Abo
  • Services:
Anzeige
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Bis zu zehn Prozent der Verbindungen betroffen

Insgesamt an drei verschiedenen Stellen wurde versucht, die Rate der HTTPS-Interception-Produkte zu messen: Bei Cloudflare - hier kamen die Autoren mit den genannten Schwierigkeiten auf 10 Prozent -, bei den Update-Servern von Mozilla (4 Prozent) und bei verschiedenen E-Commerce-Seiten, die mit den Studienautoren kooperierten (6 Prozent). Alle diese Zahlen sind deutlich höher als jene in früheren Schätzungen.

Zahlreiche Produkte wiesen dabei katastrophale Sicherheitslücken auf, mit denen ein Angreifer die Sicherheit der TLS-Verschlüsselung komplett untergraben könnte. Darunter fallen beispielsweise Produkte, die Zertifikate nicht prüfen oder völlig veraltete und unsichere Verschlüsselungsalgorithmen zulassen. Diese Unsicherheiten beschränkten sich keineswegs auf Billigprodukte. Auch mehrere Enterprise-Appliances von Firmen wie Microsoft, A10, Checkpoint, Cisco und WebTitan waren darunter.

Alle Produkte senken die Sicherheit von HTTPS

Wirklich gut schneidet überhaupt kein Produkt ab. Zwar erhalten einige ein "A", das bedeutet aber lediglich, dass die TLS-Funktionalität selbst korrekt implementiert ist. Moderne Browser unterstützen jedoch noch andere Sicherheitsfeatures, die mit TLS interagieren, beispielsweise HTTP Public Key Pinning, zentralisierte Zertifikats-Revocation-Listen, Certificate Transparency und OCSP Must-Staple. "Keines der Produkte, die wir getestet haben, unterstützt diese Features", schreiben die Studienautoren dazu.

Anzeige

Überraschend kommt das Ganze im Grunde nicht. Immer wieder wurden in der Vergangenheit Sicherheitslücken in derartigen Produkten entdeckt. 2015 sorgte die Software Superfish für Schlagzeilen. Lenovo hatte diese Werbesoftware auf Laptops vorinstalliert. Alle Installationen nutzten dasselbe Root-Zertifikat samt identischem privaten Schlüssel. Wer einmal im Besitz des Schlüssels war, konnte nach Belieben die HTTPS-Verbindungen der Lenovo-Nutzer angreifen.

Superfish nutzte eine Software namens Komodia, die in unzähligen anderen Produkten - von Jugendschutzfiltern bis hin zu Malware - zum Einsatz kam. Während Superfish nach diesen Vorfällen von der Bildfläche verschwand, gibt es die Firma Komodia nach wie vor. Auch eine Software namens Privdog, die von einer Firma des Comodo-CEOs entwickelt wurde, hatte eine ähnlich katastrophale Sicherheitslücke, wie der Autor dieses Artikels aufdecken konnte. Auf Dell-Laptops wurde ein ähnliches Problem gefunden.

 HTTPS-Interception: Sicherheitsprodukte gefährden HTTPSSicherheitslücken in Kaspersky-Software 

eye home zur Startseite
FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla



Anzeige

Stellenmarkt
  1. Stadtwerke Augsburg Holding GmbH, Augsburg
  2. ALDI SÜD, Mülheim an der Ruhr
  3. Schaeffler Technologies AG & Co. KG, Nürnberg
  4. operational services GmbH & Co. KG, Berlin, Frankfurt, Nürnberg, Zwickau, Dresden


Anzeige
Spiele-Angebote
  1. 189,99€
  2. mit Gutscheincode PCGAMES17 nur 82,99€ statt 89,99€
  3. (-75%) 7,49€

Folgen Sie uns
       


  1. Mirai-Nachfolger

    Experten warnen vor "Cyber-Hurrican" durch neues Botnetz

  2. Europol

    EU will "Entschlüsselungsplattform" ausbauen

  3. Krack-Angriff

    AVM liefert erste Updates für Repeater und Powerline

  4. Spieleklassiker

    Mafia digital bei GoG erhältlich

  5. Air-Berlin-Insolvenz

    Bundesbeamte müssen videotelefonieren statt zu fliegen

  6. Fraport

    Autonomer Bus im dichten Verkehr auf dem Flughafen

  7. Mixed Reality

    Microsoft verdoppelt Sichtfeld der Hololens

  8. Nvidia

    Shield TV ohne Controller kostet 200 Euro

  9. Die Woche im Video

    Wegen Krack wie auf Crack!

  10. Windows 10

    Fall Creators Update macht Ryzen schneller



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Flettner-Rotoren: Wie Schiffe mit Stahlsegeln Treibstoff sparen
Flettner-Rotoren
Wie Schiffe mit Stahlsegeln Treibstoff sparen
  1. Hyperflight China plant superschnellen Vactrain
  2. Sea Bubbles Tragflächen-Elektroboote kommen nach Paris
  3. Honolulu Strafe für Handynutzung auf der Straße

Cybercrime: Neun Jahre Jagd auf Bayrob
Cybercrime
Neun Jahre Jagd auf Bayrob
  1. Antivirus Symantec will keine Code-Reviews durch Regierungen mehr
  2. Verschlüsselung Google schmeißt Symantec aus Chrome raus
  3. Übernahme Digicert kauft Zertifikatssparte von Symantec

Passwortmanager im Vergleich: Das letzte Passwort, das du dir jemals merken musst
Passwortmanager im Vergleich
Das letzte Passwort, das du dir jemals merken musst
  1. 30.000 US-Dollar Schaden Admin wegen Sabotage nach Kündigung verurteilt
  2. Cyno Sure Prime Passwortcracker nehmen Troy Hunts Hashes auseinander
  3. Passwortmanager Lastpass ab sofort doppelt so teuer

  1. Re: Das Spiel ist beendet.

    kotap | 02:17

  2. Re: Ich wäre ja mal froh wenn Golem sein...

    Desertdelphin | 00:55

  3. Re: Besser als GTA

    Erny | 00:40

  4. Re: halb so schlimm

    Apfelbrot | 00:40

  5. Re: Nicht die 1 TFLOPS sind erstaunlich sondern...

    Vielfalt | 00:31


  1. 14:50

  2. 13:27

  3. 11:25

  4. 17:14

  5. 16:25

  6. 15:34

  7. 13:05

  8. 11:59


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel