Abo
  • Services:
Anzeige
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken.
Full Visibility into SSL Traffic - mit solchen Features werben viele Produkte. Oft birgt das schwerwiegende Sicherheitsrisiken. (Bild: Black Hat 2015/Hanno Böck)

Bis zu zehn Prozent der Verbindungen betroffen

Insgesamt an drei verschiedenen Stellen wurde versucht, die Rate der HTTPS-Interception-Produkte zu messen: Bei Cloudflare - hier kamen die Autoren mit den genannten Schwierigkeiten auf 10 Prozent -, bei den Update-Servern von Mozilla (4 Prozent) und bei verschiedenen E-Commerce-Seiten, die mit den Studienautoren kooperierten (6 Prozent). Alle diese Zahlen sind deutlich höher als jene in früheren Schätzungen.

Zahlreiche Produkte wiesen dabei katastrophale Sicherheitslücken auf, mit denen ein Angreifer die Sicherheit der TLS-Verschlüsselung komplett untergraben könnte. Darunter fallen beispielsweise Produkte, die Zertifikate nicht prüfen oder völlig veraltete und unsichere Verschlüsselungsalgorithmen zulassen. Diese Unsicherheiten beschränkten sich keineswegs auf Billigprodukte. Auch mehrere Enterprise-Appliances von Firmen wie Microsoft, A10, Checkpoint, Cisco und WebTitan waren darunter.

Alle Produkte senken die Sicherheit von HTTPS

Wirklich gut schneidet überhaupt kein Produkt ab. Zwar erhalten einige ein "A", das bedeutet aber lediglich, dass die TLS-Funktionalität selbst korrekt implementiert ist. Moderne Browser unterstützen jedoch noch andere Sicherheitsfeatures, die mit TLS interagieren, beispielsweise HTTP Public Key Pinning, zentralisierte Zertifikats-Revocation-Listen, Certificate Transparency und OCSP Must-Staple. "Keines der Produkte, die wir getestet haben, unterstützt diese Features", schreiben die Studienautoren dazu.

Anzeige

Überraschend kommt das Ganze im Grunde nicht. Immer wieder wurden in der Vergangenheit Sicherheitslücken in derartigen Produkten entdeckt. 2015 sorgte die Software Superfish für Schlagzeilen. Lenovo hatte diese Werbesoftware auf Laptops vorinstalliert. Alle Installationen nutzten dasselbe Root-Zertifikat samt identischem privaten Schlüssel. Wer einmal im Besitz des Schlüssels war, konnte nach Belieben die HTTPS-Verbindungen der Lenovo-Nutzer angreifen.

Superfish nutzte eine Software namens Komodia, die in unzähligen anderen Produkten - von Jugendschutzfiltern bis hin zu Malware - zum Einsatz kam. Während Superfish nach diesen Vorfällen von der Bildfläche verschwand, gibt es die Firma Komodia nach wie vor. Auch eine Software namens Privdog, die von einer Firma des Comodo-CEOs entwickelt wurde, hatte eine ähnlich katastrophale Sicherheitslücke, wie der Autor dieses Artikels aufdecken konnte. Auf Dell-Laptops wurde ein ähnliches Problem gefunden.

 HTTPS-Interception: Sicherheitsprodukte gefährden HTTPSSicherheitslücken in Kaspersky-Software 

eye home zur Startseite
FreiGeistler 10. Feb 2017

Lieber Virus Total Uploader im "Senden an", habe eine Krücke von Laptop. Firefox warnt...

TrollNo1 10. Feb 2017

Hier könnte Ihre Werbung stehen!

ArcherV 10. Feb 2017

'zilla



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Giesecke & Devrient GmbH, München
  3. Telekom Deutschland GmbH, Bonn
  4. Vorwerk & Co. KG, Düsseldorf


Anzeige
Hardware-Angebote
  1. und bis zu 60€ Steam-Guthaben erhalten
  2. 543,73€
  3. ab 649,90€

Folgen Sie uns
       


  1. Iphone-Hersteller

    Apple testet 5G-Technologie

  2. Cern

    Der LHC ist zurück aus der Winterpause

  3. Jamboard

    Googles Smartboard kommt in den USA auf den Markt

  4. Überwachung

    Wikipedia darf nun doch die NSA verklagen

  5. Prototypen

    BOE zeigt AMQLED-Displays mit 5 und 14 Zoll

  6. Passwortmanager

    1Password bietet sichere Passwörter beim Grenzübertritt

  7. QD-LCD mit LED-BLU

    Forscher kritisieren Samsungs QLED-Marketing

  8. Amazon, Maxdome, Netflix und Co.

    EU will europäische Filmquote etablieren

  9. XPS 13 (9365) im Test

    Dells Convertible zeigt alte Stärken und neue Schwächen

  10. Glaskorrosion

    CCDs in alten Leicas werden nicht mehr gratis ausgetauscht



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Google I/O: Google verzückt die Entwickler
Google I/O
Google verzückt die Entwickler
  1. Neue Version im Hands On Android TV bekommt eine vernünftige Kanalübersicht
  2. Play Store Google nimmt sich Apps mit schlechten Bewertungen vor
  3. Daydream Standalone-Headsets auf Preisniveau von Vive und Oculus Rift

Panasonic Lumix GH5 im Test: Die Kamera, auf die wir gewartet haben
Panasonic Lumix GH5 im Test
Die Kamera, auf die wir gewartet haben
  1. Die Woche im Video Scharfes Video, spartanisches Windows, spaßige Switch

Asus B9440 im Test: Leichtes Geschäftsnotebook liefert zu wenig Business
Asus B9440 im Test
Leichtes Geschäftsnotebook liefert zu wenig Business
  1. ROG-Event in Berlin Asus zeigt gekrümmtes 165-Hz-Quantum-Dot-Display und mehr

  1. Re: Grundlos?

    M.P. | 11:55

  2. Wie siehts eig. mit australien aus?

    My1 | 11:54

  3. Re: 1Terabit braucht in 10 Jahren keiner mehr...

    __destruct() | 11:54

  4. Re: Taugen Passwortmanager was?

    david_rieger | 11:54

  5. Re: 30% Müll

    Niaxa | 11:53


  1. 11:57

  2. 11:32

  3. 11:21

  4. 10:52

  5. 10:40

  6. 10:19

  7. 10:00

  8. 09:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel