Auch „Sicherheits“-Software macht Man-in-the-Middle Angriffe durch Browser-Zertifikate möglich

Die von Lenovo auf manchen Modellen eingesetzte Superfish-Adware sorgte in jüngster Vergangenheit nicht nur für den typischen Adware-Frust beim Nutzer, sondern setzte diesem auch einer gewissen Gefahr aus, die durch das mitinstallierte Zertifikat gegeben wurde. Superfish konnte auf diese Weise auch Werbung auf Seiten anzeigen, die per HTTPS-Verbindung aufgerufen wurden. Lenovo hat in diesem Fall flott und offen reagiert, zeitnah ein Entfernungs-Tool angeboten und versprochen, dass so etwas nie wieder vorkommen würde. Nun zeigt sich: Superfish ist nicht das einzige Programm, das auf diese Weise vorgeht.

Lenovo_Yoga3_Tastatur

Während am Wochenende bekannt wurde, dass die Komodia-Technik (Komodia ist für die Software verantwortlich) in zahlreichen Programmen eingesetzt wird, wird es besonders heikel, wenn die gleiche Vorgehensweise auch von Tools genutzt wird, die mit Privatsphäre und Sicherheit in Verbindung gebracht werden. So geschehen im Lavasoft Ad-Aware Web Companion, einem Tool, das sichere Verbindungen überwacht, um etwaige Angriffe zu erkennen. Unklar ist hier noch, ob die Technik auch noch in der aktuellen Version eingesetzt wird.

PrivDog ist eine weitere „Sicherheits“-Software, auf eine ähnliche Methode setzt. Die Stand-Alone-Version von PrivDog sorgt dafür, dass Browser jedes selbst signiertes Zertifikat akzeptiert und somit anfällig für Man-in-the-Middle-Attacken macht. PrivDog zeigt aber keine Spuren der Komodia-Technologie. In der mit Comodo Internet Security gebündelten Version von PrivDog besteht dieses Risiko nicht, wie der Comodo CEO gegenüber Ars Technica erklärt.

Solltet Ihr den Ad-Aware Web Companion von Lavasoft oder PrivDog von Comodo (in der Stand-Alone-Version) einsetzen, ist es empfehlenswert, diese Programme zu entfernen, da sie ein gutes Angriffsziel bieten.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

13 Kommentare

  1. Thomas Baumann says:

    Würden die nun nur HTTP Seiten „verändern“, also unseriöse Werbung ersetzen, kein Problem, kann man machen. Aber alles was an HTTPS rum fummelt ist pauschal unseriös da es missbraucht werden _kann_. Und sowas setzt auch noch Comodo ein… Von denen hatte ich eigentlich immer viel gehalten, auch wenn die Firewall ständig für BlueScreens sorgte. Aber die Software wird nach und nach von immer mehr Virenscannern erkannt, sagt wohl alles.

  2. Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, liefert also ein Produkt aus, das diese Sicherheit komplett untergräbt.

    Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

  3. Und wieder fühle ich mich bestätigt auf ein Chromebook umgestiegen zu sein. Zumindest kann sich hier kein anderes Programm in den Browser einklinken. Surfen unter Windows und Co? No more!

  4. Diesen ganzen Schei….. hat man mit Mac-Rechnern nicht. Dafür gebe ich dann gerne etwas mehr Geld aus.

  5. Manche Mac-User sind schon naiv. Vielleicht mal mehr lesen als nur die Überschrift 😉

  6. chris1977ce says:

    Es ist schon traurig, wenn grade die Software, die Schützen soll die größten Probleme oder Sicherheitslücken bietet.

    Da werden die Sicherheitsprodukte von Microsoft (Security Essentials und Defender) stets schlecht gemacht, doch verursachen sie am wenigsten Probleme.

    Setze schon länger auf Windows 8 Defender (zuvor Security Essentials – davor sogar MS live onecare – gewonnen hier bei Cashy seiner Zeit *zwinker*) in Kombination mit Malwarebytes Premium (lifetimelicense).
    Bin bisher damit stets gut gefahren.

  7. @Thomas Polke @Moritz: Als wenn man diese Probleme, die der User selbst verursacht, nicht auch mit anderen Systemen hätte…

    (Und es gibt vermutlich auch Chrome Erweiterungen die solches Beeinflussen können)

  8. Macht GData & Kaspersky das nicht auch? Explizit sei hier das vorgehen bei SSL Verbindungen zu Mailservern mit Thunderbird erwähnt.

    Kann schlecht sein, muss es aber nicht. Kommt halt immer auf die Quelle an.

  9. Avira macht das übrigens auch – in der Voreinstellung mindestens beim Mailverkehr, unterstützt es glaube ich aber auch für https.

  10. @Markus

    Eben, jedes System ist so sicher wie der Nutzer der davor sitzt. Wenn nun der Nutzer Installiert was Ihm in die Finger kommt ohne den gesunden Menschenverstand einzusetzen, ist es letztlich wirklich egal mit welchem System man arbeitet. Zu behaupten mit System XY gäbe es dieses Problem nicht, ist schlichtweg Unsinn.

  11. @phry: Avasta ist auch so ein Kandidat. Habe ich bis vor einigen Monaten eingesetzt, bis ich mich wunderte, dass auf einer Seite angeblich ein ungültiges Zertifikat genutzt wurde. Nachgeforscht und gemerkt, dass das Zertifikat vom Avast Virenscanner kam. Gewundert, weiter recherchiert und Avast vom allen Rechnern geschmissen.

  12. Ein Virenscanner hat sich nicht in eine sichere Kommunikation auf Protokollebene einzuklinken. Das sehe ich das genau so.

  13. @Man@Work ups, ja, ich meinte Avast. Klingt ja auch so ähnlich 😉

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.