• IT-Karriere:
  • Services:

Best of the Web: Trust-Siegel verteilt Keylogger

Eigentlich soll das Best-of-the-Web-Siegel die Sicherheit von Webseiten zertifizieren, stattdessen wurden über ein gehacktes Script Keylogger eingebunden.

Artikel veröffentlicht am ,
Best-of-the-Web-Siegel: Keylogger statt Sicherheit.
Best-of-the-Web-Siegel: Keylogger statt Sicherheit. (Bild: GuHyeok Jeong)

Sicherheit, Privatsphäre und Business-Verification soll das Best-of-the-Web-Siegel laut seiner Werbeaussage für rund 30 US-Dollar im Monat bieten. Doch mit dem Script, mit welchem das Siegel auf der Webseite eingebunden werden kann, fingen sich die als sicher zertifizierten Webseiten zwei Keylogger ein. Entdeckt hatte die Keylogger der Sicherheitsforscher Willem de Groot. Zuerst hatte das Onlinemagazin Bleepingcomputer berichtet.

Stellenmarkt
  1. noris network AG, Nürnberg, Aschheim (bei München), Berlin (Remote-Office möglich)
  2. Basler AG, Ahrensburg

"Wir wurden darüber informiert, dass das Script, das wir zur Einbindung von Vertrauens-Siegeln verwenden und auf Amazons Content Delivery Network (CDN) hosten, kompromittiert wurde", schrieb Best of the Web am 13. Mai auf Twitter, nachdem de Groot seinen Fund weitergegeben hatte. Angreifer hatten bereits am 24. April einen der beiden Keylogger integriert, der zweite folgte laut dem Sicherheitsforscher vorige Woche. Best of the Web möchte nun einen Security Audit durchführen und die betroffenen Webseiten informieren. Bei einigen betroffenen Webseiten sind die Keylogger nach wie vor aktiv.

Siegel und Infrastruktur

Auch ein Siegel des TÜV soll sichere Onlineshops garantieren, allerdings konnte Golem.de mit geringem Aufwand auf mehreren Seiten mit Safer-Shopping-Siegel - und auf der TÜV-Webseite selbst - sehr banale Sicherheitslücken entdecken. Immerhin verteilt das TÜV-Siegel nicht selbst Schadsoftware.

Infrastruktur, die von vielen Nutzern verwendet oder eingebunden wird, ist ein lukratives Ziel, über sie kann Schadsoftware weiter verteilt werden. Erst kürzlich wurde eine mit Schadsoftware verseuchte Version des Live-Update-Tools über gehackte Asus-Server verteilt. Mit einer echten Signatur war sie kaum zu erkennen. Ähnliches passierte bei sechs weiteren Firmen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Top-Angebote
  1. (u. a. Resident Evil 3 (2020) für 24,99€, Detroit: Become Human - Epic Games Store Key für 27...
  2. 11,69€ (Bestpreis!)
  3. (aktuell u. a. Amazon Basics günstiger (u. a. AXE Superb 128 GB USB 3.1 SuperSpeed USB-Stick für...
  4. (u. a. Digitus S7CD Aktenvernichter für 24,99€, Krups Espresso-Kaffee-Vollautomat EA 8150 für...

Schleicher 16. Mai 2019

Dann sollte doch der XSS-Schutz von NoScript greifen oder? So wie hier: https://www.golem...

Olliar 16. Mai 2019

Es geht bei solchen "Siegeln" doch nur um das Verschieben der Verantwortung. Jetzt its...


Folgen Sie uns
       


Xiaomi Mi 10 Pro - Test

Das Mi 10 Pro ist Xiaomis jüngstes Top-Smartphone. Im Test überzeugt vor allem die Kamera.

Xiaomi Mi 10 Pro - Test Video aufrufen
Programmiersprache Go: Schlanke Syntax, schneller Compiler
Programmiersprache Go
Schlanke Syntax, schneller Compiler

Die objektorientierte Programmiersprache Go eignet sich vor allem zum Schreiben von Netzwerk- und Cloud-Diensten.
Von Tim Schürmann


    Pixel 4a im Test: Google macht das Pixel kleiner und noch günstiger
    Pixel 4a im Test
    Google macht das Pixel kleiner und noch günstiger

    Google macht mit dem Pixel 4a einiges anders als beim 3a - und eine Menge richtig, unter anderem beim Preis. Im Herbst sollen eine 5G-Version und das Pixel 5 folgen.
    Ein Test von Tobias Költzsch

    1. Smartphone Google stellt das Pixel 4 ein
    2. Android Googles Dateimanager erlaubt PIN-geschützten Ordner
    3. Google Internes Dokument weist auf faltbares Pixel hin

    Ryzen 7 Mobile 4700U im Test: Der bessere Ultrabook-i7
    Ryzen 7 Mobile 4700U im Test
    Der bessere Ultrabook-i7

    Wir testen AMDs Ryzen-Renoir mit 10 bis 35 Watt sowie mit DDR4-3200 und LPDDR4X-4266. Die Benchmark-Resultate sind beeindruckend.
    Ein Test von Marc Sauter

    1. Renoir Asrock baut 1,92-Liter-Mini-PC für neue AMD-CPUs
    2. Ryzen Pro 4750G/4650G im Test Die mit Abstand besten Desktop-APUs
    3. Arlt-Komplett-PC ausprobiert Mit Ryzen Pro wird der Büro-PC sparsam und flott

      •  /