Abo
  • Services:
Anzeige
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Anzeige

Die Software PrivDog wirbt damit, dass das Programm die Privatsphäre des Nutzers schützt. Das Tool tauscht dafür Werbebanner auf Webseiten aus, die es als gefährlich erachtet. Für seine Funktion sendet Privdog jede Webseiten-URL, die ein Nutzer ansurft, an einen Server des Herstellers Adtrustmedia. Bis gestern erfolgte dies auch noch unverschlüsselt über HTTP.

Comodo lieferte Privdog-Variante aus

Wie wir bereits berichtet hatten, geriet Privdog vor einigen Tagen in die Schlagzeilen, weil das Programm den Schutz von HTTPS-Zertifikaten aushebelte, ähnlich wie das bei der von Lenovo verbreiteten Software Superfish der Fall ist. Für Aufmerksamkeit sorgte dabei vor allem, dass Privdog vom Vorsitzenden der Zertifizierungsstelle Comodo gegründet wurde. Comodo bewirbt das Programm auch auf seiner Webseite. Eine ältere Version von Privdog ist auch Teil von Comodo Internet Security, allerdings war diese Version von dem HTTPS-Zertifikatsproblem nicht betroffen. Das jetzt neu entdeckte Problem betrifft aber beide Privdog-Varianten.

Privdog sendete dabei während des Surfens jede URL, die ein Benutzer aufruft, JSON-codiert und unverschlüsselt an die Webadresse http://ads.adtrustmedia.com/safecheck.php. Das ist aus zwei Gründen problematisch: Zum einen ist es dadurch Adtrustmedia möglich, die Surfgewohnheiten seiner Nutzer genau zu verfolgen. Zum anderen wurden auch URLs von HTTPS-Webseiten unverschlüsselt übertragen.

HTTPS-Schutz für URLs ausgehebelt

Letzteres kann ganz konkret ein Sicherheitsproblem darstellen. HTTPS schützt zwar keine Metadaten, es ist also einem passiven Beobachter des Datenverkehrs jederzeit möglich, herauszufinden, welche Domains ein Nutzer aufruft. Allerdings werden die konkreten URLs, die ein Nutzer ansurft, bei HTTPS verschlüsselt. Das ist auch wichtig, denn in manchen Webanwendungen enthalten die URLs sensible Daten wie beispielsweise Session-IDs oder Sicherheitstokens. Durch die unverschlüsselte Übertragung waren sämtliche URLs, die ein Nutzer aufruft, für einen Angreifer im Klartext lesbar.

Die Privdog-Entwickler sehen kein Problem darin, dass das Programm URLs nach Hause sendet. "In Übereinstimmung mit unseren Privatsphärerichtlinien werden alle Daten anonym gesendet, und wir speichern keine persönlich identifizierbaren Informationen", schreibt Privdog dazu. "Die API wird genutzt, um verschiedene Arten von Betrug zu verhindern, beispielsweise Klickbetrug, was ein großes Problem im Internet darstellt."

Neue Konfiguration verschlüsselt, aber sendet weiter

Privdog verteilt nun nach eigenen Angaben eine neue Konfiguration an seine Clients, die dafür sorgen soll, dass diese Daten künftiv via HTTPS übertragen werden. Damit kann sie zwar ein Angreifer nicht mehr mitlesen. Für die Firma Adtrustmedia besteht aber natürlich weiterhin die Möglichkeit, die Daten zu sammeln und entsprechend auszuwerten.


eye home zur Startseite
rjwolke 27. Feb 2015

Ich stimme absolut zu, soweit ich das sehen kann ist PrivDog total behindert konzipiert...



Anzeige

Stellenmarkt
  1. COMPO Expert GmbH, Münster
  2. OSRAM GmbH, Garching bei München
  3. Allplan Development Germany GmbH, München
  4. Securiton GmbH Alarm- und Sicherheitssysteme, Achern


Anzeige
Blu-ray-Angebote
  1. (u. a. John Wick, Leon der Profi, Auf der Flucht, Das Schweigen der Lämmer)
  2. (u. a. London Has Fallen, The Imitation Game, Lone Survivor, Olympus Has Fallen)
  3. (u. a. Der Hobbit 3, Der Polarexpress, Ice Age, Pan, Life of Pi)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Sicherheitskonzeption für das App-getriebene Geschäft


  1. Amazon Go

    Supermarkt ganz ohne Kasse

  2. Apollo Lake

    Intel bringt neue NUC-Mini-PCs mit Atom-Antrieb

  3. Ericsson und Intel

    AT&T startet 5G-Test mit Kunden

  4. Samsung

    Akku im Galaxy Note 7 hatte vermutlich zu wenig Platz

  5. Datenbank

    Youtube und Facebook bekämpfen Terrorpropaganda

  6. Gigaset Mobile Dock im Test

    Das Smartphone wird DECT-fähig

  7. Fire TV

    Amazon bringt Downloader-App wieder zurück

  8. Wechselnde Standortmarkierung

    GPS-Probleme beim iPhone 7

  9. Paketlieferungen

    Schweizer Post fliegt ab 2017 mit Drohnen

  10. Apple

    Akkuprobleme beim neuen Macbook Pro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Spielen mit HDR ausprobiert: In den Farbtopf gefallen
Spielen mit HDR ausprobiert
In den Farbtopf gefallen
  1. Ausgabegeräte Youtube unterstützt Videos mit High Dynamic Range
  2. HDR Wir brauchen bessere Pixel
  3. Andy Ritger Nvidia will HDR-Unterstützung unter Linux

Breath of the Wild: Spekulationen über spielbare Zelda
Breath of the Wild
Spekulationen über spielbare Zelda
  1. Konsole Nintendo gibt Produktionsende der Wii U bekannt
  2. Hybridkonsole Nintendo will im ersten Monat 2 Millionen Switch verkaufen
  3. Switch Nintendo erwartet breite Unterstützung durch Entwickler

Gear S3 im Test: Großes Display, großer Akku, große Uhr
Gear S3 im Test
Großes Display, großer Akku, große Uhr
  1. In der Zuliefererkette Samsung und Panasonic sollen Arbeiter ausgebeutet haben
  2. Vernetztes Auto Samsung kauft Harman für 8 Milliarden US-Dollar
  3. 10LPU und 14LPU Samsung mit günstigerem 10- und schnellerem 14-nm-Prozess

  1. DECT tötet es bevor es Eier legt.

    user0345 | 11:06

  2. Re: Externes Gerät? Token?

    eXeler0n | 11:06

  3. Re: 2FA bei Passwortmanagern?

    My1 | 11:02

  4. Re: Induktiv laden gehört verboten

    jo-1 | 11:00

  5. Re: Ihr macht euch Gefanken über Kosten?!?

    blubberer | 10:57


  1. 11:17

  2. 10:47

  3. 10:20

  4. 10:02

  5. 09:49

  6. 09:10

  7. 08:29

  8. 07:49


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel