildschirme wurden In-App modernisiert und der Floating Action Button (FAB) hat jetzt die Form eines abgerundeten Quadrats anstelle eines Kreises. Die Benutzeroberfläche für das Scannen von QR-Codes wurde ebenfalls überarbeitet. Es gibt jetzt eine Blitzlicht-Option in der oberen rechten Ecke. Der Authenticator erklärt seinen Nutzern bei der Erstnutzung, dass der Scanvorgang von den Google-Play-Diensten unterstützt wird, wobei keine Bilddaten weitergegeben werden. Der Scanvorgang findet komplett auf eurem Gerät statt, und Google speichert weder Bilddaten noch die gescannten Codes. Außerdem bietet Google Authenticator 7.0 nun eine App-Verknüpfung, mit der Anwender schnell ein neues Konto hinzufügen können.

Alternativen? Haben wir ohne Ende im Blog mit unseren Lesern besprochen – darunter u. a. 2FAS.