Abo
  • Services:
Anzeige
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Bis zu zehn Prozent der Verbindungen betroffen

Insgesamt an drei verschiedenen Stellen wurde versucht, die Rate der HTTPS-Interception-Produkte zu messen: Bei Cloudflare - hier kamen die Autoren mit den genannten Schwierigkeiten auf 10 Prozent -, bei den Update-Servern von Mozilla (4 Prozent) und bei verschiedenen E-Commerce-Seiten, die mit den Studienautoren kooperierten (6 Prozent). Alle diese Zahlen sind deutlich höher als jene in früheren Schätzungen.

Zahlreiche Produkte wiesen dabei katastrophale Sicherheitslücken auf, mit denen ein Angreifer die Sicherheit der TLS-Verschlüsselung komplett untergraben könnte. Darunter fallen beispielsweise Produkte, die Zertifikate nicht prüfen oder völlig veraltete und unsichere Verschlüsselungsalgorithmen zulassen. Diese Unsicherheiten beschränkten sich keineswegs auf Billigprodukte. Auch mehrere Enterprise-Appliances von Firmen wie Microsoft, A10, Checkpoint, Cisco und WebTitan waren darunter.

Alle Produkte senken die Sicherheit von HTTPS

Wirklich gut schneidet überhaupt kein Produkt ab. Zwar erhalten einige ein "A", das bedeutet aber lediglich, dass die TLS-Funktionalität selbst korrekt implementiert ist. Moderne Browser unterstützen jedoch noch andere Sicherheitsfeatures, die mit TLS interagieren, beispielsweise HTTP Public Key Pinning, zentralisierte Zertifikats-Revocation-Listen, Certificate Transparency und OCSP Must-Staple. "Keines der Produkte, die wir getestet haben, unterstützt diese Features", schreiben die Studienautoren dazu.

Anzeige

Überraschend kommt das Ganze im Grunde nicht. Immer wieder wurden in der Vergangenheit Sicherheitslücken in derartigen Produkten entdeckt. 2015 sorgte die Software Superfish für Schlagzeilen. Lenovo hatte diese Werbesoftware auf Laptops vorinstalliert. Alle Installationen nutzten dasselbe Root-Zertifikat samt identischem privaten Schlüssel. Wer einmal im Besitz des Schlüssels war, konnte nach Belieben die HTTPS-Verbindungen der Lenovo-Nutzer angreifen.

Superfish nutzte eine Software namens Komodia, die in unzähligen anderen Produkten - von Jugendschutzfiltern bis hin zu Malware - zum Einsatz kam. Während Superfish nach diesen Vorfällen von der Bildfläche verschwand, gibt es die Firma Komodia nach wie vor. Auch eine Software namens Privdog, die von einer Firma des Comodo-CEOs entwickelt wurde, hatte eine ähnlich katastrophale Sicherheitslücke, wie der Autor dieses Artikels aufdecken konnte. Auf Dell-Laptops wurde ein ähnliches Problem gefunden.

 HTTPS-Interception: Sicherheitsprodukte gefährden HTTPSSicherheitslücken in Kaspersky-Software 

eye home zur Startseite
FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla



Anzeige

Stellenmarkt
  1. Bertrandt Services GmbH, Ulm
  2. Robert Bosch GmbH, Reutlingen
  3. operational services GmbH & Co. KG, Frankfurt, Berlin
  4. Dirk Rossmann GmbH, Burgwedel


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. 24,99€ (Vorbesteller-Preisgarantie)
  3. 29,97€

Folgen Sie uns
       


  1. Crypto-Bibliothek

    OpenSSL bekommt Patch-Dienstag und wird transparenter

  2. Spectre und Meltdown

    Kleine Helferlein überprüfen den Rechner

  3. Anfrage

    Senat sieht sich für WLAN im U-Bahn-Tunnel nicht zuständig

  4. Gaming

    Über 3 Millionen deutsche Spieler treiben regelmäßig E-Sport

  5. Raumfahrt

    Weltraummüll-Räumkommando mit Laserkanonen

  6. Smartphone

    Nokia 2 kommt für 120 Euro nach Deutschland

  7. Remote Desktop

    Teamviewer kommt für IoT-Geräte wie den Raspberry Pi

  8. Telekom-Chef

    Regulierung soll an schlechtem Glasfaserausbau schuld sein

  9. Hacker One

    Nur 20 Prozent der Bounty-Jäger hacken in Vollzeit

  10. Memories of Mars

    Basisbau und Überlebenskampf auf dem Roten Planeten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Indiegames-Rundschau: Krawall mit Knetmännchen und ein Mann im Fass
Indiegames-Rundschau
Krawall mit Knetmännchen und ein Mann im Fass
  1. Games 2017 Die besten Indiespiele des Jahres
  2. Indiegames-Rundschau Von Weltraumpiraten und dem Wunderdoktor

BeA: Soldan will Anwälten das Internet ausdrucken
BeA
Soldan will Anwälten das Internet ausdrucken
  1. BeA Bundesrechtsanwaltskammer stellt Zahlungen an Atos ein
  2. Chipkarten-Hersteller Thales übernimmt Gemalto
  3. Atos Gemalto bekommt 4,3-Milliarden-Euro-Angebot

Nachbarschaftsnetzwerke: Nebenan statt mittendrin
Nachbarschaftsnetzwerke
Nebenan statt mittendrin
  1. Facebook Nutzer sollen Vertrauenswürdigkeit von Newsquellen bewerten
  2. Nextdoor Das soziale Netzwerk für den Blockwart
  3. Hasskommentare Neuer Eco-Chef Süme will nicht mit AfD reden

  1. Re: Noch jemand hier der Fort-wo ließt? :D

    Klausens | 13:36

  2. Re: Was bedeutet "Künstliche Intelligenz" eigentlich?

    Trockenobst | 13:36

  3. Re: Verrechnet?

    Arsenal | 13:36

  4. Die Flächenpreisfrage !

    lester | 13:35

  5. Re: Schön die Fehler bei anderen Suchen

    Hackfleisch | 13:33


  1. 13:28

  2. 13:21

  3. 13:01

  4. 12:34

  5. 12:04

  6. 11:43

  7. 11:29

  8. 10:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel