Sicherheitssoftware mit Sicherheitslücken

Gleich 28 Antivirenprogramme betrifft ein von der Sicherheitsfirma Rack911 Labs veröffentlichtes Sicherheitsproblem. Die Programme konnten mit einem einfachen Trick dazu gebracht werden, wichtige Programm- oder Systemdateien zu löschen - inklusive sich selbst.

Stellenmarkt
  1. Data Engineer (m/w/d)
    Matrix42 AG, Frankfurt am Main
  2. Expert*in Projektmanagement (m/w/d)
    Stadtwerke München GmbH, München
Detailsuche

Um das auszunutzen, musste lediglich ein Ordner angelegt werden, der eine bekannte Schaddatei enthält. Während die AV-Software die Datei in Quarantäne setzt und überprüft, ersetzte die Forschergruppe den Ordner einfach durch eine Weiterleitung auf einen anderen Ordner.

Die üblicherweise mit Root-Rechten ausgestattete AV-Software folgte der Weiterleitung und löschte den verlinkten Ort, beispielsweise sich selbst oder wichtige Systemdateien. Betroffen waren unter anderem Avira, Bitdefender, Eset, F-Secure, Fireeye, Kaspersky, Malwarebytes, McAfee und Sophos. Manche Hersteller hätten das Problem auch nach Monaten nicht beseitigt, erklärte Rack911 Labs damals.

Dass gleich 28 unterschiedliche Antivirenprogramme auf verschiedenen Betriebssystemen für ein Sicherheitsproblem anfällig waren, dürfte eine Besonderheit sein. Der Fall zeigt jedoch anschaulich, wie die Antivirenprogramme selbst zum Problem werden können. Nicht zuletzt, weil sie weitreichende Zugriffe mit Root-Rechten auf ein System bekommen. Ähnlich wie bei der Managementsoftware Orion von Solarwinds Kontrolle in Hände abgegeben wird, denen man vielleicht besser nicht vertrauen sollte.

Herausragende Unsicherheit und Datenschutzvergehen durch Avast

Golem Akademie
  1. Linux-Systeme absichern und härten
    8.-10. November 2021, online
  2. Webentwicklung mit React and Typescript
    6.-10. Dezember 2021, online
  3. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
Weitere IT-Trainings

Besonders negativ fiel im vergangenen Jahr der Sicherheitssoftware-Hersteller Avast auf. Avast sammelte und verkaufte private und intime Einblicke in das Online-Leben von Millionen Nutzern, während die gleichnamige Sicherheitssoftware eine drastische Sicherheitslücke enthielt und Rechner, auf denen die Software installiert war, einer Gefahr aussetzte.

Um einen Rechner komplett zu übernehmen, reichte beispielsweise eine E-Mail mit Javascript-Schadcode. Er wurde von der Javascript-Engine der Sicherheitssoftware geöffnet und überprüft. Der Prozess lief mit Systemrechten und hatte keinerlei Sicherheitsvorkehrungen, wie beispielsweise Sandboxing. Entdeckt hatte die Sicherheitslücke Googles Project Zero. Avast deaktivierte daraufhin die Komponente komplett und teilte mit, dass die Funktionalität der Software durch das Abschalten nicht beeinträchtigt sei.

Hacking & Security: Das umfassende Handbuch. 2. aktualisierte Auflage des IT-Standardwerks (Deutsch) Gebundene Ausgabe

Kurz zuvor war bekanntgeworden, dass Avast über die Tochterfirma Jumpshot die Webnutzungsdaten von mehreren Hundert Millionen Nutzern verkauft hatte. Die Daten wurden über das Browser-Plugin der Antivirensoftware gesammelt.

Jumpshot verfolgte die Nutzer mit hoher Genauigkeit durch das Internet und erfasste beispielsweise ihre Klicks und Bewegungen, betrachtete Youtube-Videos und Suchanfragen. Selbst der Aufruf von Pornoseiten und teils sogar die eingegebenen Suchbegriffe fanden sich in geleakten Daten wieder. Zu den Käufern gehörten namhafte Firmen wie Google, Microsoft, McKinsey und viele andere.

"Die Benutzer hatten immer die Möglichkeit, einer Datennutzung zu widersprechen", betonte Avast. Nach der Berichterstattung kündigte Avast die Abwicklung der Firma mit folgender Begründung an: "Die Privatsphäre unserer Nutzer hat für uns oberste Priorität, weshalb wir schnell gehandelt haben und die Geschäftstätigkeit von Jumpshot beenden werden". Die Firma wurde fünf Jahre davor gegründet.

Firefox und Chrome kämpfen mit Sicherheitssoftware

Neben datensammelnden Plugins haben Browserhersteller wie Mozilla oder Google immer wieder mit Antivirensoftware zu kämpfen. So spielte Mozilla die im Oktober veröffentlichte Version 82 von Firefox langsamer aus, weil es im Zusammenhang mit Sicherheitssoftware zu Abstürzen kam.

Google hat erst kürzlich ein durch Antivirensoftware verursachtes Problem behoben. So sperren etliche AV-Programme neu erstellte Dateien, bis diese gescannt wurden. Das führt im Chrome/Chromium zu Problemen mit neu erstellten Lesezeichen. Das Chrome-Entwicklerteam versucht nun, die Dateien mehrfach zu ersetzen, um eine Race Condition durch den gleichzeitigen Zugriff der AV-Software und des Chrome-Browsers zu verhindern.

Besonders drastisch ist es jedoch, wenn eine Angreifergruppe eine Zero Day, also eine bis dato nicht bekannte und geschlossene Sicherheitslücke in einer Sicherheitssoftware ausnutzt, um in Rechner einzudringen. Das führt den Begriff Sicherheitssoftware endgültig ad absurdum.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 Sicherheitspraxis statt SicherheitssoftwareSicherheitssoftware: gehackt statt geschützt 
  1.  
  2. 1
  3. 2
  4. 3
  5. 4
  6.  


tKahner 08. Jul 2021

OK - späte Antwort, bin erst gerade drüber gestolpert. Meine Empfehlung ist, lieber MS...

miso85 26. Jan 2021

Nutzen wir bei uns in der Firma auch seit mehreren Jahren. Man kann ab und zu auch...

derdiedas 20. Jan 2021

Wer nichts weiss muss halt glauben, und wenn ich glauben muss hat das nichts mehr mit in...

tom.stein 19. Jan 2021

Ich baue Stellwerke für die Bahn. Vermutlich wird die Antwort Dich nicht befriedigen...

FreiGeistler 19. Jan 2021

Wenn es denn nur Security-Patches wären.



Aktuell auf der Startseite von Golem.de
Waffensystem Spur
Menschen töten, so einfach wie Atmen

Soldaten müssen bald nicht mehr um ihr Leben fürchten. Wozu auch, wenn sie aus sicherer Entfernung Roboter in den Krieg schicken können.
Ein IMHO von Oliver Nickel

Waffensystem Spur: Menschen töten, so einfach wie Atmen
Artikel
  1. Wochenrückblick: Moderne Lösungen
    Wochenrückblick
    Moderne Lösungen

    Golem.de-Wochenrückblick Eine Anzeige gegen einen Programmierer und eine neue Switch: die Woche im Video.

  2. Pornoplattform: Journalisten wollen Xhamster-Eigentümer gefunden haben
    Pornoplattform
    Journalisten wollen Xhamster-Eigentümer gefunden haben

    Xhamster ist und bleibt Heimat für zahlreiche rechtswidrige Inhalte. Doch ohne zu wissen, wer profitiert, wusste man bisher auch nicht, wer verantwortlich ist.

  3. NFTs: Valve verbannt Blockchain-Spiele und NFTs auf Steam
    NFTs
    Valve verbannt Blockchain-Spiele und NFTs auf Steam

    Nach einer Regeländerung sind Blockchain-Spiele nicht mehr auf Steam erlaubt. Konkurrent Epic will dies aber offenbar erlauben.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Cyber Week: Bis zu 40€ Rabatt auf Samsung-SSDs • ADATA XPG Spectrix D55 16-GB-Kit 3200 56,61€ • Crucial P5 Plus 1 TB 129,99€ • Kingston NV1 500 GB 35,99€ • Creative Sound BlasterX G5 89,99€ • Alternate (u. a. AKRacing Core SX 248,99€) • Gamesplanet Anniv. Sale Classic & Retro [Werbung]
    •  /