Best of the Web: Trust-Siegel verteilt Keylogger

Sicherheit, Privatsphäre und Business-Verification soll das Best-of-the-Web-Siegel laut seiner Werbeaussage für rund 30 US-Dollar im Monat bieten. Doch mit dem Script, mit welchem das Siegel auf der Webseite eingebunden werden kann, fingen sich die als sicher zertifizierten Webseiten zwei Keylogger ein. Entdeckt hatte die Keylogger der Sicherheitsforscher Willem de Groot. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

"Wir wurden darüber informiert, dass das Script, das wir zur Einbindung von Vertrauens-Siegeln verwenden und auf Amazons Content Delivery Network (CDN) hosten, kompromittiert wurde", schrieb Best of the Web am 13. Mai auf Twitter, nachdem de Groot seinen Fund weitergegeben hatte. Angreifer hatten bereits am 24. April einen der beiden Keylogger integriert, der zweite folgte laut dem Sicherheitsforscher vorige Woche. Best of the Web möchte nun einen Security Audit durchführen und die betroffenen Webseiten informieren. Bei einigen betroffenen Webseiten sind die Keylogger nach wie vor aktiv.

Siegel und Infrastruktur

Auch ein Siegel des TÜV soll sichere Onlineshops garantieren, allerdings konnte Golem.de mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken entdecken. Immerhin verteilt das TÜV-Siegel nicht selbst Schadsoftware.

Infrastruktur, die von vielen Nutzern verwendet oder eingebunden wird, ist ein lukratives Ziel, über sie kann Schadsoftware weiter verteilt werden. Erst kürzlich wurde eine mit Schadsoftware verseuchte Version des Live-Update-Tools über gehackte Asus-Server verteilt. Mit einer echten Signatur war sie kaum zu erkennen. Ähnliches passierte bei sechs weiteren Firmen.