Abo
  • Services:

Sicherheitslücke: Hacker setzt sächsischen Innenminister auf Fahndungsliste

Cross-Site-Scripting macht Spaß: Ein Hacker hat den sächsischen Innenminister Markus Ulbig auf die Fahndungsliste von Interpol gesetzt. Damit wollte er auf eine Sicherheitslücke aufmerksam machen.

Artikel veröffentlicht am ,
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren.
Markus Ulbig wurde zur Fahndung ausgeschrieben, um eine Sicherheitslücke zu demonstrieren. (Bild: Matthias Rietschel/Getty Images)

Interpol sucht nach einem deutschen Innenminister. So stand es jedenfalls auf der Webseite der Organisation - wenn man diese über einen präparierten Link aufrief. Ein Hacker hatte die Meldung dort platziert, um eine Sicherheitslücke auf der Seite zu demonstrieren. Betroffen war der sächsische Innenminister Markus Ulbig. Zur Begründung hieß es: "Sprach sich für Massenüberwachung von 55.000 Handynutzern aus, die zur Sammlung von mehr als einer Million Metadaten führte."

Stellenmarkt
  1. DEKRA SE, Stuttgart
  2. Alfred Kärcher SE & Co. KG, Winnenden bei Stuttgart

Konkret nutzte der Hacker Mathias Ungethüm eine Schwachstelle für Cross-Site-Scripting (XSS) aus, um die gefälschte Botschaft zu platzieren. "Es gelang mir, die Verbrecher- und Vermisstenlisten zu manipulieren", sagte Ungethüm nach Angaben der Morgenpost Dresden. Neben Ulbig wurde auch Pacman auf die Fahndungsliste gesetzt.

Manipulierter Link wird per E-Mail versendet

Um die Manipulation durchzuführen, wird eine E-Mail mit einem manipulierten Link versendet. Klickt man darauf, wird die manipulierte Seite ausgeliefert. XSS-Angriffe können erfolgreich sein, wenn Webseiten eingegebene Strings oder URLs nicht auf Manipulationen oder illegale Eingaben prüfen. Der versendete Link wird mit einem anderen Titel versehen, um die außergewöhnliche Länge zu kaschieren.

Auch der MDR hatte über den Vorgang berichtet. Dort sagte Ungethüm: "Es wäre jetzt nicht so schwer, zumindest bestimmte Zeichen herauszufiltern. Es würde sogar, speziell bei dieser Stelle, reichen, wenn man ein einziges Zeichen herausfiltert. Das machen die aber nicht von Interpol." Ungethüm verriet nicht, um welches Zeichen es sich handelt.

Mittlerweile wurde die Sicherheitslücke geschlossen. Ungethüm hatte Europol nach eigenen Angaben bereits am 30. Mai über das Problem informiert. Die Sicherheitslücke wurde jedoch erst heute, wenige Stunden nach der Veröffentlichung durch den MDR, geschlossen.



Anzeige
Hardware-Angebote
  1. 18,99€
  2. (u. a. Fractal Design Meshfy Light Tint 69,90€)
  3. 119,90€
  4. (reduzierte Überstände, Restposten & Co.)

alcon 08. Jul 2016

Ja, das ist eine kleine Sache, die ganz schoen aufgeblasen wird. Ansonsten wurde die...

alcon 08. Jul 2016

Du brauchst aber auch die Social Engineering Komponente, um das Problem erst zu erzeugen...

alcon 07. Jul 2016

XSS zu entdecken wenn garnichts geprueft wird, ist extrem leicht. Die Aussage mit dem...

DebugErr 07. Jul 2016

Die Begründung wüsste ich mal gerne. Ist doch genauso verfressen wie der Gabriel.

alcon 07. Jul 2016

Du hast vollkommen Recht. Allerdings wollen die Leute immer noch mit ihren Frameworks...


Folgen Sie uns
       


Sechs Bluetooth-Hörstöpsel im Test

Wir haben sechs neue Bluetooth-Hörstöpsel getestet. Mit dabei sind Modelle von Sennheiser, Audio Technica, Master & Dynamic sowie HMD Global. Aber auch zwei Modelle kleinerer Startups sind vertreten. Und eines davon hat uns bezüglich der Akkulaufzeit sehr überrascht. Kein anderer von uns getesteter Bluetooth-Hörstöpsel hat bisher eine vergleichbar lange Akkulaufzeit zu bieten - wir kamen auf Werte von bis zu 11,5 Stunden statt der sonst üblichen drei bis fünf Stunden.

Sechs Bluetooth-Hörstöpsel im Test Video aufrufen
Geforce GTX 1660 im Test: Für 230 Euro eine faire Sache
Geforce GTX 1660 im Test
Für 230 Euro eine faire Sache

Die Geforce GTX 1660 - ohne Ti am Ende - rechnet so flott wie AMDs Radeon RX 590 und kostet in etwa das Gleiche. Der klare Vorteil der Nvidia-Grafikkarte ist die drastisch geringere Leistungsaufnahme.

  1. Nvidia Turing OBS unterstützt Encoder der Geforce RTX
  2. Geforce GTX 1660 Ti im Test Nvidia kann Turing auch günstig(er)
  3. Turing-Grafikkarten Nvidias Geforce 1660/1650 erscheint im März

Uploadfilter: Voss stellt Existenz von Youtube infrage
Uploadfilter
Voss stellt Existenz von Youtube infrage

Gut zwei Wochen vor der endgültigen Abstimmung über Uploadfilter stehen sich Befürworter und Gegner weiter unversöhnlich gegenüber. Verhandlungsführer Voss hat offenbar kein Problem damit, wenn es Plattformen wie Youtube nicht mehr gäbe. Wissenschaftler sehen hingegen Gefahren durch die Reform.

  1. Uploadfilter Koalition findet ihren eigenen Kompromiss nicht so gut
  2. Uploadfilter Konservative EVP will Abstimmung doch nicht vorziehen
  3. Uploadfilter Spontane Demos gegen Schnellvotum angekündigt

Galaxy S10+ im Test: Top und teuer
Galaxy S10+ im Test
Top und teuer

Mit dem Galaxy S10+ bringt Samsung erstmals eine Dreifachkamera in eines seiner Top-Smartphones. Die Entwicklung, die mit dem Galaxy A7 begann, hat sich gelohnt: Das Galaxy S10+ macht sehr gute Bilder, beim Preis müssen wir aber schlucken.
Ein Test von Tobias Költzsch

  1. Samsung Gesichtsentsperrung des Galaxy S10 lässt sich austricksen
  2. Samsung Galaxy S10 Europäer erhalten weiter langsameren Prozessor
  3. Galaxy S10 im Hands on Samsung bringt vier neue Galaxy-S10-Modelle

    •  /