Sicherheitssoftware mit Sicherheitslücken

Gleich 28 Antivirenprogramme betrifft ein von der Sicherheitsfirma Rack911 Labs veröffentlichtes Sicherheitsproblem. Die Programme konnten mit einem einfachen Trick dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen - inklusive sich selbst.

Stellenmarkt
  1. Inhouse SAP Teamleiter (m/w/x)
    über duerenhoff GmbH, Raum Heidelberg
  2. Java-Entwickler (m/w/d)
    BWS Consulting Group GmbH, Wolfsburg, Hannover, Dortmund
Detailsuche

Um das auszunutzen, musste lediglich ein Ordner angelegt werden, der eine bekannte Schaddatei enthält. Während die AV-Software die Datei in Quarantäne setzt und überprüft, ersetzte die Forschergruppe den Ordner einfach durch eine Weiterleitung auf einen anderen Ordner.

Die üblicherweise mit Root-Rechten ausgestattete AV-Software folgte der Weiterleitung und löschte den verlinkten Ort, beispielsweise sich selbst oder wichtige Systemdateien. Betroffen waren unter anderem Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Manche Hersteller hätten das Problem auch nach Monaten nicht beseitigt, erklärte Rack911 Labs damals.

Dass gleich 28 unterschiedliche Antivirenprogramme auf verschiedenen Betriebssystemen für ein Sicherheitsproblem anfällig waren, dürfte eine Besonderheit sein. Der Fall zeigt jedoch anschaulich, wie die Antivirenprogramme selbst zum Problem werden können. Nicht zuletzt, weil sie weitreichende Zugriffe mit Root-Rechten auf ein System bekommen. Ähnlich wie bei der Managementsoftware Orion von Solarwinds Kontrolle in Hände abgegeben wird, denen man vielleicht besser nicht vertrauen sollte.

Herausragende Unsicherheit und Datenschutzvergehen durch Avast

Golem Karrierewelt
  1. C++ Programmierung Grundlagen (keine Vorkenntnisse benötigt): virtueller Drei-Tage-Workshop
    07.-09.11.2022, virtuell
  2. Adobe Photoshop für Social Media Anwendungen: virtueller Zwei-Tage-Workshop
    24./25.08.2022, virtuell
Weitere IT-Trainings

Besonders negativ fiel im vergangenen Jahr der Sicherheitssoftware-Hersteller Avast auf. Avast sammelte und verkaufte private und intime Einblicke in das Online-Leben von Millionen Nutzern, während die gleichnamige Sicherheitssoftware eine drastische Sicherheitslücke enthielt und Rechner, auf denen die Software installiert war, einer Gefahr aussetzte.

Um einen Rechner komplett zu übernehmen, reichte beispielsweise eine E-Mail mit Javascript-Schadcode. Er wurde von der Javascript-Engine der Sicherheitssoftware geöffnet und überprüft. Der Prozess lief mit Systemrechten und hatte keinerlei Sicherheitsvorkehrungen, wie beispielsweise Sandboxing. Entdeckt hatte die Sicherheitslücke Googles Project Zero. Avast deaktivierte daraufhin die Komponente komplett und teilte mit, dass die Funktionalität der Software durch das Abschalten nicht beeinträchtigt sei.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kurz zuvor war bekanntgeworden, dass Avast über die Tochterfirma Jumpshot die Webnutzungsdaten von mehreren Hundert Millionen Nutzern verkauft hatte. Die Daten wurden über das Browser-Plugin der Antivirensoftware gesammelt.

Jumpshot verfolgte die Nutzer mit hoher Genauigkeit durch das Internet und erfasste beispielsweise ihre Klicks und Bewegungen, betrachtete Youtube-Videos und Suchanfragen. Selbst der Aufruf von Pornoseiten und teils sogar die eingegebenen Suchbegriffe fanden sich in geleakten Daten wieder. Zu den Käufern gehörten namhafte Firmen wie Google, Microsoft, McKinsey und viele andere.

"Die Benutzer hatten immer die Möglichkeit, einer Datennutzung zu widersprechen", betonte Avast. Nach der Berichterstattung kündigte Avast die Abwicklung der Firma mit folgender Begründung an: "Die Privatsphäre unserer Nutzer hat für uns oberste Priorität, weshalb wir schnell gehandelt haben und die Geschäftstätigkeit von Jumpshot beenden werden". Die Firma wurde fünf Jahre davor gegründet.

Firefox und Chrome kämpfen mit Sicherheitssoftware

Neben datensammelnden Plugins haben Browserhersteller wie Mozilla oder Google immer wieder mit Antivirensoftware zu kämpfen. So spielte Mozilla die im Oktober veröffentlichte Version 82 von Firefox langsamer aus, weil es im Zusammenhang mit Sicherheitssoftware zu Abstürzen kam.

Google hat erst kürzlich ein durch Antivirensoftware verursachtes Problem behoben. So sperren etliche AV-Programme neu erstellte Dateien, bis diese gescannt wurden. Das führt im Chrome/Chromium zu Problemen mit neu erstellten Lesezeichen. Das Chrome-Entwicklerteam versucht nun, die Dateien mehrfach zu ersetzen, um eine Race Condition durch den gleichzeitigen Zugriff der AV-Software und des Chrome-Browsers zu verhindern.

Besonders drastisch ist es jedoch, wenn eine Angreifergruppe eine Zero Day, also eine bis dato nicht bekannte und geschlossene Sicherheitslücke in einer Sicherheitssoftware ausnutzt, um in Rechner einzudringen. Das führt den Begriff Sicherheitssoftware endgültig ad absurdum.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitspraxis statt SicherheitssoftwareSicherheitssoftware: gehackt statt geschützt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


tKahner 08. Jul 2021

OK - späte Antwort, bin erst gerade drüber gestolpert. Meine Empfehlung ist, lieber MS...

miso85 26. Jan 2021

Nutzen wir bei uns in der Firma auch seit mehreren Jahren. Man kann ab und zu auch...

derdiedas 20. Jan 2021

Wer nichts weiss muss halt glauben, und wenn ich glauben muss hat das nichts mehr mit in...

tom.stein 19. Jan 2021

Ich baue Stellwerke für die Bahn. Vermutlich wird die Antwort Dich nicht befriedigen...



Aktuell auf der Startseite von Golem.de
James Webb Space Telescope
Das Weltraumteleskop wird mit Javascript betrieben

Die in der Raumfahrt verwendete Software ist manchmal kurios. Im Fall des JWST wird das ISIM mit Javascript kontrolliert und betrieben.

James Webb Space Telescope: Das Weltraumteleskop wird mit Javascript betrieben
Artikel
  1. Betrug: Wenn die Phishing-Mail wirklich von Paypal kommt
    Betrug
    Wenn die Phishing-Mail wirklich von Paypal kommt

    Die E-Mail stammt von Paypals Servern und weist auf eine unter Paypal.com einsehbare Transaktion hin. Doch hinter E-Mail und Hotline stecken Betrüger.

  2. ADAC-Test: Elektroautos als Zugmaschinen - was bringt's?
    ADAC-Test
    Elektroautos als Zugmaschinen - was bringt's?

    Der ADAC hat den Stromverbrauch von Elektroautos mit Anhängern und Fahrradgepäckträgern gemessen. Gute Noten gibt es dabei keine.

  3. Botnetz: Google blockiert Rekord-DDoS-Angriff
    Botnetz
    Google blockiert Rekord-DDoS-Angriff

    Für einen Kunden konnte Google den größten HTTPS-basierten DDoS-Angriff mit 46 Millionen Anfragen pro Sekunde abwehren.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • MindStar (MSI RTX 3090 Gaming 1.269€, Seagate Festplatte ext. 18 TB 295€) • PS5-Deals (Uncharted Legacy of Thieves 15,38€, Horzizon FW 39,99€) • HP HyperX Gaming-Maus -51% • Alternate (Kingston Fury DDR5-6000 32GB 219,90€ statt 246€) • Samsung Galaxy S22+ 5G 128 GB 839,99€ [Werbung]
    •  /