Abo
  • IT-Karriere:

Best of the Web: Trust-Siegel verteilt Keylogger

Eigentlich soll das Best-of-the-Web-Siegel die Sicherheit von Webseiten zertifizieren, stattdessen wurden über ein gehacktes Script Keylogger eingebunden.

Artikel veröffentlicht am ,
Best-of-the-Web-Siegel: Keylogger statt Sicherheit.
Best-of-the-Web-Siegel: Keylogger statt Sicherheit. (Bild: GuHyeok Jeong)

Sicherheit, Privatsphäre und Business-Verification soll das Best-of-the-Web-Siegel laut seiner Werbeaussage für rund 30 US-Dollar im Monat bieten. Doch mit dem Script, mit welchem das Siegel auf der Webseite eingebunden werden kann, fingen sich die als sicher zertifizierten Webseiten zwei Keylogger ein. Entdeckt hatte die Keylogger der Sicherheitsforscher Willem de Groot. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Universität Stuttgart, Stuttgart
  2. Allgeier Experts Pro GmbH, Großraum Berlin

"Wir wurden darüber informiert, dass das Script, das wir zur Einbindung von Vertrauens-Siegeln verwenden und auf Amazons Content Delivery Network (CDN) hosten, kompromittiert wurde", schrieb Best of the Web am 13. Mai auf Twitter, nachdem de Groot seinen Fund weitergegeben hatte. Angreifer hatten bereits am 24. April einen der beiden Keylogger integriert, der zweite folgte laut dem Sicherheitsforscher vorige Woche. Best of the Web möchte nun einen Security Audit durchführen und die betroffenen Webseiten informieren. Bei einigen betroffenen Webseiten sind die Keylogger nach wie vor aktiv.

Siegel und Infrastruktur

Auch ein Siegel des TÜV soll sichere Onlineshops garantieren, allerdings konnte Golem.de mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken entdecken. Immerhin verteilt das TÜV-Siegel nicht selbst Schadsoftware.

Infrastruktur, die von vielen Nutzern verwendet oder eingebunden wird, ist ein lukratives Ziel, über sie kann Schadsoftware weiter verteilt werden. Erst kürzlich wurde eine mit Schadsoftware verseuchte Version des Live-Update-Tools über gehackte Asus-Server verteilt. Mit einer echten Signatur war sie kaum zu erkennen. Ähnliches passierte bei sechs weiteren Firmen.



Anzeige
Spiele-Angebote
  1. 1,72€
  2. (-87%) 2,50€
  3. (-77%) 11,50€
  4. 4,19€

Schleicher 16. Mai 2019 / Themenstart

Dann sollte doch der XSS-Schutz von NoScript greifen oder? So wie hier: https://www.golem...

Olliar 16. Mai 2019 / Themenstart

Es geht bei solchen "Siegeln" doch nur um das Verschieben der Verantwortung. Jetzt its...

Kommentieren


Folgen Sie uns
       


Pedelec HNF-Nicolai SD1 Urban ausprobiert

Wir sind das Pedelec eine Woche lang zur Probe gefahren und waren besonders vom Motor angetan.

Pedelec HNF-Nicolai SD1 Urban ausprobiert Video aufrufen
Orico Enclosure im Test: Die NVMe-SSD wird zum USB-Stick
Orico Enclosure im Test
Die NVMe-SSD wird zum USB-Stick

Wer eine ältere NVMe-SSD über hat, kann diese immer noch als sehr schnellen USB-Stick verwenden: Preiswerte Gehäuse wie das Orico Enclosure nehmen M.2-Kärtchen auf, der Bridge-Chip könnte aber flotter sein.
Ein Test von Marc Sauter

  1. Server Supermicro mit Chassis für 40 E1.S-SSDs auf 2 HE
  2. Solid State Drive Longsys entwickelt erste SSD nur mit chinesischen Chips
  3. SSDs Samsung 970 Pro mit 2TB und WD Blue 3D mit 4TB

FPM-Sicherheitslücke: Daten exfiltrieren mit Facebooks HHVM
FPM-Sicherheitslücke
Daten exfiltrieren mit Facebooks HHVM

Server für den sogenannten FastCGI Process Manager (FPM) können, wenn sie übers Internet erreichbar sind, unbefugten Zugriff auf Dateien eines Systems geben. Das betrifft vor allem HHVM von Facebook, bei PHP sind die Risiken geringer.
Eine Exklusivmeldung von Hanno Böck

  1. HHVM Facebooks PHP-Alternative erscheint ohne PHP

Radeon RX 5700 (XT) im Test: AMDs günstige Navi-Karten sind auch super
Radeon RX 5700 (XT) im Test
AMDs günstige Navi-Karten sind auch super

Die Radeon RX 5700 (XT) liefern nach einer Preissenkung vor dem Launch eine gute Leistung ab: Wer auf Hardware-Raytracing verzichten kann, erhält zwei empfehlenswerte Navi-Grafikkarten. Bei der Energie-Effizienz hapert es aber trotz moderner 7-nm-Technik immer noch etwas.
Ein Test von Marc Sauter

  1. Radeon RX 5700 (XT) AMD senkt Navi-Preise noch vor Launch
  2. AMD Freier Navi-Treiber in Mesa eingepflegt
  3. AMDGPU AMD veröffentlicht Linux-Treiber für Navi

    •  /