Abo
  • Services:

Gefährliche Sicherheitsprogramme: Chromodo hebelt die Same-Origin-Policy aus

Comodos Internet-Security-Suite verschlechtert die Sicherheit ihrer Nutzer - drastisch. Die Reaktionen auf die Enthüllung des Hackers Tavis Ormandy fallen dementsprechend empört aus. Das Unternehmen scheint den Ernst der Lage nicht ganz verstanden zu haben.

Artikel veröffentlicht am ,
Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Der Hacker Tavis Ormandy führt seit längerem einen regelrechten Kreuzzug gegen unsichere Antiviren- und andere Sicherheitsprogramme. Im vergangenen Jahr fand der bei Googles Project Zero angestellte Sicherheitsforscher schwerwiegende Sicherheitslücken in fast allen gängigen Antivirenprogrammen. Jetzt hat er eine neue Schwachstelle veröffentlicht, dieses Mal in der Comodo Internet Security Suite. Comodo wirbt damit, dass das Programm "alle Viren und Online-Bedrohungen" verhindere. Allein diese Behauptung ist abenteuerlich, doch die Comodo-Suite installiert sogar eine Sicherheitsgefahr auf dem Rechner der Nutzer - ungefragt.

Stellenmarkt
  1. BWI GmbH, Bonn, Köln
  2. BWI GmbH, Meckenheim, München

Denn als Teil der Sicherheitssuite wird mit Chromodo ein eigener Fork von Chromium installiert - der Open-Source-Grundlage des Chrome-Browsers. Dieser Browser wird ohne weitere Rückfrage als Standardbrowser im System eingetragen. Außerdem werden alle Einstellungen, Lesezeichen und andere Daten von Chrome importiert - ebenfalls ungefragt. Viele Nutzer, die eigentlich Chrome nutzen, dürften den neuen Standardbrowser gar nicht als solchen erkennen. Der neue Browser überschreibt auch die DNS-Einstellungen, und kann so den Datenstrom der Nutzer manipulieren.

Noch drastischere Auswirkungen aber hat die Aufhebung der Same-Origin-Policy (SOP) durch Chromodo. Mit dem Verfahren wird sichergestellt, dass keine aktiven Elemente wie Javascript oder Actionscript von einer unbekannten Quelle geladen werden, wenn der Nutzer eine Webseite aufruft. Auch mit aktivierter SOP gibt es natürlich keinen hundertprozentigen Schutz, etwa vor XSS-Angriffen (Cross Site Scripting), doch die Hürden für einen Angreifer liegen deutlich höher.

  • Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)
Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)

Die Sicherheitslücke demonstrierte Ormandy dem Unternehmen auch mit einem funktionierenden Exploit. Er besuchte die mit HTTPS geschützte Seite von Comodo und konnte mit seinem Angriffscode alle Informationen aus dem verwendeten Cookie auslesen.

Comodo hat auf die Enthüllung bislang nur halbherzig reagiert. Statt die grundlegenden Sicherheitsprobleme zu fixen, verteilte das Unternehmen nur einen Patch für die in seinem Exploit genutzten ExecCode-Api, wie Ormandy in dem Bugreport schreibt. Ormandy will jetzt in anderen Produkten des Unternehmens nach weiteren Fehlern suchen.



Anzeige
Hardware-Angebote
  1. ab 119,98€ (Release 04.10.)

lemgostanislaw 05. Feb 2016

Das ist doch mehr als ordnungsgemäß. Damit wird anderen Leser sofort signalisiert, dass...

Proctrap 04. Feb 2016

Bringt definitiv was, wenn du es dabei nicht belässt. Nur dann bitte gleich den CCleaner...

hg (Golem.de) 04. Feb 2016

In der Tat - da habe ich mich vertan, tut mir leid. Danke für den Hinweis, ist dann auch...


Folgen Sie uns
       


Nvidia Geforce RTX 2080 und 2080 Ti - Test

Nvidia hat mit der RTX 2080 und 2080 Ti die derzeit leistungsstärksten Grafikkarten am Markt. Wir haben sie getestet.

Nvidia Geforce RTX 2080 und 2080 Ti - Test Video aufrufen
Life is Strange 2 im Test: Interaktiver Road-Movie-Mystery-Thriller
Life is Strange 2 im Test
Interaktiver Road-Movie-Mystery-Thriller

Keine heile Teenagerwelt mit Partys und Liebeskummer: Allein in den USA der Trump-Ära müssen zwei Brüder mit mexikanischen Wurzeln in Life is Strange 2 nach einem mysteriösen Unfall überleben. Das Adventure ist bewegend und spannend - trotz eines grundsätzlichen Problems.
Von Peter Steinlechner

  1. Adventure Leisure Suit Larry landet im 21. Jahrhundert

Pixel 3 und Pixel 3 XL im Hands on: Googles Smartphones mit verbesserten Kamerafunktionen
Pixel 3 und Pixel 3 XL im Hands on
Googles Smartphones mit verbesserten Kamerafunktionen

Google hat das Pixel 3 und das Pixel 3 XL vorgestellt. Bei beiden neuen Smartphones legt das Unternehmen besonders hohen Wert auf die Kamerafunktionen. Mit viel Software-Raffinessen sollen gute Bilder auch unter widrigen Umständen entstehen. Die ersten Eindrücke sind vielversprechend.
Ein Hands on von Ingo Pakalski

  1. BQ Aquaris X2 Pro im Hands on Ein gelungenes Gesamtpaket mit Highend-Funktionen

Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn
Passwörter
Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

  1. Retrogaming Maximal unnötige Minis
  2. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  3. Sicherheit Ein Lob für Twitter und Github

    •  /