Signal-Backups werden besser: Beim Plattformwechsel zwischen Android und iOS war bislang stets mit einem Verlust des Chatarchivs des Signal-Messengers zu rechnen. Mit einer neuen Beta-Version des Messengers zieht ein hauseigener Cloud-Backup ein, mit dem sorgenfrei zwischen iPhones und Android-Geräten umgezogen werden können soll. Die Beta ist derzeit nur für Android-Geräte über Github als APK-Datei verfügbar.

Im Juni dieses Jahres hatte Signal bereits einen eigenen Cloud-Backupdienst angekündigt. Diesen will das Unternehmen selbst hosten und sämtliche Nachrichten und Medien mittels Ende-zu-Ende-Verschlüsselung absichern, sodass nur der Nutzer oder die Nutzerin mit einem entsprechenden Schlüssel Zugriff darauf erhält.

Ein Vorteil dieser neuen Backup-Funktion ist laut Signal, dass im Unterschied zu den bisherigen Lösungen ein unabhängiges Backup-Format zum Einsatz, das alle Clients lesen können. Damit ist es etwa möglich, Backups auf Android zu erstellen und auf iOS wiederherstellen zu können – oder umgekehrt.

Ein weiterer Vorteil der Cloud-Backup-Lösung ist, dass Nutzer ihre Nachrichten und Medien auch nach Verlust oder Beschädigung ihres Geräts wiederherstellen können. Das war bislang bei Signal nicht möglich, da die Chatdaten des Messengers nur auf dem Smartphone gespeichert sind. Dennoch bleiben Backups weiterhin optional und jederzeit löschbar.

100 GByte Speicher für 2 Dollar

Überdies bietet das Unternehmen eine kostenlose und eine kostenpflichtige Version des Backups an. Mit der kostenpflichtigen Variante können Nutzerinnen und Nutzer mithilfe einer dynamischen Medienverwaltung Speicherplatz auf dem Gerät sparen. Damit sollen Medien automatisch in die Signal-Cloud hochgeladen und beim Scrollen nach oben wieder automatisch heruntergeladen werden können.

Auch an verschwindende Nachrichten und einmalig anzeigbare Medien hat Signal gedacht. Diese schließt das Backup aus – dabei sei es egal, ob sie gelesen wurden oder nicht. „Signal ist der Ansicht, dass dies einen guten Mittelweg darstellt.“

Für die kostenpflichtige Version von Signal-Backups hat das Unternehmen einen Preis von monatlich zwei Dollar angedacht, wobei sich dieser noch ändern könne. Für diesen Betrag können Nutzer ihr Medien bis zu einer maximalen Größe von 100 GByte sichern. Bei der kostenlosen Version will Signal nach aktuellem Stand alle Textnachrichten sowie Medien der letzten 45 Tage sichern.

Bessere lokale Backups

Neben den Cloud-Backups sollen die lokalen Backups für Android erhalten bleiben und auch für iOS und Desktops folgen. Mit dieser Option sollen sich kostenlose vollständige lokale Backups erstellen lassen.

Zudem arbeitet Signal an einer verbesserten Version der lokalen Backups, die ein neues plattformübergreifendes Format verwendet und nur geänderte Medien speichern soll. Durch diesen Ansatz sollen lokale Backups deutlich weniger Speicherplatz benötigen und sich dadurch schneller erstellen lassen – „statt Minuten dauern sie nur noch Sekunden“, so das Unternehmen. Die verbesserten lokalen Backups werden kurz nach der Einführung der Signal-Backups verfügbar sein, heißt es.

Signal hat keine konkreten Angaben für die Veröffentlichung der fertigen Funktion gemacht. Es kann noch Woche oder Monate dauern, bis sie freigegeben wird.

(afl)

Beim Hersteller des Medienservers Plex haben Cyberkriminelle Nutzerdaten geklaut. Das teilte die Plex Incorporated ihren Kunden per E-Mail mit. Die Angreifer hätten eine „begrenzte Teilmenge“ der Daten einer Kundendatenbank unberechtigt abgerufen. Nun sind alle Plex-Nutzer aufgerufen, ihre Passwörter zu ändern und Medienserver neu zu verbinden.

Wie das Plex-Team weiter schreibt, sind E-Mail-Adressen, Benutzernamen und die Hashes der Passwörter abhandengekommen. Letztere seien „in Übereinstimmung mit anerkannten Praktiken“ gehasht und somit nicht durch Angreifer lesbar. Kreditkartendaten seien nicht betroffen, versichern die Plex-Betreiber. Man habe den Vorfall schnell eingedämmt und die Sicherheitslücke geschlossen – den Datenabfluss aber nicht verhindern können.

Nutzer des selbst gehosteten Medienservers sollen unverzüglich ihr Passwort ändern und zudem alle verbundenen Geräte von ihrem Konto entkoppeln. Das betrifft alle Abspielgeräte (wie Smartphones, Tablets oder Smart-TVs), aber auch den Medienserver selbst, der dann neu an das Konto gebunden (im Plex-Jargon „claimed“) werden muss. Für die Mehrarbeit entschuldigt sich das Plex-Team, rechtfertigt sie jedoch mit der erhöhten Kontosicherheit. Zudem legen sie ihren Kunden nahe, die Zwei-Faktor-Authentifizierung zu aktivieren.

Phishing-Gefahr und Stress im Forum

Da die Kriminellen Benutzernamen und E-Mail-Adressen der Plex-Kunden erbeuteten, können sie jetzt sehr realistisch wirkende Phishing-Mails verfassen. Vor dieser Gefahr warnt der Sicherheitshinweis und weist darauf hin, dass man weder per E-Mail nach Passwörtern noch nach Zahlungsdaten frage.

In den Hilfeforen des Herstellers sowie im Plex-Subreddit häufen sich kurz nach der Ankündigung die Anfragen gestresster Kunden. Mehrere Betroffene konnten auf ihren Medienserver nach der Passwortänderung nicht mehr zugreifen, häufig aufgrund Besonderheiten bei containerbasierten oder NAS-Installationen. Wen nach der Passwortänderung ähnliche Schwierigkeiten plagen, der sollte zunächst den Support-Artikel sowie Foreneinträge wie diesen und diesen zu Rate ziehen.

In den vergangenen Monaten hatten es Nutzer des populären Medienservers nicht leicht. Erst vergrämte Plex einige Kunden mit einer Veränderung des Geschäftsmodells, dann gab es im August eine Sicherheitslücke in der Serversoftware. Auch der ungebetene Besuch in der Plex-Kundendatenbank ist kein Einzelfall: Bereits 2022 kopierten Kriminelle Nutzerdaten und vor zehn Jahren crackten sie das Plex-Forum.

(cku)

Ein großer Angriff auf die Lieferkette für Softwarepakete für die weit verbreitete Javascript-Laufzeitumgebung node.js ist am Montag entdeckt worden. Der Angreifer hat über den Paketmanager npm (vormals Node Package Manager) verschleierten Schadcode in zahlreiche populäre Pakete eingeschleust. Es dürfte sich um den bislang größten erfolgreichen Angriff auf npm handeln.

Bekannt sind rund 20 betroffene Pakete aus dem Repertoire des Entwicklers qix, die in Summe mehr als zwei Milliarden mal pro Woche (!) heruntergeladen werden. Schon allein dadurch wirkt der Angriff auf weite Teile des node.js-Universums. Zudem gibt es einen unbestätigten Hinweis darauf, dass auch Pakete anderer Entwickler mit Malware verunreinigt worden sein könnten.

Die bislang entdeckte und untersuchte Malware manipuliert laut JD Staerk bestimmte Browser-Routinen, um Daten im Webbrowser des Opfers abzufangen und zu manipulieren. Das trifft sowohl klassischen Netzwerk-Verkehr als auch solchen von und zu Programmierschnittstellen (API). Zusätzlich werden Routinen in gegebenenfalls installierten Browsererweiterungen für Kryptowährungsportemonnaies (Wallets) verändert.

Kryptodiebstahl

Ziel des Angreifers ist offenbar der Diebstahl von Einheiten der Kryptowährungen Bitcoin (BTC), Bitcoin Cash (BCH), Ethereum (ETH), Litecoin (LTC), Solana (SOL) und Tron (TRX). Die Schadsoftware wartet auf Zeichenketten, die wie Wallet-Adressen aussehen, und ersetzt die legitimen Adressen durch andere Adressen, die mutmaßlich vom Angreifer kontrolliert werden.

Beauftragt das Opfer eine Überweisung über eine normale Webpage im Browser, ersetzt die Schadsoftware die Zieladresse durch eine falsche – aber nicht irgendeine, sondern eine, deren Zeichenkette optisch sehr ähnlich aussieht. Dazu bedient sich der Angreifer eines Algorithmus‘, der auf möglichst geringe Levenshtein-Distanz setzt. Das macht es menschlichen Augen schwer, die Unterschiede in der Zieladresse zu erkennen.

Nutzt das Opfer eine Wallet-Browsererweiterung, fängt der Schadcode die Überweisung vor der Signierung ab und ersetzt im Arbeitsspeicher die Adresse des Überweisungsempfängers. Die verfälschte Transaktion wird dann zwecks Genehmigung an das Wallet weitergereicht. Schaut der Nutzer nicht ganz genau hin, signiert er die betrügerische Überweisung.

Spearphishing

Der Entwickler qix (Josh Junon) hat den Vorfall bestätigt und sich sogleich an die Aufräumarbeiten gemacht. Am frühen Montagmorgen hatte er eine Aufforderung von support@npmjs.help erhalten, seine Einstellungen für die Zwei-Faktor-Authentifizierung zu erneuern, weil sie schon zwölf Monate unverändert seien. Leider gibt es immer noch Online-Dienste, die periodische Passwortänderungen oder ähnliche Maßnahmen vorschreiben, obwohl das geltenden Sicherheitsrichtlinien wie der NIST SP 800-63B (Abschnitt 3.1.1.2) zuwiderläuft. Änderungen von Zugangsdaten sollen nur dann erzwungen werden, wenn es Grund zur Annahme gibt, dass die bisher genutzten Daten kompromittiert worden oder sie sonst unsicher sind, etwa weil Passwörter zu kurz sind.

Der Angreifer verband den „schockierend echt“ wirkenden Auftrag mit der Drohung, das npm-Konto werde sonst am Mittwoch stillgelegt. Junon gehorchte und die Falle schnappte zu. „Ich hätte besser aufpassen sollen, aber es ist mir durchgerutscht. Es tut mir wirklich leid, das ist peinlich“, verheimlicht der Entwickler das Malheur nicht.

Bekannte betroffene Pakete

Laut IT-Sicherheitsfirma Aikido sind jedenfalls diese Pakete betroffen:

• ansi-regex
• ansi-styles
• backslash
• chalk
• chalk-template
• color-convert
• color-name
• color-string
• debug
• error-ex
• has-ansi
• is-arrayish
• simple-swizzle
• slice-ansi
• strip-ansi
• supports-color
• supports-hyperlinks
• wrap-ansi

Socket.dev hat zusätzlich das Paket proto-tinker-wc ausgemacht. Mehrere der Pakete verwaltet qix gemeinsam mit Sindre Sorhus, dem npm-Entwickler mit der größten Downloadzahl. Der Angreifer hat den verfälschten Paketen neueste Versionsnummern zugeteilt, um deren Verbreitung zu beschleunigen. Der Code wurde verschleiert, zudem sind laut Aikido unsichtbare Zeichen und Code in unterschiedlichen Laufrichtungen (von links nach rechts sowie von rechts nach links) enthalten, um die Analyse zu erschweren. Die bekannten Malware-Pakete sind inzwischen aus dem npm-Bestand entfernt worden. Es kann derzeit aber nicht ausgeschlossen werden, dass auch ältere Versionen infiziert worden sind, oder dass weitere Entwicklerkonten auf npm betroffen sind. Und natürlich dürften zahlreiche Systeme die infizierten Pakete bereits heruntergeladen und installiert haben.

(ds)