• IT-Karriere:
  • Services:

Sicherheitssoftware mit Sicherheitslücken

Gleich 28 Antivirenprogramme betrifft ein von der Sicherheitsfirma Rack911 Labs veröffentlichtes Sicherheitsproblem. Die Programme konnten mit einem einfachen Trick dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen - inklusive sich selbst.

Stellenmarkt
  1. Fachhochschule Südwestfalen, Hagen, Soest
  2. KiKxxl GmbH, Osnabrück

Um das auszunutzen, musste lediglich ein Ordner angelegt werden, der eine bekannte Schaddatei enthält. Während die AV-Software die Datei in Quarantäne setzt und überprüft, ersetzte die Forschergruppe den Ordner einfach durch eine Weiterleitung auf einen anderen Ordner.

Die üblicherweise mit Root-Rechten ausgestattete AV-Software folgte der Weiterleitung und löschte den verlinkten Ort, beispielsweise sich selbst oder wichtige Systemdateien. Betroffen waren unter anderem Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Manche Hersteller hätten das Problem auch nach Monaten nicht beseitigt, erklärte Rack911 Labs damals.

Dass gleich 28 unterschiedliche Antivirenprogramme auf verschiedenen Betriebssystemen für ein Sicherheitsproblem anfällig waren, dürfte eine Besonderheit sein. Der Fall zeigt jedoch anschaulich, wie die Antivirenprogramme selbst zum Problem werden können. Nicht zuletzt, weil sie weitreichende Zugriffe mit Root-Rechten auf ein System bekommen. Ähnlich wie bei der Managementsoftware Orion von Solarwinds Kontrolle in Hände abgegeben wird, denen man vielleicht besser nicht vertrauen sollte.

Herausragende Unsicherheit und Datenschutzvergehen durch Avast

Besonders negativ fiel im vergangenen Jahr der Sicherheitssoftware-Hersteller Avast auf. Avast sammelte und verkaufte private und intime Einblicke in das Online-Leben von Millionen Nutzern, während die gleichnamige Sicherheitssoftware eine drastische Sicherheitslücke enthielt und Rechner, auf denen die Software installiert war, einer Gefahr aussetzte.

Um einen Rechner komplett zu übernehmen, reichte beispielsweise eine E-Mail mit Javascript-Schadcode. Er wurde von der Javascript-Engine der Sicherheitssoftware geöffnet und überprüft. Der Prozess lief mit Systemrechten und hatte keinerlei Sicherheitsvorkehrungen, wie beispielsweise Sandboxing. Entdeckt hatte die Sicherheitslücke Googles Project Zero. Avast deaktivierte daraufhin die Komponente komplett und teilte mit, dass die Funktionalität der Software durch das Abschalten nicht beeinträchtigt sei.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kurz zuvor war bekanntgeworden, dass Avast über die Tochterfirma Jumpshot die Webnutzungsdaten von mehreren Hundert Millionen Nutzern verkauft hatte. Die Daten wurden über das Browser-Plugin der Antivirensoftware gesammelt.

Jumpshot verfolgte die Nutzer mit hoher Genauigkeit durch das Internet und erfasste beispielsweise ihre Klicks und Bewegungen, betrachtete Youtube-Videos und Suchanfragen. Selbst der Aufruf von Pornoseiten und teils sogar die eingegebenen Suchbegriffe fanden sich in geleakten Daten wieder. Zu den Käufern gehörten namhafte Firmen wie Google, Microsoft, McKinsey und viele andere.

"Die Benutzer hatten immer die Möglichkeit, einer Datennutzung zu widersprechen", betonte Avast. Nach der Berichterstattung kündigte Avast die Abwicklung der Firma mit folgender Begründung an: "Die Privatsphäre unserer Nutzer hat für uns oberste Priorität, weshalb wir schnell gehandelt haben und die Geschäftstätigkeit von Jumpshot beenden werden". Die Firma wurde fünf Jahre davor gegründet.

Firefox und Chrome kämpfen mit Sicherheitssoftware

Neben datensammelnden Plugins haben Browserhersteller wie Mozilla oder Google immer wieder mit Antivirensoftware zu kämpfen. So spielte Mozilla die im Oktober veröffentlichte Version 82 von Firefox langsamer aus, weil es im Zusammenhang mit Sicherheitssoftware zu Abstürzen kam.

Google hat erst kürzlich ein durch Antivirensoftware verursachtes Problem behoben. So sperren etliche AV-Programme neu erstellte Dateien, bis diese gescannt wurden. Das führt im Chrome/Chromium zu Problemen mit neu erstellten Lesezeichen. Das Chrome-Entwicklerteam versucht nun, die Dateien mehrfach zu ersetzen, um eine Race Condition durch den gleichzeitigen Zugriff der AV-Software und des Chrome-Browsers zu verhindern.

Besonders drastisch ist es jedoch, wenn eine Angreifergruppe eine Zero Day, also eine bis dato nicht bekannte und geschlossene Sicherheitslücke in einer Sicherheitssoftware ausnutzt, um in Rechner einzudringen. Das führt den Begriff Sicherheitssoftware endgültig ad absurdum.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitspraxis statt SicherheitssoftwareSicherheitssoftware: gehackt statt geschützt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


Anzeige
Spiele-Angebote
  1. 24,99€
  2. 26,99€
  3. (u. a. Anno 2205 Ultimate Edition für 11,99€, Rayman Legends für 4,99€, The Crew 2 - Gold...

Bluejanis 26. Jan 2021 / Themenstart

Wie verhält sich das Teil im Vergleich zu den anderen? Sollte man den lieber deaktivieren?

miso85 26. Jan 2021 / Themenstart

Nutzen wir bei uns in der Firma auch seit mehreren Jahren. Man kann ab und zu auch...

derdiedas 20. Jan 2021 / Themenstart

Wer nichts weiss muss halt glauben, und wenn ich glauben muss hat das nichts mehr mit in...

tom.stein 19. Jan 2021 / Themenstart

Ich baue Stellwerke für die Bahn. Vermutlich wird die Antwort Dich nicht befriedigen...

FreiGeistler 19. Jan 2021 / Themenstart

Wenn es denn nur Security-Patches wären.

Kommentieren


Folgen Sie uns
       


Samsung Galaxy S21 und S21 Plus vorgestellt

Die beiden Grundmodelle von Samsungs Galaxy-S21-Serie kommen ohne abgerundete Displays und mit bekannten Kameras.

Samsung Galaxy S21 und S21 Plus vorgestellt Video aufrufen
Verschlüsselung: Auch das BKA nutzt Staatstrojaner nur ganz selten
Verschlüsselung
Auch das BKA nutzt Staatstrojaner nur ganz selten

Die neue Zitis-Behörde soll bei Staatstrojanern eine wichtige Rolle spielen. Quantennetzwerke zum eigenen Schutz lehnt die Regierung ab.
Ein Bericht von Friedhelm Greis

  1. Staatstrojaner-Statistik Aus 368 werden 3
  2. Untersuchungsbericht Mehrere Fehler führten zu falscher Staatstrojaner-Statistik
  3. Staatstrojaner Ermittler hacken jährlich Hunderte Endgeräte

The Legend of Zelda: Das Vorbild für alle Action-Adventures
The Legend of Zelda
Das Vorbild für alle Action-Adventures

The Legend of Zelda von 1986 hat das Genre geprägt. Wir haben den 8-Bit-Klassiker erneut gespielt - und waren hin- und hergerissen.
Von Benedikt Plass-Fleßenkämper


    MCST Elbrus: Die Zukunft von Russlands eigenen Prozessoren
    MCST Elbrus
    Die Zukunft von Russlands eigenen Prozessoren

    32 Kerne für Server-CPUs, eine Videobeschleunigung für Notebooks und sogar SSDs: In Moskau wird die Elbrus-Plattform vorangetrieben.
    Ein Bericht von Marc Sauter

    1. Sipearl Rhea Europäische Supercomputer-CPU wird richtig schnell
    2. Anzeige Verkauf von AMDs Ryzen-5000-Serie startet
    3. Alder Lake S Intel bestätigt x86-Hybrid-Kerne für Desktop-CPUs

      •  /