Einmal im Monat veröffentlicht Google eine neue Version des System-Updates für Android. Die Aktualisierung bringt neue Funktionen auf Smartphones und weitere Produkte des Google-Ökosystems wie Tablets, Uhren, Smart-TVs, Android Auto und Chromebooks, ohne dass ein regelrechtes Android-Update vonseiten der Gerätehersteller erforderlich ist.

Sie werden über die Play-Dienste, den Play-Store und Play-System-Updates auf genannte Gerätekategorien direkt von Google verteilt. Einige Funktionen richten sich an Endnutzer, andere an Entwickler. Laut den Versionshinweisen für das Oktober-Update bringt die am 6. Oktober veröffentlichte Version 25.39 der Google-Play-Dienste Neues für die Kontoverwaltung sowie Sicherheitsfunktionen.

Nacktbild-Erkenung in Messages-App für Videos

Die neue Play-Dienste-Version erweitert außerdem die optionale Funktion „Warnungen zu sensiblen Inhalten“ in der Google-Nachrichten-App auf Geräten mit Android 9 und neuer. Bislang konnte die App nur Fotos auf Nacktheit scannen und eine entsprechende Warnung ausspielen. Nun kann Google Messages auch explizite Nacktbilder in geteilten Videos erkennen. Google betont, dass keine Inhalte hochgeladen würden; die notwendige Bilderkennung erfolgt laut Google ausschließlich auf dem jeweiligen Gerät selbst über den Dienst „Android System SafetyCore“.

Mehr Sicherheit bietet künftig auch der „Bitte nicht stören“-Modus beim Fahren. Google erörtert nicht genau, was neu ist, der Modus wurde aber „verbessert“.

Neues für die Kontoverwaltung

Laut Google zieht mit dem Update der Play-Dienste die Schnellstartfunktion auch in Konten mit Elternaufsicht ein. Ferner bringt die Version neue Designs für die Funktionen der Elternaufsicht. Zudem hat das Profilbild ein neues Design erhalten, schreibt Google.

Für Entwickler bringt Version 25.39 der Play-Dienste neue Funktionen von Google- und Drittanbieter-Apps. Mit diesen sollen sowohl die Kontoverwaltung als auch sicherheits- und datenschutzbezogene Prozesse in Apps unterstützt werden.

Play-Store-Update

Neben den Play-Diensten erhält die Play-Store-App auch ein Update. Die neue Version wird sowohl für Smartphones und Tablets, als auch für Autos, TVs, ChromeOS und Uhren verteilt. Die Neuerungen in Version 48.3 sind indes bei weitem nicht so groß wie das Update vom September, mit dem Google seinem Marktplatz die Registerkarte „Mein Play“ hinzugefügt hat. Bei diesem handelt es sich um einen individuell kuratierten Bereich, vor allem für Spiele. Die Oktober-Version hält lediglich aktualisierte Symbole für Google-Play- Protect-Benachrichtigungen bereit.

Die Updates werden mit der Zeit automatisch eingespielt. Wer die Aktualisierungen möglichst schnell auf dem Gerät haben will, kann die Play-Dienste je nach Hersteller in den Einstellungen entweder unter „Softwareupdates“ oder „Über das Telefon“ > „Android-Version“ > „Google Play-Systemupdate“ auf den neuesten Stand bringen. Der Play-Store selbst kann in den Store-Einstellungen im Punkt „Info“ händisch erneuert werden.

Mit dem September-Update der Play-Dienste hatte Google die Möglichkeit für Pixel-Smartphones eingeführt, zwei Kopfhörer gleichzeitig mit einem Gerät zu verbinden. Hierfür wird LE Audio Auracast eingesetzt.

(afl)

Ein Konglomerat von kriminellen Cybergangs hat eine Leaksite im Darknet veröffentlicht. Dort erpresst es 39 namhafte Unternehmen und droht, aus Salesforce-Systemen kopierte Daten zu veröffentlichen, sollten die Unternehmen kein Lösegeld aushandeln. Zudem droht die Erpressergruppe damit, mit Anwaltskanzleien zusammenzuarbeiten, die zivil- und wirtschaftsrechtliche Ansprüche gegen die Opfer geltend machen sollen.

Auf der Liste der Unternehmen finden sich unter anderem Adidas, ASICS, Cartier, Chanel, Cisco, Disney/Hulu, FedEx, Fujifilm, Google Adsense, HBO Max, Home Depot, IKEA, KFC, Marriott, McDonalds, Puma, Toyota, Stellantis und UPS, aber auch einige Fluglinien sind darunter. Die kriminellen Gruppen arbeiten offenbar unter der Federführung von ShinyHunters zusammen, die Leaksite nennt noch die Cybergang-Namen „Scattered Laspsu$ Hunters“, was neben ShinyHunters auf die Cyberbanden Scattered Spider und Lapsus$ hinweist. Google führt sie unter dem Kürzel UNC6040.

Die einzelnen Einträge zu den Opfern listen auf, welche sensiblen Daten entwendet wurden. Außerdem findet sich dort jeweils ein Beispieldatensatz. Als Frist für die Aufnahme von Verhandlungen haben die Kriminellen Freitag, den 10. Oktober, gesetzt. Ein übergeordneter Eintrag – der vierzigste – wendet sich direkt an Salesforce. Die insgesamt rund eine Milliarde Einträge würden die Täter nicht veröffentlichen, sollte das Unternehmen die Cybergangs kontaktieren und Verhandlungen aufnehmen. Dann müssten auch die einzelnen erpressten Unternehmen nicht mehr zahlen.

Voice-Phishing als Einfallstor

Bereits im Juni hat Google von der kriminellen Gruppe UNC6040 berichtet, die die Google Threat Intelligence Group (GTIG) beobachtet hat. Die kriminelle Vereinigung greift Unternehmen mit Voice-Phishing-Anrufen an und versucht dabei Zugang zu deren Salesforce-Umgebungen zu erlangen. Im Anschluss stiehlt sie dort Daten und erpresst die Unternehmen damit.

Die Angreifer geben sich bei den betrügerischen Telefonanrufen als IT-Support aus und versuchen, Mitarbeiter mittels Social Engineering zu überzeugen, ihnen Zugriff zu gewähren oder sensible Zugangsdaten zu überlassen. In den beobachteten Fällen haben die Angreifer stets die Endnutzer manipuliert, es kam zu keinem Missbrauch von eventuellen Sicherheitslücken in Salesforce. Im Visier stehen demnach meist Mitarbeiter englischsprachiger Zweige von multinationalen Unternehmen.

Googles IT-Sicherheitstochterunternehmen Mandiant hat nun auch einige Handreichungen veröffentlicht, wie Unternehmen sich besser gegen die UNC6040-Angriffe wappnen können. Dazu gehört etwa die Verifikation der Identitäten von Anrufern. Dabei sollten Mitarbeiter keine Annahmen treffen und bei allen sicherheitsrelevanten Anfragen eine Identitätsprüfung vornehmen. Die Verifikation sollte sich zudem nicht auf einen einzelnen Faktor stützen oder unsichere Merkmale nutzen – Google nennt das Geburtsdatum, die letzten vier Ziffern der Sozialversicherungsnummer, frühere Namen oder Namen von Vorgesetzten. Besser sei es, auf Videoanrufe zu setzen und dabei etwa das Vorzeigen von Unternehmensausweisen zu verlangen. Auch Rückrufe unter bekannten Nummern sei eine Möglichkeit. IT-Verantwortliche sollten diese und die weiteren Hinweise in Ruhe studieren.

(dmk)

Eigentlich unscheinbare Grafiken im Format SVG (Scalable Vector Graphics) dienen bösartigen Akteuren als Einfallstor für Schadsoftware. Die kommen etwa als E-Mail-Anhang an Phishing-Mails auf den Rechner. Microsoft schließt die potenzielle Lücke, indem das Unternehmen Outlook und Outlook for Web nun einfach keine SVG-Grafiken mehr anzeigen lässt.

Das hat Microsoft im MS365-Admin-Center bekannt gegeben. Der weltweite Roll-out dieser Änderung soll bereits Anfang September gestartet und Mitte des Monats beendet worden sein. Für „GCC, GCC-H, DoD, Gallatin“ soll die Verteilung Mitte Oktober abschließen. „Inline-SVG-Bilder werden von Outlook for Web und dem neuen Outlook für Windows nicht länger angezeigt. Stattdessen bekommen Nutzerinnen und Nutzer einen leeren Platz zu Gesicht, wo diese Bilder angezeigt werden sollten“, erklärt Microsoft.

Das betreffe lediglich weniger als 0,1 Prozent aller Bilder, die in Outlook genutzt würden, daher sollen die Auswirkungen minimal sein. Als klassisch als Anhänge gesendete SVG-Bilder werden hingegen weiter unterstützt und lassen sich als Anhang anzeigen. Diese Änderung soll mögliche Sicherheitsrisiken wie Cross-Site-Scripting-Angriffe abwehren. Admins müssen nichts machen, Microsoft empfiehlt jedoch, die interne Dokumentation um diese Information zu ergänzen sowie Nutzer zu informieren, die auf Inline-SVG-Grafiken in E-Mails setzen.

Warnung vor SVG-Dateien

Mitte des Jahres hatte das österreichische CERT eine Warnung vor bösartigen SVG-Dateien herausgegeben. SVG-Dateien bestehen aus Beschreibungen im XML-Format, können jedoch auch JavaScript-Code enthalten, den die anzeigende Komponente ausführt. Das können Phisher etwa missbrauchen, um Empfänger auf gefälschte Anmeldeseiten zu leiten, direkt falsche Anmeldungen anzuzeigen oder gar Schadsoftware zu installieren.

Das zu Google gehörende Virustotal hat zudem kürzlich eine kolumbianische Malware-Kampagne basierend auf bösartigen SVGs entdeckt. Von Anfang August bis Anfang September seien bei dem Malware-Prüfdienst mehr als 140.000 einzigartige SVG-Dateien eingegangen, von denen 1442 von mindestens einer Antivirensoftware als bösartig erkannt wurden, mithin grob ein Prozent der geprüften Dateien. Allerdings waren unter den 140.000 Bildern auch bösartige SVG-Dateien, die von keinem Malware-Scanner identifiziert wurden. Mit einer KI-Erweiterung „Code Insight“ hat Virustotal 44 weitere bösartige SVGs aus dem Fundus gefischt. Diese nutzten Techniken zur Code-Verschleierung, Polymorphismus, sodass jede Datei leichte Änderungen aufwies, sowie große Mengen an nutzlosem Dummy-Code, um statische Erkennung zu erschweren. Bei genauerer Untersuchung entpuppten sich mehrere Dateien als Teil einer Kampagne, deren Mails vorgeben, von der kolumbianischen Generalstaatsanwältin zu stammen. Eine einfache Suche nach Textstellen aus den bösartigen SVGs lieferte 523 weitere Treffer in den vergangenen 365 Tagen.

SVGs stellen somit eine reale Gefahr in der Praxis dar. Microsoft versucht, mit der Nicht-Anzeige von Inline-SVG-Grafiken die Angriffsfläche zu reduzieren. IT-Verantwortliche sollten gegebenenfalls einen Schritt weitergehen und die Handlungsempfehlungen zum Umgang mit SVG des österreichischen CERT umsetzen.

(dmk)