Abo
  • Services:
Anzeige
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Sicherheitslücke: Hacker setzt sächsischen Innenminister auf Fahndungsliste

Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Interpol sucht nach einem deutschen Innenminister. So stand es jedenfalls auf der Webseite der Organisation - wenn man diese über einen präparierten Link aufrief. Ein Hacker hatte die Meldung dort platziert, um eine Sicherheitslücke auf der Seite zu demonstrieren. Betroffen war der sächsische Innenminister Markus Ulbig. Zur Begründung hieß es: "Sprach sich für Massenüberwachung von 55.000 Handynutzern aus, die zur Sammlung von mehr als einer Million Metadaten führte."

Anzeige

Konkret nutzte der Hacker Mathias Ungethüm eine Schwachstelle für Cross-Site-Scripting (XSS) aus, um die gefälschte Botschaft zu platzieren. "Es gelang mir, die Verbrecher- und Vermisstenlisten zu manipulieren", sagte Ungethüm nach Angaben der Morgenpost Dresden. Neben Ulbig wurde auch Pacman auf die Fahndungsliste gesetzt.

Manipulierter Link wird per E-Mail versendet

Um die Manipulation durchzuführen, wird eine E-Mail mit einem manipulierten Link versendet. Klickt man darauf, wird die manipulierte Seite ausgeliefert. XSS-Angriffe können erfolgreich sein, wenn Webseiten eingegebene Strings oder URLs nicht auf Manipulationen oder illegale Eingaben prüfen. Der versendete Link wird mit einem anderen Titel versehen, um die außergewöhnliche Länge zu kaschieren.

Auch der MDR hatte über den Vorgang berichtet. Dort sagte Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol." Ungethüm verriet nicht, um welches Zeichen es sich handelt.

Mittlerweile wurde die Sicherheitslücke geschlossen. Ungethüm hatte Europol nach eigenen Angaben bereits am 30. Mai über das Problem informiert. Die Sicherheitslücke wurde jedoch erst heute, wenige Stunden nach der Veröffentlichung durch den MDR, geschlossen.


eye home zur Startseite
alcon 08. Jul 2016

Ja, das ist eine kleine Sache, die ganz schoen aufgeblasen wird. Ansonsten wurde die...

alcon 08. Jul 2016

Du brauchst aber auch die Social Engineering Komponente, um das Problem erst zu erzeugen...

alcon 07. Jul 2016

XSS zu entdecken wenn garnichts geprueft wird, ist extrem leicht. Die Aussage mit dem...

DebugErr 07. Jul 2016

Die Begründung wüsste ich mal gerne. Ist doch genauso verfressen wie der Gabriel.

alcon 07. Jul 2016

Du hast vollkommen Recht. Allerdings wollen die Leute immer noch mit ihren Frameworks...



Anzeige

Stellenmarkt
  1. Werner Sobek Group GmbH, Stuttgart
  2. Automotive Safety Technologies GmbH, Gaimersheim
  3. SICK AG, Reute bei Freiburg im Breisgau
  4. Syna GmbH, Frankfurt am Main


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 39,99€ (Vorbesteller-Preisgarantie)
  3. (u. a. Warcraft Blu-ray 9,29€, Jack Reacher Blu-ray 6,29€, Forrest Gump 6,29€, Der Soldat...

Folgen Sie uns
       


  1. Service

    Telekom verspricht kürzeres Warten auf Techniker

  2. BVG

    Fast alle U-Bahnhöfe mit offenem WLAN

  3. Android-Apps

    Rechtemissbrauch erlaubt unsichtbare Tastaturmitschnitte

  4. Electro Fluidic Technology

    Schnelles E-Paper-Display für Video-Anwendungen

  5. Heiko Maas

    "Kein Wunder, dass Facebook seine Vorgaben geheim hält"

  6. Virtual Reality

    Oculus Rift unterstützt offiziell Roomscale-VR

  7. FTP-Client

    Filezilla bekommt ein Master Password

  8. Künstliche Intelligenz

    Apple arbeitet offenbar an eigenem AI-Prozessor

  9. Die Woche im Video

    Verbogen, abgehoben und tiefergelegt

  10. ZTE

    Chinas großes 5G-Testprojekt läuft weiter



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9365) im Test: Dells Convertible zeigt alte Stärken und neue Schwächen
XPS 13 (9365) im Test
Dells Convertible zeigt alte Stärken und neue Schwächen
  1. Prozessor Intel wird Thunderbolt 3 in CPUs integrieren
  2. Schnittstelle Intel pflegt endlich Linux-Treiber für Thunderbolt
  3. Atom C2000 & Kaby Lake Updates beheben Defekt respektive fehlendes HDCP 2.2

Calliope Mini im Test: Neuland lernt programmieren
Calliope Mini im Test
Neuland lernt programmieren
  1. Arduino Cinque RISC-V-Prozessor und ESP32 auf einem Board vereint
  2. MKRFOX1200 Neues Arduino-Board erscheint mit kostenlosem Datentarif
  3. Creoqode 2048 Tragbare Spielekonsole zum Basteln erhältlich

Tado im Langzeittest: Am Ende der Heizperiode
Tado im Langzeittest
Am Ende der Heizperiode
  1. Speedport Smart Telekom bringt Smart-Home-Funktionen auf den Speedport
  2. Tapdo Das Smart Home mit Fingerabdrücken steuern
  3. Mehr Möbel als Gadget Eine Holzfernbedienung für das Smart Home

  1. Re: 1400W... für welche Hardware?

    Ach | 20:24

  2. Re: Ich weiss wie man das hin bekommt

    DG-82 | 20:15

  3. Re: Telekom-Termin = irgendwann zwischen 8 und 21 Uhr

    DG-82 | 20:14

  4. Re: Sicherheit von öffentlichen wlans

    pointX | 20:07

  5. Re: Unangenehme Beiträge hervorheben statt zu...

    plutoniumsulfat | 19:53


  1. 12:31

  2. 12:15

  3. 11:33

  4. 10:35

  5. 12:54

  6. 12:41

  7. 11:44

  8. 11:10


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel