• IT-Karriere:
  • Services:

Best of the Web: Trust-Siegel verteilt Keylogger

Eigentlich soll das Best-of-the-Web-Siegel die Sicherheit von Webseiten zertifizieren, stattdessen wurden über ein gehacktes Script Keylogger eingebunden.

Artikel veröffentlicht am ,
Best-of-the-Web-Siegel: Keylogger statt Sicherheit.
Best-of-the-Web-Siegel: Keylogger statt Sicherheit. (Bild: GuHyeok Jeong)

Sicherheit, Privatsphäre und Business-Verification soll das Best-of-the-Web-Siegel laut seiner Werbeaussage für rund 30 US-Dollar im Monat bieten. Doch mit dem Script, mit welchem das Siegel auf der Webseite eingebunden werden kann, fingen sich die als sicher zertifizierten Webseiten zwei Keylogger ein. Entdeckt hatte die Keylogger der Sicherheitsforscher Willem de Groot. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. Scheidt & Bachmann GmbH, Mönchengladbach
  2. ALBIS PLASTIC GmbH, Hamburg

"Wir wurden darüber informiert, dass das Script, das wir zur Einbindung von Vertrauens-Siegeln verwenden und auf Amazons Content Delivery Network (CDN) hosten, kompromittiert wurde", schrieb Best of the Web am 13. Mai auf Twitter, nachdem de Groot seinen Fund weitergegeben hatte. Angreifer hatten bereits am 24. April einen der beiden Keylogger integriert, der zweite folgte laut dem Sicherheitsforscher vorige Woche. Best of the Web möchte nun einen Security Audit durchführen und die betroffenen Webseiten informieren. Bei einigen betroffenen Webseiten sind die Keylogger nach wie vor aktiv.

Siegel und Infrastruktur

Auch ein Siegel des TÜV soll sichere Onlineshops garantieren, allerdings konnte Golem.de mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken entdecken. Immerhin verteilt das TÜV-Siegel nicht selbst Schadsoftware.

Infrastruktur, die von vielen Nutzern verwendet oder eingebunden wird, ist ein lukratives Ziel, über sie kann Schadsoftware weiter verteilt werden. Erst kürzlich wurde eine mit Schadsoftware verseuchte Version des Live-Update-Tools über gehackte Asus-Server verteilt. Mit einer echten Signatur war sie kaum zu erkennen. Ähnliches passierte bei sechs weiteren Firmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Transport Fever 2 für 22,99€, Project CARS 2 Delux für 15,99€)
  2. (u. a. PS4 Pro Naughty Dog Bundle für 399,99€, PS4 VR Megapack Ed. 2 für 279,99€, Death...
  3. (Samsung Galaxy A51 128 GB für 299,00€)
  4. (aktuell u. a. WD Eements 10 TB für 179,00€, Crucial X8 1 TB externe SSD für 149,00€, Zotac...

Schleicher 16. Mai 2019

Dann sollte doch der XSS-Schutz von NoScript greifen oder? So wie hier: https://www.golem...

Olliar 16. Mai 2019

Es geht bei solchen "Siegeln" doch nur um das Verschieben der Verantwortung. Jetzt its...


Folgen Sie uns
       


Magenta-TV-Stick der Deutschen Telekom - Test

Der Magenta-TV-Stick befindet sich noch im Betatest, so dass einige Funktionen noch fehlen und später nachgereicht werden. Der Stick läuft mit einer angepassten Version von Android TV. Bei Magenta TV selbst sehen wir noch viel Verbesserungsbedarf.

Magenta-TV-Stick der Deutschen Telekom - Test Video aufrufen
    •  /