Abo
  • Services:
Anzeige
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Privdog: Software hebelt HTTPS-Sicherheit aus

PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Anzeige

Comodo hat offenbar eine Software beworben, die ähnlich wie Superfish eine riesige Sicherheitslücke in die HTTPS-Verschlüsselung reißt. Privdog heißt das Programm, das offiziell dem Zweck dient, Werbung auf Webseiten durch "vertrauenswürdige Werbung" zu ersetzen. Das soll dem Schutz der Privatsphäre des Anwenders dienen.

Ähnlich wie die Software Superfish, die in den letzten Tagen Schlagzeilen machte und auf Lenovo-Laptops vorinstalliert war, greift Privdog in den TLS-Datenstrom eines Nutzers ein, um auch verschlüsselte HTTPS-Webseiten manipulieren zu können. Dafür wird ein Root-Zertifikat im Betriebssystem installiert. Allerdings wird dies anders implementiert als bei Superfish.

Beliebige Zertifizierungsstelle akzeptiert

Während bei Superfish auf allen Geräten dasselbe Zertifikat und derselbe private Schlüssel zum Einsatz kommen, ist Privdog hier schlauer: Es wird bei jeder Installation ein neues Zertifikat erstellt. Allerdings, sicherer ist das Ganze nicht, denn Privdog ersetzt auch Zertifikate, die überhaupt nicht gültig sind. Sie können von einer x-beliebigen Zertifizierungsstelle unterschrieben sein, auch von einer selbst generierten. Wer Privdog installiert hat, kann also auf beliebige Webseiten mit falschen Zertifikaten surfen und merkt nichts davon.

Ein besonders eigenartiges Verhalten zeigt Privdog, wenn man auf Webseiten surft, deren Zertifikat selbstsigniert ist. Diese Zertifikate werden dann durch ebenfalls selbstsignierte Zertifikate ersetzt, die gleichzeitig automatisch in den Root-Zertifikatsspeicher des Betriebssystems installiert werden. Diese Zertifikate haben außerdem einen RSA-Schlüssel mit einer Schlüssellänge von 512 Bit, was völlig unsicher ist. Die normalen Zertifikate, die Privdog ausliefert, enthalten RSA-Schlüssel mit 1.024 Bit, was ebenfalls als problematisch gilt. Allerdings: Die Schlüssellängen sind das geringste Problem von Privdog, da die gesamte Technologie sowieso komplett unsicher ist.

Comodo verkauft TLS-Zertifikate und untergräbt deren Sicherheit

Privdog wurde auf der Webseite von Comodo beworben. Zwischen Comodo und Privdog gibt es offenbar diverse personelle Überschneidungen. Comodo-CEO Melih Abdulhayoglu hat die Firma Privdog mitgegründet. Eine frühere Version von Privdog wurde mit verschiedenen Produkten von Comodo ausgeliefert, allerdings funktioniert diese Version anders und ist von dem Problem nicht betroffen.

Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, bewirbt also ein Produkt, das diese Sicherheit untergräbt.

Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

Entdeckt wurden die Sicherheitsprobleme von Privdog gestern Abend, der Autor dieses Artikels war daran beteiligt. In einem IRC-Chat hatten sich verschiedene Personen versammelt, die mit der Analyse von Superfish und ähnlichen Produkten beschäftigt waren. Ein Teilnehmer verwies auf einen Thread auf Hacker News, in dem ein Anwender berichtete, dass der Superfish-Test von Filippo Valsorda eine Warnung anzeigte. Eine Analyse ergab schnell, dass Privdog nicht die Technologie von Komodia verwendete, die bei Superfish das Problem war, sondern dass es sich bei Privdog um ein anders gelagertes Sicherheitsproblem handelte. Eine englischsprachige Zusammenfassung findet sich im Blog des Artikelautors.

Nachtrag vom 25. Februar 2015, 14:14 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben, dass Privdog von Comodo ausgeliefert wurde. Das stimmte zwar, jedoch ist die von Comodo ausgelieferte Version von dem fraglichen Sicherheitsproblem nicht betroffen. Wir haben die Formulierung entsprechend geändert, um das klarzustellen. Von Privdog gibt es inzwischen ein Advisory und ein Update.


eye home zur Startseite
FreiGeistler 26. Feb 2015

Finde ich problematisch. Für dich ist es sicher. Aber du wirst es kaum mitbekommen wenn...

stuempel 24. Feb 2015

Es geht nicht darum, dass Microsoft jede App auf Herz und Niere prüft, es geht darum...

dieser_post_ist... 24. Feb 2015

Ganz im Unrecht ist nicodelos nicht. Comodo hat in der Vergangenheit schon mehrfach ein...

fuzzy 23. Feb 2015

Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.



Anzeige

Stellenmarkt
  1. Media-Saturn-Holding GmbH, Ingolstadt
  2. Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  3. DATAGROUP Inshore Services GmbH, Berlin, Leipzig, Rostock
  4. über Ratbacher GmbH, Hamburg


Anzeige
Hardware-Angebote
  1. und 19 % Cashback bekommen
  2. (täglich neue Deals)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitsrisiken bei der Dateifreigabe & -Synchronisation
  2. Globale SAP-Anwendungsunterstützung durch Outsourcing
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Industriespionage

    Wie Thyssenkrupp seine Angreifer fand

  2. Kein Internet

    Nach Windows-Update weltweit Computer offline

  3. Display Core

    Kernel-Community lehnt AMDs Linux-Treiber weiter ab

  4. Test

    Mobiles Internet hat viele Funklöcher in Deutschland

  5. Kicking the Dancing Queen

    Amazon bringt Songtexte-Funktion nach Deutschland

  6. Nachruf

    Astronaut John Glenn im Alter von 95 Jahren gestorben

  7. Künstliche Intelligenz

    Go Weltmeisterschaft mit Menschen und KI

  8. Redox OS

    Wer nicht rustet, rostet

  9. Star-Wars-Fanfilm

    Luke und Leia fliegen übers Wasser

  10. Sony

    Screen für Android Auto und Carplay kommt für 500 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Großbatterien: Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
Großbatterien
Sechs 15-Megawatt-Anlagen sollen deutsches Stromnetz sichern
  1. HPE Hikari Dieser Supercomputer wird von Solarenergie versorgt
  2. Tesla Desperate Housewives erzeugen Strom mit Solarschindeln
  3. Solar Roadways Erste Solarzellen auf der Straße verlegt

Google, Apple und Mailaccounts: Zwei-Faktor-Authentifizierung richtig nutzen
Google, Apple und Mailaccounts
Zwei-Faktor-Authentifizierung richtig nutzen
  1. Bugs in Encase Mit dem Forensik-Tool die Polizei hacken
  2. Red Star OS Sicherheitslücke in Nordkoreas Staats-Linux
  3. 0-Day Tor und Firefox patchen ausgenutzten Javascript-Exploit

Steep im Test: Frei und einsam beim Bergsport
Steep im Test
Frei und einsam beim Bergsport
  1. PES 2017 Update mit Stadion und Hymnen von Borussia Dortmund
  2. Motorsport Manager im Kurztest Neustart für Sportmanager
  3. NBA 2K17 10.000 Schritte für Ingame-Boost

  1. Re: Erklärung?

    Eule4 | 16:20

  2. Genau!

    mhstar | 16:20

  3. Re: Problem bei mir schon länger

    annon1879 | 16:20

  4. Re: Das Gerichtswesen gehört renoviert

    KillerJiller | 16:19

  5. Re: omfgwtfrly?

    ckerazor | 16:19


  1. 16:03

  2. 15:54

  3. 15:42

  4. 14:19

  5. 13:48

  6. 13:37

  7. 12:30

  8. 12:01


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel