Zerberos im Beobachter

Andriu Isenring von Zerberos ist “Der Spion im Starbucks”

Immer öfter surfen Leute auf öffentlichen Netzwerken von Cafés, Hotels oder ­der SBB. Ohne zu wissen, wie gefährdet die Daten auf ihren Laptops und Smartphones dabei sind.

Er schaut nach links, er schaut nach rechts. Dann öffnet Andriu Isenring seine Ledertasche. Zwischen Kabelgewirr und Geldbeutel steckt ein handgrosses Gerät: schwarz, quadratisch, mit stumpfen Antennen auf beiden Seiten. Er drückt einen Knopf, ein Lämpchen blinkt. «Es geht los», sagt er und reibt die Hände.

An diesem Mittwochnachmittag sitzen mehrere Dutzend Leute im «Starbucks» beim Zürcher Hauptbahnhof. Einige arbeiten an ihrem Laptop, andere surfen mit dem Smartphone über das im Café angebotene kostenlose Netzwerk im Internet. ­Keiner ahnt, was Isenring mit ihren Geräten anstellen wird. Und – noch wichtiger – keiner wird es merken…

Ganzer Artikel:

http://www.beobachter.ch/konsum/multimedia/artikel/wlan_der-spion-im-starbucks/

Siemens iOS Apps für Industriesteuerung: Sicherheitslücken geschlossen

siemens_simatic_winccDie Apps von Siemens dienen zur Steuerung von Industrieanlagen (das zu steuerndeSCADA-System WinCC  wird u.a. auch in Atomkraftwerken verwendet) – und wiesen einige Sicherheitslücken auf: so konnte das Passwort welches beim Start der Apps abgefragt wurde aus dem Gerät extrahiert werden, ebenfalls die Zugangsdaten zum Sm@rtServer mit welchem die App verbindet:

Vulnerability 1 (CVE-2014-5231)
The existing storage mechanism for the application specific password could allow
attackers to extract the password and gain access to the application if local access is
available.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C)
Vulnerability 2 (CVE-2014-5232)
In case an application specific password is set, the user would not be prompted to enter
the password if the App was resumed from the background.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C)
Vulnerability 3 (CVE-2014-5233)
The implemented mechanism to process Sm@rtServer credentials could allow attackers
to extract the credentials if local access is available.
CVSS Base Score 4.6
CVSS Temporal Score 3.6
CVSS Overall Score 3.6 (AV:L/AC:L/Au:N/C:P/I:P/A:P/E:POC/RL:OF/RC:C) Siemens Security Advisory by Siemens ProductCERT

Mitigating factors:
Attackers can only take advantage of the above mentioned vulnerabilities if they have
local access to the mobile device running the affected Apps.

Im App Store ist inzwischen eine neuere Version verfügbar.

 

Zerberos prüft Ihre Apps oder von Ihnen eingesetzte Apps von Drittanbietern auf Sicherheit – kontaktieren Sie uns für weitere Informationen!