Google hat gestern erstaunlich schnell reagiert und wenige Minuten nach einem entsprechenden Hinweis zunächst 21 Apps aus dem Android-Market entfernt. Diese Apps verschafften sich Root-Rechte auf den betroffenen Geräten, sammelten Daten und installierten zum Teil Backdoors. Sie waren außerdem in der Lage, Code nachzuladen und zu installieren, am Benutzer vorbei.

Insgesamt gut 50.000 mal sollen die 21 Apps bis dahin installiert gewesen sein. Kurze Zeit später wurden über 30 weitere Apps gemeldet, meine Stichproben zeigen, dass diese inzwischen ebenfalls nicht mehr im Market verfügbar sind. Ob die Installationen per Kill-Switch von den Geräten entfernt werden, ist im Moment noch unbekannt.

Die komplette Liste der gefundenen Apps gibt es übrigens bei Android Police, die die Malware entdeckt und an Google gemeldet haben. In diesem Zusammenhang macht plötzlich auch die Übernahme von Zynamics durch Google mehr Sinn, die Bochumer sind auf Reverse Engineering zu Analysezwecken von Binär- und Bytecode spezialisiert.

Mitte Mai gibt es eine neue Doppel-CD von Moby: wait for me. Remixes! (Release laut Moby am 17.5., laut Amazon am 14.5.)

Diese Meldung wäre nun eigentlich keinen Blogbeitrag wert. Allerdings gibt es vorab schon mal ein kleines Leckerchen auf der Seite zum Album: 3 Mashups aus Mixes des Albums zum reinhören und, man höre und staune, zum herunter laden. Als MP3. Gefällt.

Auf der Seite gibts auch noch ein paar Infos zu den Beteiligten, Namen wie Carl Cox, Paul Kalkbrenner oder Moguai sind sogar mir ein Begriff. Und das sind nur 3 von über 30…

„Warnung – Ein Besuch dieser Seite kann Ihren Computer beschädigen!“

Die Meldung prangte gestern beim Anklicken eines beliebigen Suchergebnisses auf den Bildschirmen der Google-Nutzer. Egal wonach man suchte, egal welches Suchergebnis man auswählte, in nahezu jedem Fall erhielt man diese Meldung. Internet-Seuche überall… 😉

Was war passiert? Beim Update der Listen, die die URLs für diese eigentlich recht nützliche Funktion markieren, wurde laut Google ein „/“ in die Liste aufgenommen. Womit auf einen Schlag nahezu alle URLs als gefährlich eingestuft wurden und für diese Warnung sorgten. Menschliches Versagen also.

What happened? Very simply, human error. Google flags search results with the message „This site may harm your computer“ if the site is known to install malicious software in the background or otherwise surreptitiously. We do this to protect our users against visiting sites that could harm their computers. We maintain a list of such sites through both manual and automated methods. We work with a non-profit called StopBadware.org to come up with criteria for maintaining this list, and to provide simple processes for webmasters to remove their site from the list.

We periodically update that list and released one such update to the site this morning. Unfortunately (and here’s the human error), the URL of ‚/‘ was mistakenly checked in as a value to the file and ‚/‘ expands to all URLs. Fortunately, our on-call site reliability team found the problem quickly and reverted the file. Since we push these updates in a staggered and rolling fashion, the errors began appearing between 6:27 a.m. and 6:40 a.m. and began disappearing between 7:10 and 7:25 a.m., so the duration of the problem for any particular user was approximately 40 minutes.

Google erste Erklärung erweckte zunächst den Eindruck, dass diese Fehler bei StopBadware.org passiert wäre. StopBadware liefert Listen mit URLs, die für die Verteilung von Malware bekannt sind. Diese irreführende Info korrigierte Google dann allerdings später auf dem eigenen Blog.

In den letzten Tagen häufen sich bei mir wieder die Mails, die alle irgendwelche „Rechnungen“ im Anhang haben. Nach der Schwemme von angeblichen IKEA-Mails laufen bei mir nun täglich zig „Bestellbestätigungen“ von Amazon („Ihre Bestellung xxxxxxxx bei Amazon.de“, angebliche Bestätigungen einer kostenpflichtigen Mitgliedschaft bei single.de („Ihre konstenpflichtige Anmeldung bei www.single.de“ und „Konstenpflichtige Klubmitgliedschaft“), den dazugehörigen Lastschriften und Rechnungen, Quelle-Rechnungen („Ihre detaillierte Quelle Rechnung“) und sonstiger Müll ein. Allein heute wieder (bisher) 17 Stück.

Ehrlich gesagt frage ich mich, ob sich überhaupt noch irgend jemand Erfolg von dieser Methode verspricht. Schon allein aufgrund der Vielzahl der unterschiedlichsten Mails und der nun wirklich regelmäßigen ausführlichen Berichterstattung in allen möglichen Medien müsste doch inzwischen selbst der größte DAU eins begriffen habe: Öffne niemals einen x-beliebigen Dateianhang. Und auch das sollte (eigentlich) inzwischen jeder festgestellt haben: Kein Unternehmen und keine Behörde versendet Rechnungen oder Mahnungen oder Bestätigungen von irgendetwas als DATEIANHANG, schon gar nicht in einer ausführbaren Datei oder als Office-Dokument. NIEMAND.

Allerdings: Während ich das hier geschrieben habe überkam mich gerade die Sorge, dass unsere vor IT-Kompetenz strotzende Bundesregierung demnächst vielleicht auch dieses auf gesundem Menschenverstand basierende Schutzmittel vor Trojanischen Pferden und Viren aushebeln könnte. Eine Regelung a la „Dokumente in eMails dürfen ab dem soundsovielten nur noch mittels einem von der Bundesregierung zertifizierten Verfahren versendet werden. Zur Sicherstellung der Unversehrtheit eines Dokumentes und der zugehörigen digitalen Signatur muss dieses Dokument vor dem Versand mittels eines Packprogrammes in ein selbstentpackendes Archiv umgewandelt werden.“ Zutrauen würde ich denen das inzwischen. Und dann funktioniert auch diese Methode zur Verbreitung von Malware wieder hervorragend.

Hoffentlich habe ich jetzt niemanden auf dumme Ideen gebracht.

Update: Wie ich grad sehe gibt es bei heise auch Details zu den versendeten Schädlingen.