curesec GmbH in the news
In this section we collect german and international press releases by and about Curesec. If you have any questions or if you want to consult Curesec for a publication, just send an e-mail to This e-mail address is being protected from spambots. You need JavaScript enabled to view it. .
In october 2014 SPIEGEL WISSEN published an article about carhacking, which discusses the merger of smartphones and onboard electronics. The article is available in german only.
Schon nächstes Jahr wollen Audi, BMW und Mercedes Fahrzeuge ausliefern, die Apples iOS oder Googles Android an Bord haben. "Vom Komfortaspekt her ist das toll, unter Sicherheitsaspekten jedoch alles andere als sinnvoll", sagt Marco Lux, Geschäftsführer des IT-Sicherheitsunternehmens Curesec.
Für die Fahrer böte das autointerne Betriebssystem Vorteile, weil sie so via Smartphone leichter auf einige interne Funktionen zugreifen könnten. Bereits heute lässt sich bei manchen Herstellern über das Smartphone etwa die Standheizung ein- und ausschalten oder die Tankanzeige ablesen. Künftig könnte ein Fahrer auch vor einem Parkplatz aussteigen und sein Auto per Smartphone-App in die Lücke dirigieren.
"Wenn das Telefon direkt mit Steuerungssystemen verbunden ist, wird es spannend", sagt Lux.
In july 2014 heise.de, zdnet and golem.de published articles about an android vulnerability, that permitts phone calls to be made by android apps without any provided priviliges.
Die Berliner Sicherheitsfirma Curesec hat entdeckt, dass bei Android ab Version 4.1 (Jelly Bean) im Code der Telefonfunktionen fälschlicherweise eine Klasse namens NotificationBroadcastReceiver exportiert wird, obgleich ein Entwicklerkommentar besagt, dass genau dies nicht geschehen darf. [...]
Google wurde von den Entdeckern der Lücke bereits Ende 2013 über das Problem informiert. Offenbar hat dies Früchte getragen: Laut Curesec ist aktuelle die Android-Version 4.4.4 nicht mehr anfällig.
The article has shown some media reactions for example at theguardian.com, theregister.cu.uk and derstandard.at.
In december 2013 heise.de and golem.de published an article about an android vulnerability by which an attacker can get past users' PINs to unlock the phone.
Sicherheitsforscher der deutschen Firma Curesec entdeckten eine Lücke in Android 4.3 (Jelly Bean), die es jeder installierten App erlaubt, sämtliche Lockscreen-Mechanismen auszuschalten. [...]
Im Normalfall muss ein Benutzer, der den Lockscreen deaktiviert, die Abschaltung bestätigen, in dem er das Gerät noch einmal entsperrt. Durch einen Designfehler können Apps diese Abfrage aber einfach umgehen. Die zugrundeliegende Sicherheitslücke (CVE-2013-6271) betrifft laut Curesec nur Android 4.3 (Jelly Bean).
The article has shown some media reactions for example at theregister.co.uk and derstandard.at.
welt.de and morgenpost.de published an article about vulnerabilities in industrial facilities in august 2013. The article is in german only.
"Die Sicherheitsstandards großer Kraftwerke haben sich verbessert", sagt Marco Lux, Geschäftsführer des Berliner IT-Consulting-Unternehmens Curesec. Er berät Industriebetriebe sowie mittelständische Unternehmen in Sicherheitsfragen und führt Analysen von Hardware und Software durch. Lux sieht allerdings noch großen Nachrüstbedarf – insbesondere bei Anlagen, die über das Internet oder Mobilfunk gesteuert und gewartet werden.
Netzwerke müssen nach den Worten von Lux nach außen und nach innen gesichert werden: Nach außen mit Firewalls, sicherer Authentifizierung und geschützten Netzwerkverbindungen (VPN). Und nach innen auf der Software-Seite mit Qualitätstests, Untersuchung auf Schwachstellen und bewährten Internetprotokollen.
In july 2013 we published a way to abuse the popular chat software Whatsapp to get payment information from google wallet and Paypal.
This means an attacker could intercept the first request via a suitable man-in-the-middle attack and successfully redirect the user to any Webpage when the user is trying to buy Whatsapp credit. To gain useraccounts the attacker could setup a fake Google-Wallet or Paypal Systems page to harvest user accounts. It might even be possible to gather directly money through this, for instance let the user pay the 0,99 cents via Google Wallet or Paypal to the account of the attacker
The article has shown some media reactions for example at heise.de, zdnet.de and techweekeurope.co.uk.