Gefährliche Sicherheitsprogramme: Chromodo hebelt die Same-Origin-Policy aus

Comodos Internet-Security-Suite verschlechtert die Sicherheit ihrer Nutzer - drastisch. Die Reaktionen auf die Enthüllung des Hackers Tavis Ormandy fallen dementsprechend empört aus. Das Unternehmen scheint den Ernst der Lage nicht ganz verstanden zu haben.

Artikel veröffentlicht am ,
Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Der Hacker Tavis Ormandy führt seit längerem einen regelrechten Kreuzzug gegen unsichere Antiviren- und andere Sicherheitsprogramme. Im vergangenen Jahr fand der bei Googles Project Zero angestellte Sicherheitsforscher schwerwiegende Sicherheitslücken in fast allen gängigen Antivirenprogrammen. Jetzt hat er eine neue Schwachstelle veröffentlicht, dieses Mal in der Comodo Internet Security Suite. Comodo wirbt damit, dass das Programm "alle Viren und Online-Bedrohungen" verhindere. Allein diese Behauptung ist abenteuerlich, doch die Comodo-Suite installiert sogar eine Sicherheitsgefahr auf dem Rechner der Nutzer - ungefragt.

Stellenmarkt
  1. Java Entwickler (m/w/d)
    ilum:e informatik ag, Mainz
  2. Senior Java Developer (m/w/d)
    STRABAG BRVZ GMBH & CO.KG, Stuttgart
Detailsuche

Denn als Teil der Sicherheitssuite wird mit Chromodo ein eigener Fork von Chromium installiert - der Open-Source-Grundlage des Chrome-Browsers. Dieser Browser wird ohne weitere Rückfrage als Standardbrowser im System eingetragen. Außerdem werden alle Einstellungen, Lesezeichen und andere Daten von Chrome importiert - ebenfalls ungefragt. Viele Nutzer, die eigentlich Chrome nutzen, dürften den neuen Standardbrowser gar nicht als solchen erkennen. Der neue Browser überschreibt auch die DNS-Einstellungen, und kann so den Datenstrom der Nutzer manipulieren.

Noch drastischere Auswirkungen aber hat die Aufhebung der Same-Origin-Policy (SOP) durch Chromodo. Mit dem Verfahren wird sichergestellt, dass keine aktiven Elemente wie Javascript oder Actionscript von einer unbekannten Quelle geladen werden, wenn der Nutzer eine Webseite aufruft. Auch mit aktivierter SOP gibt es natürlich keinen hundertprozentigen Schutz, etwa vor XSS-Angriffen (Cross Site Scripting), doch die Hürden für einen Angreifer liegen deutlich höher.

  • Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)
Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)

Die Sicherheitslücke demonstrierte Ormandy dem Unternehmen auch mit einem funktionierenden Exploit. Er besuchte die mit HTTPS geschützte Seite von Comodo und konnte mit seinem Angriffscode alle Informationen aus dem verwendeten Cookie auslesen.

Golem Akademie
  1. Unity Basiswissen: virtueller Drei-Tage-Workshop
    7.–9. Februar 2022, Virtuell
  2. CEH Certified Ethical Hacker v11: virtueller Fünf-Tage-Workshop
    21.–25. Februar 2022, Virtuell
Weitere IT-Trainings

Comodo hat auf die Enthüllung bislang nur halbherzig reagiert. Statt die grundlegenden Sicherheitsprobleme zu fixen, verteilte das Unternehmen nur einen Patch für die in seinem Exploit genutzten ExecCode-Api, wie Ormandy in dem Bugreport schreibt. Ormandy will jetzt in anderen Produkten des Unternehmens nach weiteren Fehlern suchen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


lemgostanislaw 05. Feb 2016

Das ist doch mehr als ordnungsgemäß. Damit wird anderen Leser sofort signalisiert, dass...

Proctrap 04. Feb 2016

Bringt definitiv was, wenn du es dabei nicht belässt. Nur dann bitte gleich den CCleaner...

hg (Golem.de) 04. Feb 2016

In der Tat - da habe ich mich vertan, tut mir leid. Danke für den Hinweis, ist dann auch...



Aktuell auf der Startseite von Golem.de
Corona-Warn-App
Jede geteilte Warnung kostete 100 Euro

Die Bundesregierung hat für die Corona-Warn-App bisher mehr als 130 Millionen Euro ausgegeben. Derzeit gibt es besonders viele rote Warnungen.

Corona-Warn-App: Jede geteilte Warnung kostete 100 Euro
Artikel
  1. Activision Blizzard: Was passiert mit Call of Duty, Diablo und Xbox Game Pass?
    Activision Blizzard
    Was passiert mit Call of Duty, Diablo und Xbox Game Pass?

    Playstation als Verlierer und Exklusivspiele für den Xbox Game Pass: Golem.de über die bislang größte Übernahme durch Microsoft.
    Eine Analyse von Peter Steinlechner

  2. Dice: Update-Roadmap für Battlefield 2042 vorgestellt
    Dice
    Update-Roadmap für Battlefield 2042 vorgestellt

    Ob das reicht? Das Entwicklerstudio Dice hat seine Pläne für Battlefield 2042 vorgestellt. Der Shooter hat extrem niedrige Spielerzahlen.

  3. Glasfaser in Freiburg: Telekom kommt wegen wirrer Auflagen nicht weiter
    Glasfaser in Freiburg
    Telekom kommt wegen wirrer Auflagen nicht weiter

    Um Bauwurzeln zu schonen, sollte die Telekom in Freiburg Glasfaser im Zickzack ausbauen. Das dortige Tiefbauamt lehnte den Plan des Gartenbauamtes aber ab.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • LG OLED 55" 120Hz 999€ • MindStar (u.a. NZXT WaKü 129€, GTX 1660 499€) • Seagate Firecuda 530 1TB inkl. Kühlkörper + 20€ PSN-Guthaben 189,90€ • HP Omen Gaming-Stuhl 319€ • Sony Pulse 3D Wireless PS5 Headset 79,99€ • Huawei MateBook 16,1" 16GB 512GB SSD 709€ [Werbung]
    •  /