Comretix Blog

Das Münchener Unternehmen MGM Security Partners die Serveranwendung des Cloudanbieters Nextcloud analysiert und mehrere Schwachstellen gefunden. Angreifer konnten im Klartext gespeicherte Passwörter auslesen und die Zwei-Faktor-Authentifizierung umgehen. Die Untersuchung erfolgte im Auftrag des Bundesamtes für Sicherheit in der Informationstechnik (BSI) als Teil des Projektes zur Codeanalyse von Open-Source-Software (CAOS 3.0). Nextcloud wies der Untersuchung zufolge 16 Sicherheitslücken mit hohem Gefahrenpotenzial auf. Die Entwickler haben bereits auf die Schwachstellen reagiert.

Anzeige

Neben der Open-Source-Anwendung selbst untersuchten die Forscher den Quellcode von vier offiziellen Plugins für die Zwei-Faktor-Authentifizierung (2FA). Der Nextcloud-Client für Desktop und Smartphone sowie Erweiterungen von Drittanbietern gehörten nicht zum Umfang der Analyse im Frühjahr 2023. Für insgesamt 43 Schwachstellen erhielten die Kontrolleure eine CVE-ID. Sie überprüften die Korrekturen und bei der Fertigstellung des Ergebnisberichtes im Juli 2024 erfüllten zwei Fixes noch nicht die Anforderungen der Prüfer. Das BSI veröffentlichte den Bericht verzögert, damit die Entwickler die Schwachstellen beheben können.

Die unter CVE-2024-37313 gemeldete Sicherheitslücke mit hohem Gefahrenpotenzial ermöglichte es Angreifern, die 2FA zu umgehen und einen Account mit ihnen bekannten Zugangsdaten zu übernehmen. Ein Dienst in der Serveranwendung prüft, ob eine Sitzung eine 2FA zum Login benötigt. Mögliche Ausnahmen sind etwa für App-Passwörter vorgesehen. Ein Implementierungsfehler hatte zur Folge, dass die 2FA für alle Sitzungstypen ausgesetzt ist, wenn die Sitzung zur Eingabe des Einmalkennworts abgelaufen ist. Dazu kann der Angreifer abwarten oder eine ungültige Sitzungs-Passphrase versenden.

Eine weitere Lücke erkannten die Prüfer beim Austausch von Dateien zwischen zwei Nextcloud-Instanzen. Aufgrund fehlender Authentifizierungsmechanismen konnte die empfangende Instanz den Eigentümer der Datei seitens der sendenden Instanz nicht überprüfen. Zwar müssen Nutzer eine Anfrage zum Dateiempfang bestätigen. Weil sich Angreifer aber als ein beliebiger Nutzer der sendenden Instanz ausgeben konnten, ließen sich so bösartige Dateien verschicken.

Cisco hat acht Sicherheitsmitteilungen veröffentlicht, in denen das Unternehmen Sicherheitslücken in mehreren Produkten behandelt. Mindestens eine Schwachstelle gilt den Entwicklern als kritisches Risiko. IT-Verwalter sollten die Installation der bereitstehenden Updates zeitnah einplanen.

Anzeige

Am gravierendsten sind Sicherheitslücken in Ciscos Identity Services Engine (ISE). Angreifer mit lesendem Admin-Zugriff können beliebige Befehle aufgrund einer unsicheren Deserialisierung von Daten in der API einschleusen und ihre Rechte ausweiten (CVE-2025-20124, CVSS 9.9, Risiko "kritisch"). Zudem können bösartige Akteure mit Leserechten aufgrund unzureichender Rechteprüfungen in der API sensible Informationen lesen, Konfigurationen ändern oder den Node neustarten (CVE-2025-20125, CVSS 9.1, kritisch).

In Ciscos IOS, IOS XE und IOS XR können Angreifer zudem Denial-of-Service-Attacken gegen anfällige Geräte starten. Ursächlich sind mehrere Schwachstellen im Simple Network Management Protocol (SNMP)-Subsystem der Software. Sofern sie angemeldet sind, können sie aus dem Netz einen DoS provozieren (CVE-2025-20169, CVE-2025-20170, CVE-2025-20171, CVE-2025-20172, CVE-2025-20173, CVE-2025-20174, CVE-2025-20175, CVE-2025-20176, alle CVSS 7.7, hoch; sowie im Speziellen für CVE-2025-20172 in IOS XR CVSS 4.3, mittel).

Cisco schreibt zu allen Sicherheitslücken, dass das Unternehmen zum Meldungszeitpunkt keine Kenntnis über bereits erfolgten Missbrauch der Schwachstellen durch Angreifer hat.

Netzwerkadmins mit BIG-IP-Appliances sollten die weiterführenden Informationen zum Quartalssicherheitsupdates von F5 studieren. Die Entwickler haben diverse Softwareschwachstellen geschlossen, über die Angreifer Geräte etwa abstürzen lassen können.

Anzeige

In einem Beitrag zum Sammelupdate listet der Netzwerkausrüster die betroffenen Produkte und die jeweiligen Sicherheitsupdates auf. Eine komplette Auflistung sprengt den Rahmen dieser Meldung. Beispielsweise ist die iControl-REST-Komponente (CVE-2025-20029 "hoch") von BIG-IP (alle Module) verwundbar.

An dieser Stelle kann ein entfernter authentifizierter Angreifer mit einer präparierten Anfrage ansetzen, um eigene Kommandos auf Systemebene auszuführen. Auch das Erstellen und Löschen von Dateien ist an dieser Stelle vorstellbar.

Wenn das Routing-Profil von BIG-IP auf einem virtuellen Server konfiguriert ist, kann die Verarbeitung von Datenverkehr dazu führen, dass übermäßig viel Speicher beansprucht wird (CVE-2025-20058 "hoch"). So etwas endet oft in einem DoS-Zustand, was zu Abstürzen führt. Im schlimmsten Fall verarbeiten Appliances dann keinen Traffic mehr und es kommt zu Netzwerkproblemen.

Die US-amerikanische IT-Sicherheitsbehörde CISA warnt vor jüngst beobachteten Angriffen in freier Wildbahn auf Schwachstellen in Linux, Apache OFBiz, Microsofts .Net-Framework und Paessler PRTG. IT-Verantwortliche sollten daher rasch prüfen, ob die aktuellen Sicherheitsupdates dafür installiert sind und das gegebenenfalls nachholen.

Anzeige

In der Nacht zum Donnerstag hat die CISA eine Warnung vor einer bei einem Angriff missbrauchten Sicherheitslücke im Linux-Kernel herausgegeben. Die Schwachstelle betrifft den USB-Video-Class-Treiber (UVC), der beim Verarbeiten von Videoströmen Frames mit dem Typ "UVC_VS_UNDEFINED" übersprungen hat, was zu Schreibzugriffen außerhalb vorgesehener Grenzen führen kann, da diese Frames bei der Berechnung einer Puffergröße nicht berücksichtigt wurden (CVE-2024-53104). Die Lücke wurde Anfang des vergangenen Dezembers bekannt, Kernel-Updates zum Schließen des Lecks stehen seitdem bereit.

Kurz zuvor hat die CISA zudem vor weiteren Angriffen im Netz gewarnt. Angreifer nehmen demnach Sicherheitslücken in Apache OFBiz (CVE-2024-45195, Fix seit September 2024 verfügbar), in Microsofts .Net-Framework (CVE-2024-29059, Korrekturen seit März 2024 erhältlich) sowie in Paessler PRTG ins Visier (CVE-2018-9276, Juli 2018 gefixt, und CVE-2018-19410, im November 2018 behoben).

Die CISA nennt keine weitergehenden Details, etwa wie die Angriffe aussehen, wie weitreichend sie sind, welche Auswirkungen sie haben oder wie sich attackierte Systeme identifizieren lassen. Jedoch stehen für alle angegriffenen Sicherheitslücken Softwareupdates bereit, die die Lücken schließen. IT-Verantwortliche, die die betroffenen Produkte einsetzen, sollten prüfen, ob alle Instanzen auch auf aktuellem Stand und somit abgesichert sind.

In den Universal-Druckertreibern für PCL6 und Postscript von HP klaffen kritische Sicherheitslücken. Angreifer können dadurch Schadcode einschleusen und ausführen. Updates stehen bereit, die IT-Verantwortliche zügig installieren sollten.

Anzeige

Nach der Installation des Treiber-Updates muss der Drucker neu eingerichtet werden.

(Bild: Screenshot / dmk)

HP hat eine Sicherheitsmitteilung veröffentlicht, die die Schwachstellen im Universal Print Driver sowohl für PCL6 als auch Postscript beschreibt. Demnach gehen die Schwachstellen auf die im Treiber genutzten Dritthersteller-Komponenten zurück. Im Speziellen sind das libjpeg, libpng, OpenSSL und zlib. Darin klaffen die Sicherheitslücken CVE-2017-12652 (Ausführung von eingeschleustem Code, CVSS 9.8, Risiko "kritisch"), CVE-2022-2068 (auch Ausführung von untergubeltem Code, CVSS 9.8, kritisch), CVE-2023-45853 (Informationsleck, CVSS 9.8, kritisch) sowie CVE-2020-14152 (Denial of Service, CVSS 7.1, hoch).

Elon Musk glaubt, die Zukunft der Menschheit liege auf dem Mars. Das britische Unternehmen Deep hingegen sieht sie im Meer. Dafür entwickelt Deep mehrere Habitate, in denen Menschen 200 Meter unter der Meeresoberfläche leben können. Getestet werden sie künftig in einem 80 Meter tiefen See in einem stillgelegten Steinbruch in der Grafschaft Gloucestershire, nahe der Grenze zu Wales.

Anzeige

Starten will Deep mit dem Modul Vanguard, in dem drei Menschen Platz finden sollen. Gedacht ist es als unterseeische Basis für Taucher, etwa für Expeditionen oder auch für Rettungsmissionen wie bei der im vergangenen Jahr gesunkenen Superyacht Bayesian des britischen Unternehmers Mike Lynch. Wenn die Taucher eine Basis am Meeresgrund haben, dann verlängert sich die Einsatzdauer im Wasser.

Vanguard ist für kürzere Missionen gedacht. Das modulare System Sentinel hingegen soll längere, mehrere Wochen dauernde Aufenthalte in der Tiefe ermöglichen. Ein Sentinel-Segment soll einen Durchmesser von 6 Metern haben, wird also zwei Stockwerke hoch. Es wird aus etwa 3 Meter großen Sektionen bestehen, die beliebig kombiniert werden können.

Gefertigt werden die Module aus einem Spezialstahl in einem additiven Verfahren. Dafür hat Deep kürzlich eine eigene Fertigungssparte gegründet. Zunächst sollen die Roboter Komponenten für Sentinel bauen. Deep Manufacturing plant aber, auch als Auftragsfertiger tätig zu sein.

Google.org, der gemeinnützige Arm des Internetkonzerns Alphabet, gibt jährlich etwa 100 Millionen US-Dollar für nicht kommerzielle Zwecke aus. Bis zu eine Million fließt nun an die TU München.

Anzeige

Die Technische Universität München hat mit Unterstützung aus dem kalifornischen Silicon Valley ein neuartiges Ausbildungsprogramm zur Verbesserung der Cybersicherheit in Deutschland gestartet. Über 200 Studierende haben dabei die Möglichkeit, die an der Uni erworbenen Fähigkeiten im Bereich Cybersicherheit in realen Situationen anzuwenden, teilen die TU München und Google.org mit.

Die Hochschule in München ist die einzige deutsche Universität, die im Rahmen dieses Cybersicherheits-Programms gefördert wird. Weltweit erhalten mehr als 20 Universitäten Mittel aus dem Fördertopf, der insgesamt 15 Millionen Dollar enthält.

Durch das Programm sollen mehr als 250 Unternehmen und gemeinnützige Organisationen in Deutschland unterstützt werden, die typischerweise als besonders gefährdet für Cyberangriffe gelten. Mit dem Projekt strebe man an, hohe Sicherheitsstandards zu erreichen. Betroffenen Einrichtungen sollen Cyberangriffe besser abwehren können.

Zu der Liste an Diensten und Angeboten, die sich mit Passkeys nutzen lassen, gesellt sich nun das Online-Konto bei der Bundesagentur für Arbeit. Anstatt lediglich auf Nutzernamen und Passwort – und gegebenenfalls einen zweiten Faktor – zu setzen, ist damit eine tatsächlich vor Phishern weitgehend sichere Anmeldeoption verfügbar.

Anzeige

Eine eigene Passkey-Webseite der Bundesagentur für Arbeit erläutert die Einrichtung und beantwortet einige häufig gestellte Fragen. Technisch verdongelt bei Passkeys ein Zertifikatspaar den genutzten Rechner mit einem Dienst oder Angebot: Ein privates Zertifikat wird lokal gesichert und ein öffentliches liegt auf dem Server des Online-Dienstes. Es werden keine Passwörter mehr übertragen. Nutzernamen und Passwörter sind oftmals das Ziel von Phishing-Angriffen. Derartige Zugangsdaten finden sich auch immer wieder in Datensammlungen im Internet. Angreifer können sie dann nutzen, um im Namen der Opfer zu agieren und so Schaden anzurichten. Private Schlüssel von Passkeys bleiben lokal und werden nicht an Server geschickt, sodass Angreifer sie nicht stehlen können.

Wer Passkeys nutzt, muss keine Nutzernamen und Passwörter mehr eingeben, sondern legt in der Regel einfach einen Finger auf den Fingerabdruckscanner von Smartphone oder PC oder lässt das Gesicht scannen, um die Nutzung des privaten Schlüssels zu erlauben. Damit lässt sich der Zugriff auf das Konto einfach und schnell freigeben. Die sicherere Lösung ist damit sogar komfortabler.

Die Passkeys lassen sich im Benutzerkonto unter dem Punkt "Arbeitsagentur-Konto" – "Passkeys verwalten" erstellen und gegebenenfalls auch löschen. Bis zu zehn Passkeys können Interessierte erstellen.

Internet-Router der Nighthawk Pro Gaming-Reihe von Netgear haben eine Sicherheitslücke, durch die Angreifer Schadcode einschleusen und ausführen können. Dafür ist keine Anmeldung erforderlich, Netgear stuft die Lücke daher als kritisch ein. Updates stehen bereit, die Admins umgehend anwenden sollten.

Anzeige

In einer Sicherheitsmitteilung warnt Netgear, dass die Router XR500, XR1000 und XR1000v2 anfällig sind. Daher habe das Unternehmen Sicherheitsupdates veröffentlicht, die die Lücke stopfen. Die neuen Versionen 2.3.2.134 für XR 500, 1.0.0.74 für XR1000 und 1.1.0.22 für XR1000v2 enthalten die Fehler nicht mehr. Netgear rät dringend dazu, die neue Firmware so schnell wie möglich herunterzuladen. Weitere Informationen zur Schwachstelle bleibt Netgear schuldig, die Autoren schreiben nicht, wie Angreifer die Lücke missbrauchen können. Einzig das Firmware-Update helfe jedoch, die Lücke zu schließen (CVE-2025-25246, CVSS 9.8, Risiko "kritisch"). Mitre stuft die Schwachstelle etwas harmloser ein, mit einem CVSS-Score von 8.1 als "hohes" Risiko.

Auf der Netgear-Support-Webseite sollen Admins die Modellnummer ihres Routers in die Suchbox eingeben und aus dem erscheinenden Drop-Down-Menü das eigene Modell auswählen. Unter "Downloads", dann "Current Version" ist der Titel, der mit "Firmware Version" anfängt, anzuklicken. Auf der Seite muss dann noch mal "Download" geklickt werden, um die Datei herunterzuladen. Einfacher soll das Firmware-Update mit den Netgear-Apps klappen, insbesondere mit der Netgear Nighthawk Aoo zur Verwaltung von Nighthawk-Routern.

Die älteren Netgear-Router FVS336Gv2 und FVS336Gv3 weisen eine Sicherheitslücke auf, durch die Angreifer Befehle über Telnet einschleusen können. Laut Schwachstelleneintrag in der NIST-Datenbank müssen Angreifer dafür angemeldet sein, können dann aber beliebige Befehle mit Root-Rechten ausführen. Dazu müssen sie lediglich manipulierte "util backup_configuration" senden (CVE-2024-23690, CVSS 7.2, hoch). Da die Router an ihrem End-of-Life angelangt sind, gibt es dafür keine Sicherheitsupdates mehr. Nutzerinnen und Nutzer sollten die Geräte durch aktuelle mit Hersteller-Support austauschen.

In Veeam Backup Appliances kommt ein Updater zum Einsatz, der eine Sicherheitslücke erhält. Angreifer können dadurch Schadocde einschleusen und ausführen. Updates sind verfügbar.

Anzeige

In einer Sicherheitsmitteilung erörtert Veeam die Schwachstelle. "Eine Schwachstelle in der Veeam Updater-Komponente ermöglicht Angreifern, eine Man-in-the-Middle-Attacke zu nutzen, um beliebigen Code auf betroffenen Appliances mit Root-Berechtigungen auszuführen", schreibt der Hersteller (CVE-2025-23114, CVSS 9.0, Risiko "kritisch"). Davon sei etwa die aktuelle Version von Veeam Backup for Salesforce 3.1 und vorherige betroffen.

Der Versuch, die betroffenen Versionen aufzulisten, wird etwas von den Marketing-Bemühungen durchkreuzt, die Lücke und Auswirkungen möglichst kleinzureden. Konkret betroffen sind demnach jedoch Veeam Backup for AWS 6a und 7, for Google Cloud 4 und 5, for Microsoft Azure 6a und 6, for Nutanix AHV 5.0 und 5.1 sowie for Oracle Linux Virtualization Manager und Red Hat Virtualization 3, 4.0 und 4.1. Für diese stehen teils seit Mitte vergangenen Jahres jedoch aktualisierte Versionen bereit. Für Veeam Backup for Salesforce steht nun neu die Updater-Komponente in Version 7.9.0.1124 zur Verfügung, die die Schwachstelle ebenfalls ausbessert.

Wer Veeam Backup & Replication mit diesen Appliances einsetzt, muss die Software auf Version 12.3 oder neuer aktualisieren und die Appliances auf die genannten fehlerkorrigierten Stände oder jüngere bringen. Die aktualisierten Pakete sollen im Repository von Veeam zum Download bereitstehen. Die Aplliances und Software enthält jedoch einen einfach nutzbaren Update-Mechanismus, der standardmäßig aktiv ist und die Aktualisierungen bereits durchgeführt haben sollte. Dies sollten IT-Verantwortliche überprüfen und gegebenenfalls nachholen.

Angreifer können an fünf Sicherheitslücken in HPE Aruba Networking ClearPass Policy Manager (CPPM) ansetzen und Systeme im schlimmsten Fall kompromittieren. Sicherheitsupdates stehen zum Download bereit.

Anzeige

CPPM ist eine Zugriffsmanagementlösung, mit der Admins Netzwerkzugriffe steuern und überwachen können.

In einer Warnmeldung listen die HPE-Entwickler weiterführende Informationen zu den geschlossenen Sicherheitslücken (CVE-2025-23058 "hoch", CVE-2024-7348 "hoch", CVE-2025-23059 "mittel", CVE-2025-23060 "mittel", CVE-2025-25039 "mittel") auf.

Sind Attacken erfolgreich, können sich Angreifer unter anderem höhere Nutzerrechte verschaffen und etwa bestimmte Funktionen mit Admin-Rechten ausführen. Außerdem können Angreifer sensible Daten einsehen. Wie Attacken konkret ablaufen könnten, ist bislang unklar.

Socket-Forscher haben im Ökosystem der Programmiersprache Go ein bösartiges Typosquatting-Paket entdeckt, das sich als das BoltDB-Modul ausgibt. Dieses Paket enthält eine Hintertür zur Remote-Code-Ausführung und nutzt den Go Module Mirror-Dienst, um im Cache zu bleiben. Gleichzeitig wurden die Git-Tags geändert, um die Malware vor manuellen Überprüfungen zu verbergen.

Anzeige

Das Thema Typosquatting ist nicht neu: Bereits bei den Paketmanagern PyPI und npm hatte es in den letzten Jahren immer wieder derartige Vorfälle gegeben, bei denen Schadcode in Paketen mit ähnlich klingenden Namen wie populäre Bibliotheken versteckt wurde, um Nutzerinnen und Nutzer zu täuschen und zum Herunterladen dieser bösartigen Pakete zu verleiten.

Im aktuellen Fall entwickelte ein Angreifer ein bösartiges Go-Paket mit dem Namen boltdb-go/bolt, das dem weitverbreiteten und legitimen BoltDB-Paket zum Verwechseln ähnlich sieht. Nachdem das bösartige Paket vom Go Module Proxy zwischengespeichert wurde, änderte der Angreifer die Git-Tags im Quell-Repository, sodass sie auf eine saubere, legitime Version verweisen. Dadurch blieb die bösartige Version für Entwicklerinnen und Entwickler verfügbar, die den Proxy nutzten, selbst wenn sie manuell das GitHub-Repository überprüften.

Ein bösartiges Codebeispiel aus dem Blogbeitrag von Socket zeigt anhand von Kommentaren, wie der Angreifer beim Einrichten und Aktivieren einer versteckten Hintertür in der db.go-Datei vorgegangen ist:

Der Support für mehrere Zyxel-Router ist dem Hersteller zufolge schon seit mehreren Jahren ausgelaufen. Demzufolge sollten die Geräte nicht mehr genutzt werden. Aktuell laufende Attacken verschärfen die Situation.

Anzeige

In einem Beitrag führt Zyxel aus, dass die betroffenen Router aufgrund des Supportendes keine Sicherheitsupdates mehr bekommen und verwundbar bleiben. Wer so ein Gerät noch einsetzt, sollte es aufgrund der derzeit laufenden Attacken durch eine Mirai-Botnet-Malware zügig aus dem Verkehr ziehen und durch einen aktuellen Router ersetzen.

Konkret geht es um diese Modelle:

Setzen Angreifer erfolgreich an den Lücken (CVE-2024-40890, Risiko "hoch"; CVE-2024-40891, "hoch"; CVE-2025-0890, "kritisch") an, können sie unter anderem aufgrund von unsicheren Standard-Zugangsdaten für eine Telnet-Verbindung über das Managementinterface die Zugangsdaten für Admins ändern. In so einer Position ist davon auszugehen, dass Angreifer Geräte vollständig kompromittieren.

Vor etwa zwei Wochen wurde eine Sicherheitslücke in 7-Zip bekannt, die den Mark-of-the-Web-Schutz (MotW) betrifft, also die Ausführungsverhinderung von aus dem Internet heruntergeladener Dateien. Jetzt erörtert Trend Micro Details zur Schwachstelle und weist darauf hin, dass sie in freier Wildbahn missbraucht wurde, um Opfern Schadcode unterzuschieben.

Anzeige

Eine tiefgehende Analyse von Trend Micros Zero-Day-Initiative-Team (ZDI) erörtert die Schwachstelle CVE-2025-0411 genauer, als das bislang der Fall war. MotW stattet aus dem Netz heruntergeladene Dateien mit einem NTFS Alternate Data Stream (ADS) mit dem Namen "Zone.Identifier" aus, in dem der Text "ZoneId=3" eingebettet ist. Der steht für "nicht vertrauenswürdige Zone", etwa dem Internet, als Ursprung. Solche Dateien prüft Windows zusätzlich etwa mit Microsoft Defender Smartscreen. Derart markierte Dateien führt Windows standardmäßig nicht ohne Rückfrage aus und verhindert so etwa den automatischen Start von Schadcode.

Durch das Verpacken eines Archivs in ein anderes hat 7-Zip vor Version 24.09 die MotW-Markierung nicht korrekt weitergereicht – das passiert unabhängig vom genutzten Archivformat. Angreifer können das missbrauchen, um Archive zu erstellen, die bösartige Skripte oder Binärdateien enthalten, die nicht mit dem MotW-Marker ausgestattet werden. Das macht Windows-Nutzer für Angriffe anfällig, da solche Inhalte ohne weitere Warnung ausführbar sind. Auch der Schutz vor bösartigen Dokumenten in Microsoft Office basiert darauf.

Das ZDI-Team hat am 25. September den Missbrauch dieser Sicherheitslücke in freier Wildbahn beobachtet. Vermutlich russische kriminelle Banden haben damit die ukrainische Regierung und Organisationen in einer SmokeLoader-Malware-Kampagne angegriffen. Bei der Untersuchung stellte sich heraus, dass E-Mails von ukrainischen Behörden- und Unternehmens-Konten stammten und auf kommunale Organisationen und Unternehmen zielten.

Regelmäßig schlüpfen unzählige Trojaner-Apps an Schutzmaßnahmen in Googles App Store Play vorbei. Jahr für Jahr stellt das Unternehmen in einem Bericht Gegenmaßnahmen vor und nennt Zahlen zu unter anderem entfernten Apps.

Anzeige

Trojaner-Apps kopieren etwa Log-in-Daten vom Onlinebanking und leiten diese an Kriminelle weiter. Auf diesem Weg sind Angreifer aber auch auf weitere persönliche Daten wie Kreditkartennummern aus.

Im aktuellen Jahresbericht für 2024 steht, dass im vergangenen Jahr knapp 2,4 Millionen gefährliche Apps ausgesperrt wurden. Die Schadfunktionen dieser Apps wurden Google zufolge durch verschiedene Mechanismen vor der Veröffentlichung im Play Store erkannt und die Anwendungen geblockt. Außerdem wurden 158.000 Entwickler-Accounts gesperrt und bei 1,3 Millionen Apps wurde die unnötige Verarbeitung von persönlichen Informationen unterbunden.

Die Analysen werden Google zufolge neben automatischen Erkennungsmechanismen auch durch menschliche Reviewer erledigt, die neuerdings durch KI unterstützt werden. Zusätzlich soll Googles Echtzeitscanner Play Protect 13 Millionen bösartige Apps erkannt und blockiert haben, die aus Dritt-Anbieter-App-Stores stammen. Der Ansatz scannt jede App auf einem Android-Gerät, egal, woher sie stammt.

Das Let's-Encrypt-Projekt will die Unterstützung für Benachrichtigungen über auslaufende Zertifikate abschaffen. Dieses Standardverhalten endet am 4. Juni dieses Jahres. Solche E-Mails versendet das Projekt bis dahin, wenn die Verlängerung eines Zertifikats über einen bestimmten Zeitraum nicht geklappt hat. Darüber hat das Projekt Nutzerinnen und Nutzer nun mit E-Mails informiert.

Anzeige

In einer zugehörigen Mitteilung auf der Let's-Encrypt-Webseite schreiben die Autoren, dass in den vergangenen zehn Jahren mehr und mehr Abonnenten verlässliche Automatisierung für die Zertifikatserneuerung eingesetzt haben. Zum Versenden der Ablauf-Benachrichtigungen muss Let's Encrypt Millionen von E-Mail-Adressen vorhalten, die mit den Herausgeber-Einträgen verknüpft sind. Dem Projekt ist Privatsphäre wichtig, daher sei den Maintainern das Entfernen dieser Anforderung wichtig.

An dritter Stelle nennt das Projekt die Kosten, die das Versenden der Nachrichten verursacht. Zehntausende Dollar jährlich fielen an, die die Maintainer lieber in "andere Aspekte der Infrastruktur" stecken könnten. Außerdem erhöhen die Ablauf-Benachrichtigungen die Komplexität der Infrastruktur, was Zeit und Aufmerksamkeit binde und die Wahrscheinlichkeit für Fehler erhöhe. Auf lange Sicht müsse das Projekt die Komplexität im Griff halten, insbesondere, wenn es neue Dienstbestandteile veröffentlicht und dafür Komponenten herauswirft, die nicht mehr länger zu rechtfertigen seien.

Für diejenigen, die weiterhin Benachrichtigungen über auslaufende Zertifikate erhalten wollen, empfiehlt Let's Encrypt Drittanbieterdienste wie Red Sift Certificates Lite, die bis zu 250 Zertifikate kostenlos überwachen und gegebenenfalls Ablauf-Benachrichtigungen schicken. Das kann sinnvoll und empfehlenswert sein, wenn über längere Zeiträume auslaufende Zertifikate nicht auffallen.