HANDGEMACHT!

In diesem Blog findet ihr Informationen zu Sicherheitsbedrohungen bei ausgewählten Produkten, Hintergrundwissen sowie Links zu wichtigen Webseiten rund ums Internet. Eine ständige Aktualität kann ich in diesem Blog nicht garantieren.

 

Deshalb empfiehlt es sich, regelmäßig auch auf den Webseiten von PC-Zeitschriften, Virenschutzanbietern oder den Herstellern selbst nachzuschauen (oft in englischer Sprache und mit Fachkenntnissen verbunden).

Das BSI (Bundesamt für Sicherheit in der Informationstechnik) warnt vor der Verwendung der Antivirusprogramme von Kaspersky!

 

Kaspersky ist ein russischer Sicherheitsexperte und könnte von der russischen Regierung als Werkzeug für Angriffe ausgenutzt werden.

 
 
 

   

 

NGINX ist ein Open-Source-Hochleistungs-Webserver und wurde ursprünglich in Russland entwickelt. Durch die Open-Source-Lizenz steht der Server allen kostenfrei zur Verfügung. Er ist unter anderem eine wichtige Komponente der Synology-Netzwerktechnik, die auch von mir genutzt wird.

 

Bereits zu Beginn des Krieges führten die US-Sicherheitsbehörden Untersuchungen zur kritischen IT-Infrastruktur durch. Dabei geriet NGINX in den Fokus der Gutachter, da etwa 10 % der IT in größeren Ländern diesen Server verwenden. Da NGINX bzw. der kommerzielle Teil, durch den das Projekt finanziert wird, von einem US-Unternehmen übernommen wurde und der russische Entwickler sich aus dem gewerblichen Teil zurückgezogen hat, bestand keine akute Bedrohungssituation. Tatsächlich wurden russische Büros wegen angeblicher Steuerhinterziehung von der russischen Polizei durchsucht.

 

Mit dem fortschreitenden Krieg müssen jedoch weitere Überlegungen angestellt werden. Aktuell sind russische Entwickler vorerst aus dem gewerblichen Projekt ausgeschlossen worden. Dadurch geht zwar viel russisches IT-Know-how verloren, doch das Projekt wird voraussichtlich überleben. Aus all diesen Gründen werde ich derzeit weiterhin auf die Synology-Technik setzen.

   

 

Der Virus wurde von Kaspersky entdeckt. Befallen sind auf jeden Fall Geräte, inkl. durch Apps aus den Appstores, auch in Deutschland. 

 

Verseuchte Firmware ist bisher nur offiziell beim Alldocube iPlay 50 Mini Pro bestätigt. Ich war auf der Seite von Alldocube, aber habe dazu nichts gefunden. Lediglich ein User hatte im Community-Forum entsprechendes gepostet mit Bildern. Der Kaspersky Cloud-Schutz kann den Virus erkennen, aber mittlerweile sicherlich auch andere Schutzprogramme. Der Google Playstore-Scanner erkennt ebenfalls den Virus, aber die Programme müssen über den Playstore installiert worden sein. 

 

Der Virus kann durch das Scannen der installierten Apps entfernt werden. Allerdings ist die Frage, wo der sich noch eingenistet hat auf dem Gerät. Damit zum Firmware-Problem. Kaspersky geht davon aus, dass ein neu ausgespieltes System das Problem auf dem Alldocube beheben kann. Allerdings scheint es noch keines zu geben. Ich habe nur gesehen, dass ältere Downgrades vorhanden sind, aber da ist dann die Frage, ob wirklich die infizierten Teile beim Aufspielen entfernt werden und ob ein Downgrade überhaupt möglich ist (einen Versuch ist es wert). Kaspersky empfiehlt, die betroffenen Geräte nicht zu verwenden, bis eine Lösung vom Hersteller vorliegt. 

 

Was macht der Virus? Der liest Daten mit: Banking, Passwörter, Biometrie, Webbrowser. Alles, worauf der Virus den Zugriff bekommt. Die Daten werden dann ins Internet übertragen. Aber man kannte bereits einige der Server, die vom Virus kontaktiert werden. Diese Server wurden von manchen Internetanbietern bereits gesperrt, d.h., der Virus konnte diese nicht mehr kontaktieren oder nur umständlich und eingeschränkt. Jedenfalls müsste man im Fall der Fälle, wenn man ein infiziertes Gerät besitzt, alle Passwörter ändern, die man verwendet. Von Vorteil ist sicherlich, wenn man eine 2-Faktor-Authentifizierung verwendet hat. 

 

Ansonsten soll sich der Virus wohl schlafen legen, wenn man die chinesische Lokalisierung aktiviert (Sprache usw.). Deshalb geht man zur Zeit auch davon aus, dass der Virus von einer Gruppe in China entwickelt wurde.

  

 

#######################################################

###18.2.26###########################

Es gibt noch keine Infos zu Sicherheitslücken im Android, aber die PCWelt meldete dieses.

 

Die Malware steckt direkt in der Firmware einiger Geräte von dem Hersteller. Von daher wurde das Computervirus wahrscheinlich bereits während des Herstellungsprozesses infiziert (ist serh China lastig). Wie genau, das weiss noch keiner. 

 

Die Malware, Name "Keenadu", wurde aber auch im Google Playstore, Xiaomi Playstore und Drittanbieter Playstores entdeckt. Betroffene Apps wurden entfernt. Der Google Playstore wird sicherlich demnächst oder bereits jetzt beim Virenscan auf eurem Gerät nach infizierten Apps suchen. Keine Ahnung, wie das in den anderen Stores aussieht. 

 

Alldocube will wohl Sicherheitsupdates herausbringen.    

 

Alldocube vertreibt preiswerte Geräte, die zum Beispiel durch nicht so lange Update Garantien auffallen usw.. Ansonsten muss preiswerte Hardware nicht immer schlecht sein.