Bis zu zehn Prozent der Verbindungen betroffen

Insgesamt an drei verschiedenen Stellen wurde versucht, die Rate der HTTPS-Interception-Produkte zu messen: Bei Cloudflare - hier kamen die Autoren mit den genannten Schwierigkeiten auf 10 Prozent -, bei den Update-Servern von Mozilla (4 Prozent) und bei verschiedenen E-Commerce-Seiten, die mit den Studienautoren kooperierten (6 Prozent). Alle diese Zahlen sind deutlich höher als jene in früheren Schätzungen.

Stellenmarkt
  1. SAP Analytics Cloud Berater (m/w/x)
    über duerenhoff GmbH, Mannheim
  2. Server- / Virtualisierungsadministrato- r/-in (m/w/d)
    Kreisausschuss Wetteraukreis, Friedberg
Detailsuche

Zahlreiche Produkte wiesen dabei katastrophale Sicherheitslücken auf, mit denen ein Angreifer die Sicherheit der TLS-Verschlüsselung komplett untergraben könnte. Darunter fallen beispielsweise Produkte, die Zertifikate nicht prüfen oder völlig veraltete und unsichere Verschlüsselungsalgorithmen zulassen. Diese Unsicherheiten beschränkten sich keineswegs auf Billigprodukte. Auch mehrere Enterprise-Appliances von Firmen wie Microsoft, A10, Checkpoint, Cisco und WebTitan waren darunter.

Alle Produkte senken die Sicherheit von HTTPS

Wirklich gut schneidet überhaupt kein Produkt ab. Zwar erhalten einige ein "A", das bedeutet aber lediglich, dass die TLS-Funktionalität selbst korrekt implementiert ist. Moderne Browser unterstützen jedoch noch andere Sicherheitsfeatures, die mit TLS interagieren, beispielsweise HTTP Public Key Pinning, zentralisierte Zertifikats-Revocation-Listen, Certificate Transparency und OCSP Must-Staple. "Keines der Produkte, die wir getestet haben, unterstützt diese Features", schreiben die Studienautoren dazu.

Überraschend kommt das Ganze im Grunde nicht. Immer wieder wurden in der Vergangenheit Sicherheitslücken in derartigen Produkten entdeckt. 2015 sorgte die Software Superfish für Schlagzeilen. Lenovo hatte diese Werbesoftware auf Laptops vorinstalliert. Alle Installationen nutzten dasselbe Root-Zertifikat samt identischem privaten Schlüssel. Wer einmal im Besitz des Schlüssels war, konnte nach Belieben die HTTPS-Verbindungen der Lenovo-Nutzer angreifen.

Golem Karrierewelt
  1. Cinema 4D Grundlagen: virtueller Drei-Tage-Workshop
    07.-09.11.2022, Virtuell
  2. Hands-on C# Programmierung: virtueller Zwei-Tage-Workshop
    08./09.11.2022, virtuell
Weitere IT-Trainings

Superfish nutzte eine Software namens Komodia, die in unzähligen anderen Produkten - von Jugendschutzfiltern bis hin zu Malware - zum Einsatz kam. Während Superfish nach diesen Vorfällen von der Bildfläche verschwand, gibt es die Firma Komodia nach wie vor. Auch eine Software namens Privdog, die von einer Firma des Comodo-CEOs entwickelt wurde, hatte eine ähnlich katastrophale Sicherheitslücke, wie der Autor dieses Artikels aufdecken konnte. Auf Dell-Laptops wurde ein ähnliches Problem gefunden.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
 HTTPS-Interception: Sicherheitsprodukte gefährden HTTPSSicherheitslücken in Kaspersky-Software 
  1.  
  2. 1
  3. 2
  4. 3
  5.  


Aktuell auf der Startseite von Golem.de
Ukrainekrieg
Meta stoppt ausgefeilte russische Desinformationskampagne

Gefakte Webseiten deutscher Medien machen Stimmung gegen die Russland-Sanktionen. Die falschen Artikel wurden über soziale Medien verbreitet.

Ukrainekrieg: Meta stoppt ausgefeilte russische Desinformationskampagne
Artikel
  1. Polizei NRW: Palantir-Software verteuert sich drastisch
    Polizei NRW
    Palantir-Software verteuert sich drastisch

    Nordrhein-Westfalen muss deutlich mehr Geld für eine Datenbanksoftware ausgeben. Doch es sollen damit schon Straftaten verhindert worden sein.

  2. Core-i-13000: Intel präsentiert Raptor Lake mit bis zu 5,8 GHz
    Core-i-13000
    Intel präsentiert Raptor Lake mit bis zu 5,8 GHz

    Auf der Innovation hat Intel die 13. Core Generation vorgestellt. Kernzahl, Takt und Effizienz sollen deutlich steigen.

  3. Creative Commons, Pixabay, Unsplash: Rechtliche Fallstricke bei Gratis-Stockfotos
    Creative Commons, Pixabay, Unsplash
    Rechtliche Fallstricke bei Gratis-Stockfotos

    Pixabay, Unsplash, CC ermöglichen eine gebührenfreie Nutzung kreativer Werke. Vorsicht ist dennoch geboten: vor Abmahnmaschen, falschen Quellenangaben, unklarer Rechtslage.
    Eine Analyse von Florian Zandt

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • AMD Ryzen 7000 jetzt bestellbar • CyberWeek: PC-Tower, Cooling & Co. • Günstig wie nie: Asus RX 6700 XT 539€, Acer 31,5" 4K 144 Hz 899€, MSI RTX 3090 1.159€ • AMD Ryzen 7 5800X 287,99€ • Xbox Wireless Controller 49,99€ • MindStar (Gigabyte RTX 3060 Ti 522€) [Werbung]
    •  /