News Asus-Live-Update-Angriff: Asus hat Passwörter selbst auf GitHub veröffentlicht
Revan1710
Captain
- Registriert
- März 2012
- Beiträge
- 3.304
Muss hier nochmal zurückrudern, da ich selbst nicht mehr blicke, was genau nun abgelaufen ist.
Ging es nun tatsächlich um ein öffentliches Git-Repository von ASUS oder um private und öffentlich zugängliche Repos eines ASUS-Entwicklers? Das ist ja ein großer Unterschied
Andere Quellen deuten eher auf zweiteres und dann kann man Asus eigentlich nur ankreiden, dass sie nicht schnell genug reagiert und das Problem nicht öffentlich gemacht haben - Dann suggeriert die Überschrift des Artikels aber auch etwas völlig falsches
Ging es nun tatsächlich um ein öffentliches Git-Repository von ASUS oder um private und öffentlich zugängliche Repos eines ASUS-Entwicklers? Das ist ja ein großer Unterschied
Andere Quellen deuten eher auf zweiteres und dann kann man Asus eigentlich nur ankreiden, dass sie nicht schnell genug reagiert und das Problem nicht öffentlich gemacht haben - Dann suggeriert die Überschrift des Artikels aber auch etwas völlig falsches
Zuletzt bearbeitet:
und? heist ja nur das asus seine rechte ausüben könnte nicht mehr nicht weniger. sAncientAlien schrieb:
2002 wurde asrock ausgegliedert aus asustek und 210 in die corporation überführt, eingegliedert. heist aber ja nicht das asrock kein eigenständiges layout z.b. bei mainboards hat bzw ein eigenes geschäftsmodell verfolgt. unabhängig von dem was asustek macht^^.
AncientAlien
Lieutenant
- Registriert
- März 2015
- Beiträge
- 865
feidl74 schrieb:
Hängen aber trotzdem irgendwo zusammen und ich würde mir nach so einem Vorfall auch keine Boards von Asrock holen.
Hmm, wenn es das repository von ASUS war hoffe ich, dass sie nicht falsche Schlüsse ala "Freie Software war schuld" drauß ziehen, befürchte es aber...
Herzliche Glückwunsch, du bist im Jahr 2005 angekommen, sag Bescheid wenn du im Jahr 2019 angekommen bist und MasterpasswordApp.com nutzt..Engelsen schrieb:Spätestens jetzt weiß ich, warum ich die letzte Woche auf Keepass umgestiegen bin und JEDEM Account ein eigenes Passwort gegeben habe!
SIR_Thomas_TMC
Captain
- Registriert
- Aug. 2014
- Beiträge
- 3.293
Ich blick von Anfang an nicht durch:Revan1710 schrieb:
Still unansweredSIR_Thomas_TMC schrieb:
die mögen finanziell zusammenhängen und konzerntechnisch aber nicht was Produkte angeht. da hat eher jeder sein eigenes Süppchen am laufen. desweiteren nutze ich solche updater nicht, da die meist eh nur alten schinken anbieten^^AncientAlien schrieb:
SIR_Thomas_TMC
Captain
- Registriert
- Aug. 2014
- Beiträge
- 3.293
Verstehe es nur nicht. Wenn ich ein Auto konstruiere, setze ich die Konstruktionsdaten auch nicht in ein Forum. Daher die Frage, wieso macht man sowas? Also wirklich erklären - war nicht ironisch oder mit subtext gemeint. Ich kenn mich da nicht aus.jonderson schrieb:
Revan1710
Captain
- Registriert
- März 2012
- Beiträge
- 3.304
@SIR_Thomas_TMC
Ich kann mir beim besten Willen nicht vorstellen, dass Asus ein öffentlich zugängliches git-Repository hat, wo jeder einfach so ihre Quellen einsehen kann, das ist ja nicht open source und deshalb finde ich die Überschrift hier auch falsch.
Wir benutzen bei meinem Arbeitgeber auch github, zur Versionsverwaltung und gemeinsamen Arbeiten an Projekten ist das ja auch super - aber das ist logischerweise nicht öffentlich zugänglich.
Ich nehme an, dass Entwickler hier privat einfach Code von der Arbeit verwendet haben und dieser dann in deren öffentlichen git-repos aufgetaucht ist oder es sind fälschlicherweise sensible Dateien im öffentlich zugänglich Teil vom Asus-Repo gelandet. In beiden fällen aber sehr fahrlässig von den Entwicklern.
Ich kann mir beim besten Willen nicht vorstellen, dass Asus ein öffentlich zugängliches git-Repository hat, wo jeder einfach so ihre Quellen einsehen kann, das ist ja nicht open source und deshalb finde ich die Überschrift hier auch falsch.
Wir benutzen bei meinem Arbeitgeber auch github, zur Versionsverwaltung und gemeinsamen Arbeiten an Projekten ist das ja auch super - aber das ist logischerweise nicht öffentlich zugänglich.
Ich nehme an, dass Entwickler hier privat einfach Code von der Arbeit verwendet haben und dieser dann in deren öffentlichen git-repos aufgetaucht ist oder es sind fälschlicherweise sensible Dateien im öffentlich zugänglich Teil vom Asus-Repo gelandet. In beiden fällen aber sehr fahrlässig von den Entwicklern.
SIR_Thomas_TMC schrieb:Ich blick von Anfang an nicht durch:
Still unanswered
Hier steht, was EIGENTLICH passiert ist:
https://techcrunch.com/2019/03/27/a...G9yeQ&guce_referrer_cs=fo5yzDqi9Q--j4gGQ4zD9Q
Ich fasse das mal zusammen:
Es gibt bei Asus diesen Email-Account, der von einem automatisierten Build-System benutzt wird, um Emails bzw. Benachrichtigungen zu den Builds an die Enwtiwckler rauszuschicken. Bei den Builds handelt es sich um Alpha-Builds bzw. Testversionen von "apps, drivers and tools".
Das Passwort für diesen Testsoftware-Benachrichtigungs-Account war öffentlich einsehbar und der Forscher/Angreifer hätte Nachrichten an Entwickler senden können, die so aussehen, als ob sie vom Build-System kommen.
Zitat:
"Emails in the mailbox contained the exact internal network path where drivers and files were stored. "
Das klingt nicht so als ob Daten direkt über Email verteilt werden, sondern eher so, dass Netzwerkpfade in der Email auftauchen.
Zitat:
Mit anderen Worten, dieses Malheur hätte allerhöchstens einen Pishing Vector ermöglicht, ist an sich aber noch keine direkte Angriffsmöglichkeit auf Asus Software. Außerdem sei nochmal betont, dass es hier um Alpha Builds geht. Also um Software, mit der Kunden eigentlich nix zu tun haben sollten (hust).
Und es sei außerdem erwähnt, dass völlig unklar ist, ob über diese Emails nur Benachrichtigungen (was ich glaube) oder auch die tatsächliche Alpha-Software (extrem unwahrscheinlich, es widerspricht aller gängigen Praxis, Builds per Email) ausgeliefert wurde.
Es sei außerdem erwähnt, das selbst wenn tatsächlich die Builds per Emails verschickt wurden, die Emails nicht an Kunden gerichtet waren sondern an Entwickler.
Zuletzt bearbeitet:
SIR_Thomas_TMC
Captain
- Registriert
- Aug. 2014
- Beiträge
- 3.293
@Katharsas Vielen Dank für die Zusammenfassung und Erklärung! 
Wie man dann aber auf das hier kommt (Zitat aus dem Artikel)
Wie man dann aber auf das hier kommt (Zitat aus dem Artikel)
verstehe ich dann erst recht nicht. Entweder war das Phising dann erfolgreich und man kam an die Daten und hat sich das dann in der build anschauen können, oder aber die Pfade/Zugriffsmöglichkeiten waren dann doch irgendwie öffentlich (fände ich verherend) oder drittens, die Behauptung stimmt nicht.
Für mich klingt das so als ob zwischen dem "researcher" und techcrunch schlecht kommuniziert wurde oder nicht alles von techcrunch verstanden wurde, denn es ist auch in dem original Artikel bereits zu vage um GENAU zu sagen was Sache ist (bzw. wer weiß wo techcrunch das ganz her hat). Die Übersetzung von CB oder wem auch immer ist dann noch vager, und so weiter, und dann bleibt hier nur noch ein verworrener, nicht zufriedenstellender, widersprüchlicher Informationsalat.
Ich halte CB zu Gute, dass sie nicht viel schlimmeren Klickbait draus gemacht haben (was sie hätten tun können), finde aber dass es bei einer so schlechten Informationslage nicht unbedingt einen Artikel gebraucht hätte.
"Stille Post" Prinzip : )
Ich halte CB zu Gute, dass sie nicht viel schlimmeren Klickbait draus gemacht haben (was sie hätten tun können), finde aber dass es bei einer so schlechten Informationslage nicht unbedingt einen Artikel gebraucht hätte.
"Stille Post" Prinzip : )
Jesterfox
Legende
- Registriert
- März 2009
- Beiträge
- 44.484
Ok, da wurde also auch dran gedacht, nicht schlecht. Wobei man sich das wieder irgendwo merken muss und wenns die App macht muss sie das irgendwie syncen wenn man sie auf verschiedenen Geräten nutzt. (habs grad gefunden... die App merkt sich das bietet aber keinen Sync)
Ich find die Idee durchaus interessant, aber bevor ich anfang sowas zu verwenden will ich halt erst mal wissen und verstehen was da alles passiert ;-)
Ich find die Idee durchaus interessant, aber bevor ich anfang sowas zu verwenden will ich halt erst mal wissen und verstehen was da alles passiert ;-)
