Abo
  • Services:

Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Artikel veröffentlicht am , Hanno Böck
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Die Software PrivDog wirbt damit, dass das Programm die Privatsphäre des Nutzers schützt. Das Tool tauscht dafür Werbebanner auf Webseiten aus, die es als gefährlich erachtet. Für seine Funktion sendet Privdog jede Webseiten-URL, die ein Nutzer ansurft, an einen Server des Herstellers Adtrustmedia. Bis gestern erfolgte dies auch noch unverschlüsselt über HTTP.

Comodo lieferte Privdog-Variante aus

Stellenmarkt
  1. BRZ Deutschland GmbH, Nürnberg
  2. Versicherungskammer Bayern, München

Wie wir bereits berichtet hatten, geriet Privdog vor einigen Tagen in die Schlagzeilen, weil das Programm den Schutz von HTTPS-Zertifikaten aushebelte, ähnlich wie das bei der von Lenovo verbreiteten Software Superfish der Fall ist. Für Aufmerksamkeit sorgte dabei vor allem, dass Privdog vom Vorsitzenden der Zertifizierungsstelle Comodo gegründet wurde. Comodo bewirbt das Programm auch auf seiner Webseite. Eine ältere Version von Privdog ist auch Teil von Comodo Internet Security, allerdings war diese Version von dem HTTPS-Zertifikatsproblem nicht betroffen. Das jetzt neu entdeckte Problem betrifft aber beide Privdog-Varianten.

Privdog sendete dabei während des Surfens jede URL, die ein Benutzer aufruft, JSON-codiert und unverschlüsselt an die Webadresse http://ads.adtrustmedia.com/safecheck.php. Das ist aus zwei Gründen problematisch: Zum einen ist es dadurch Adtrustmedia möglich, die Surfgewohnheiten seiner Nutzer genau zu verfolgen. Zum anderen wurden auch URLs von HTTPS-Webseiten unverschlüsselt übertragen.

HTTPS-Schutz für URLs ausgehebelt

Letzteres kann ganz konkret ein Sicherheitsproblem darstellen. HTTPS schützt zwar keine Metadaten, es ist also einem passiven Beobachter des Datenverkehrs jederzeit möglich, herauszufinden, welche Domains ein Nutzer aufruft. Allerdings werden die konkreten URLs, die ein Nutzer ansurft, bei HTTPS verschlüsselt. Das ist auch wichtig, denn in manchen Webanwendungen enthalten die URLs sensible Daten wie beispielsweise Session-IDs oder Sicherheitstokens. Durch die unverschlüsselte Übertragung waren sämtliche URLs, die ein Nutzer aufruft, für einen Angreifer im Klartext lesbar.

Die Privdog-Entwickler sehen kein Problem darin, dass das Programm URLs nach Hause sendet. "In Übereinstimmung mit unseren Privatsphärerichtlinien werden alle Daten anonym gesendet, und wir speichern keine persönlich identifizierbaren Informationen", schreibt Privdog dazu. "Die API wird genutzt, um verschiedene Arten von Betrug zu verhindern, beispielsweise Klickbetrug, was ein großes Problem im Internet darstellt."

Neue Konfiguration verschlüsselt, aber sendet weiter

Privdog verteilt nun nach eigenen Angaben eine neue Konfiguration an seine Clients, die dafür sorgen soll, dass diese Daten künftiv via HTTPS übertragen werden. Damit kann sie zwar ein Angreifer nicht mehr mitlesen. Für die Firma Adtrustmedia besteht aber natürlich weiterhin die Möglichkeit, die Daten zu sammeln und entsprechend auszuwerten.



Anzeige
Blu-ray-Angebote
  1. 5€ inkl. FSK-18-Versand
  2. 5€ inkl. FSK-18-Versand
  3. (u. a. 3 Blu-rays für 15€, 2 Neuheiten für 15€)

rjwolke 27. Feb 2015

Ich stimme absolut zu, soweit ich das sehen kann ist PrivDog total behindert konzipiert...


Folgen Sie uns
       


Padrone-Maus-Ring - Kampagnenvideo (Indiegogo)

Der Ring des Schweizer Startups Padrone soll die Maus überflüssig machen.

Padrone-Maus-Ring - Kampagnenvideo (Indiegogo) Video aufrufen
Raspberry Pi: Spieglein, Spieglein, werde smart!
Raspberry Pi
Spieglein, Spieglein, werde smart!

Ein Spiegel, ein ausrangierter Monitor und ein Raspberry Pi sind die grundlegenden Bauteile, mit denen man sich selbst einen Smart Mirror basteln kann. Je nach Interesse können dort dann das Wetter, Fahrpläne, Nachrichten oder auch stimmungsvolle Bilder angezeigt werden.
Eine Anleitung von Christopher Bichl

  1. IoT mit LoRa und Raspberry Pi Die DNA des Internet der Dinge
  2. Bewegungssensor auswerten Mit Wackeln programmieren lernen
  3. Raspberry Pi Cam Babycam mit wenig Aufwand selbst bauen

Ottobock: Wie ein Exoskelett die Arbeit erleichtert
Ottobock
Wie ein Exoskelett die Arbeit erleichtert

Es verleiht zwar keine Superkräfte. Bei der Arbeit in unbequemer Haltung zum Beispiel mit dem Akkuschrauber unterstützt das Exoskelett Paexo von Ottobock aber gut, wie wir herausgefunden haben. Exoskelette mit aktiver Unterstützung sind in der Entwicklung.
Ein Erfahrungsbericht von Werner Pluta


    Tesla: Kleiner Gewinn, ungewisse Zukunft
    Tesla
    Kleiner Gewinn, ungewisse Zukunft

    Tesla erzielt im vierten Quartal 2018 einen kleinen Gewinn. Doch mit Entlassungen, Schuldenberg, Preisanhebungen beim Laden, Wegfall des Empfehlungsprogramms und zunehmendem Wettbewerb durch andere Hersteller sieht die Zukunft des Elektroauto-Herstellers durchwachsen aus.
    Eine Analyse von Dirk Kunde

    1. Tesla Model 3 Tesla macht alle Varianten des Model 3 günstiger
    2. Kundenprotest Tesla senkt Supercharger-Preise wieder
    3. Stromladetankstellen Tesla erhöht Supercharger-Preise drastisch

      •  /