Security-Hinweise zum neuen iPhone-Wurm und mehr

Es gibt weitere Informationen zum neuen iPhone-Wurm. Ein neuer Wurm ist auf Facebook unterwegs, das chipTAN-Verfahren der Sparkassen wurde ausgehebelt, und es gibt eine neue Beta-Version von Nmap. Darja Gudkova vom Kaspersky Lab hat die Spam-Statistiken zum dritten Quartal 2009 erstellt, und Suyog Sainkar von Symantec warnt vor Phishing-Angriffen auf Online-Spieler.

Infos zum neuen iPhone-Wurm

Es gibt weitere Informationen zum neuen iPhone-Wurm: Paul Ducklin von Sophos hat mit dem Passwort-Knacker John the Ripper das vom Wurm geänderte root-Passwort ermittelt: Es lautet 'ohshit'. Da der Wurm das Passwort nicht über den passwd-Befehl ändert, sondern es direkt in der Datei /etc/master.passwd ersetzt, wird nicht nur das des root-Accounts ersetzt, sondern alle Passwörter, die 'alpine' (das Default-root-Passwort) heißen. Ggf. müssen also auch die Passwörter der betroffenen Benutzerkonten korrigiert werden. Außerdem nennt Ducklin die IP-Adresse des Command&Control-Servers, mit dem sich der von ihm 'Duh' genannte Wurm verbindet: 92.61.38.16. Und Graham Cluley von Sophos berichtet mit Verweis auf einen BBC-Bericht, dass der Wurm tatsächlich Onlinebanking-Informationen ausspäht: Die ING Bank hat ihre Callcenter-Mitarbeiter über den Wurm informiert, damit die den Kunden zur Seite stehen können.

Neuer Wurm auf Facebook unterwegs

Nick FitzGerald und Roger Thompson von AVG berichten über einen von Gadi Evron entdeckten neuen Wurm, der sich über eine Cross-Site-Request-Forgery-Schwachstelle auf Facebook verbreitet. Roger Thompson hat ein Video des Wurms erstellt, das er übervorsichtig mit der Warnung "WARNING! It is R-rated, so be aware." versehen hat:

chipTAN-Verfahren der Sparkassen ausgehebelt

RedTeam Pentesting hat beschrieben, wie sich das chipTAN-Verfahren der Sparkassen durch einen Man-in-the-Middle-Angriff aushebeln lässt. Beim chipTAN-Verfahren wird die für die Durchführung einer Überweisung benötigte TAN von einem kleinen Gerät erzeugt, das die für die TAN-Berechnung benötigten Informationen einschließlich Kontonummer und Betrag über einem sog. Flickercode auf der Website der Bank erhält. Nur wenn die vom Gerät angezeigten Werte von Kontonummer und Betrag korrekt sind, soll der Benutzer die Aktion fortsetzen. Über einen Man-in-the-Middle-Angriff können Sammelüberweisungen, bei denen keine Kontonummern, sondern nur die Anzahl der Überweisungen und deren Gesamtsumme angezeigt wird, manipuliert werden. Aber auch die Manipulation einzelner Überweisungen sowie von innereuropäischen SEPA-Überweisungen ist möglich.