Abo
  • Services:

Gefährliche Sicherheitsprogramme: Chromodo hebelt die Same-Origin-Policy aus

Comodos Internet-Security-Suite verschlechtert die Sicherheit ihrer Nutzer - drastisch. Die Reaktionen auf die Enthüllung des Hackers Tavis Ormandy fallen dementsprechend empört aus. Das Unternehmen scheint den Ernst der Lage nicht ganz verstanden zu haben.

Artikel veröffentlicht am ,
Comodos Software verspricht viel, hält aber wenig.
Comodos Software verspricht viel, hält aber wenig. (Bild: Comodo)

Der Hacker Tavis Ormandy führt seit längerem einen regelrechten Kreuzzug gegen unsichere Antiviren- und andere Sicherheitsprogramme. Im vergangenen Jahr fand der bei Googles Project Zero angestellte Sicherheitsforscher schwerwiegende Sicherheitslücken in fast allen gängigen Antivirenprogrammen. Jetzt hat er eine neue Schwachstelle veröffentlicht, dieses Mal in der Comodo Internet Security Suite. Comodo wirbt damit, dass das Programm "alle Viren und Online-Bedrohungen" verhindere. Allein diese Behauptung ist abenteuerlich, doch die Comodo-Suite installiert sogar eine Sicherheitsgefahr auf dem Rechner der Nutzer - ungefragt.

Stellenmarkt
  1. Beckhoff Automation GmbH & Co. KG, Verl
  2. Bosch Gruppe, Grasbrunn

Denn als Teil der Sicherheitssuite wird mit Chromodo ein eigener Fork von Chromium installiert - der Open-Source-Grundlage des Chrome-Browsers. Dieser Browser wird ohne weitere Rückfrage als Standardbrowser im System eingetragen. Außerdem werden alle Einstellungen, Lesezeichen und andere Daten von Chrome importiert - ebenfalls ungefragt. Viele Nutzer, die eigentlich Chrome nutzen, dürften den neuen Standardbrowser gar nicht als solchen erkennen. Der neue Browser überschreibt auch die DNS-Einstellungen, und kann so den Datenstrom der Nutzer manipulieren.

Noch drastischere Auswirkungen aber hat die Aufhebung der Same-Origin-Policy (SOP) durch Chromodo. Mit dem Verfahren wird sichergestellt, dass keine aktiven Elemente wie Javascript oder Actionscript von einer unbekannten Quelle geladen werden, wenn der Nutzer eine Webseite aufruft. Auch mit aktivierter SOP gibt es natürlich keinen hundertprozentigen Schutz, etwa vor XSS-Angriffen (Cross Site Scripting), doch die Hürden für einen Angreifer liegen deutlich höher.

  • Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)
Ormandy demonstriert seinen Exploit. (Screenshot:Tavis Ormandy/Google)

Die Sicherheitslücke demonstrierte Ormandy dem Unternehmen auch mit einem funktionierenden Exploit. Er besuchte die mit HTTPS geschützte Seite von Comodo und konnte mit seinem Angriffscode alle Informationen aus dem verwendeten Cookie auslesen.

Comodo hat auf die Enthüllung bislang nur halbherzig reagiert. Statt die grundlegenden Sicherheitsprobleme zu fixen, verteilte das Unternehmen nur einen Patch für die in seinem Exploit genutzten ExecCode-Api, wie Ormandy in dem Bugreport schreibt. Ormandy will jetzt in anderen Produkten des Unternehmens nach weiteren Fehlern suchen.



Anzeige
Blu-ray-Angebote
  1. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)
  2. (u. a. ES Blu-ray 10,83€, Die nackte Kanone Blu-ray-Box-Set 14,99€)

lemgostanislaw 05. Feb 2016

Das ist doch mehr als ordnungsgemäß. Damit wird anderen Leser sofort signalisiert, dass...

Proctrap 04. Feb 2016

Bringt definitiv was, wenn du es dabei nicht belässt. Nur dann bitte gleich den CCleaner...

hg (Golem.de) 04. Feb 2016

In der Tat - da habe ich mich vertan, tut mir leid. Danke für den Hinweis, ist dann auch...


Folgen Sie uns
       


Magic Leap One Creator Edition ausprobiert

Mit der One Creator Edition hat Magic Leap endlich seine seit Jahren angekündigte AR-Brille veröffentlicht. In Teilbereichen ist sie besser als Microsofts Hololens, in anderen aber schlechter.

Magic Leap One Creator Edition ausprobiert Video aufrufen
WLAN-Tracking und Datenschutz: Ist das Tracken von Nutzern übers Smartphone legal?
WLAN-Tracking und Datenschutz
Ist das Tracken von Nutzern übers Smartphone legal?

Unternehmen tracken das Verhalten von Nutzern nicht nur beim Surfen im Internet, sondern per WLAN auch im echten Leben: im Supermarkt, im Hotel - und selbst auf der Straße. Ob sie das dürfen, ist juristisch mehr als fraglich.
Eine Analyse von Harald Büring

  1. Gefahr für Werbenetzwerke Wie legal ist das Tracking von Online-Nutzern?
  2. Landtagswahlen in Bayern und Hessen Tracker im Wahl-O-Mat der bpb-Medienpartner
  3. Tracking Facebook wechselt zu First-Party-Cookie

Eden ISS: Raumfahrt-Salat für Antarktis-Bewohner
Eden ISS
Raumfahrt-Salat für Antarktis-Bewohner

Wer in der Antarktis überwintert, träumt irgendwann von frischem Grün. Bei der Station Neumayer III hat das DLR vor einem Jahr ein Gewächshaus in einem Container aufgestellt, in dem ein Forscher Salat und Gemüse angebaut hat. Das Projekt war ein Test für künftige Raumfahrtmissionen. Der verlief erfolgreich, aber nicht reibungslos.
Ein Interview von Werner Pluta

  1. Eden ISS DLR will Gewächshaus-Container am Südpol aus Bremen steuern
  2. Eu-Cropis DLR züchtet Tomaten im Weltall
  3. NGT Cargo Der Güterzug der Zukunft fährt 400 km/h

Nubia X im Hands on: Lieber zwei Bildschirme als eine Notch
Nubia X im Hands on
Lieber zwei Bildschirme als eine Notch

CES 2019 Nubia hat auf der CES eines der interessantesten Smartphones der letzten Monate gezeigt: Dank zweier Bildschirme braucht das Nubia X keine Frontkamera - und dementsprechend auch keine Notch. Die Umsetzung der Dual-Screen-Lösung gefällt uns gut.

  1. Videostreaming Plex will Filme und Serien kostenlos und im Abo anbieten
  2. Solar Cow angesehen Elektrische Kuh gibt Strom statt Milch
  3. H2Bike Alpha Wasserstoff-Fahrrad fährt 100 Kilometer weit

    •  /