• IT-Karriere:
  • Services:

Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Artikel veröffentlicht am , Hanno Böck
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Die Software PrivDog wirbt damit, dass das Programm die Privatsphäre des Nutzers schützt. Das Tool tauscht dafür Werbebanner auf Webseiten aus, die es als gefährlich erachtet. Für seine Funktion sendet Privdog jede Webseiten-URL, die ein Nutzer ansurft, an einen Server des Herstellers Adtrustmedia. Bis gestern erfolgte dies auch noch unverschlüsselt über HTTP.

Comodo lieferte Privdog-Variante aus

Stellenmarkt
  1. ITM Medical Isotopes GmbH, Garching Raum München
  2. CCV GmbH, Hamburg

Wie wir bereits berichtet hatten, geriet Privdog vor einigen Tagen in die Schlagzeilen, weil das Programm den Schutz von HTTPS-Zertifikaten aushebelte, ähnlich wie das bei der von Lenovo verbreiteten Software Superfish der Fall ist. Für Aufmerksamkeit sorgte dabei vor allem, dass Privdog vom Vorsitzenden der Zertifizierungsstelle Comodo gegründet wurde. Comodo bewirbt das Programm auch auf seiner Webseite. Eine ältere Version von Privdog ist auch Teil von Comodo Internet Security, allerdings war diese Version von dem HTTPS-Zertifikatsproblem nicht betroffen. Das jetzt neu entdeckte Problem betrifft aber beide Privdog-Varianten.

Privdog sendete dabei während des Surfens jede URL, die ein Benutzer aufruft, JSON-codiert und unverschlüsselt an die Webadresse http://ads.adtrustmedia.com/safecheck.php. Das ist aus zwei Gründen problematisch: Zum einen ist es dadurch Adtrustmedia möglich, die Surfgewohnheiten seiner Nutzer genau zu verfolgen. Zum anderen wurden auch URLs von HTTPS-Webseiten unverschlüsselt übertragen.

HTTPS-Schutz für URLs ausgehebelt

Letzteres kann ganz konkret ein Sicherheitsproblem darstellen. HTTPS schützt zwar keine Metadaten, es ist also einem passiven Beobachter des Datenverkehrs jederzeit möglich, herauszufinden, welche Domains ein Nutzer aufruft. Allerdings werden die konkreten URLs, die ein Nutzer ansurft, bei HTTPS verschlüsselt. Das ist auch wichtig, denn in manchen Webanwendungen enthalten die URLs sensible Daten wie beispielsweise Session-IDs oder Sicherheitstokens. Durch die unverschlüsselte Übertragung waren sämtliche URLs, die ein Nutzer aufruft, für einen Angreifer im Klartext lesbar.

Die Privdog-Entwickler sehen kein Problem darin, dass das Programm URLs nach Hause sendet. "In Übereinstimmung mit unseren Privatsphärerichtlinien werden alle Daten anonym gesendet, und wir speichern keine persönlich identifizierbaren Informationen", schreibt Privdog dazu. "Die API wird genutzt, um verschiedene Arten von Betrug zu verhindern, beispielsweise Klickbetrug, was ein großes Problem im Internet darstellt."

Neue Konfiguration verschlüsselt, aber sendet weiter

Privdog verteilt nun nach eigenen Angaben eine neue Konfiguration an seine Clients, die dafür sorgen soll, dass diese Daten künftiv via HTTPS übertragen werden. Damit kann sie zwar ein Angreifer nicht mehr mitlesen. Für die Firma Adtrustmedia besteht aber natürlich weiterhin die Möglichkeit, die Daten zu sammeln und entsprechend auszuwerten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Anzeige
Spiele-Angebote
  1. 7,77€
  2. (u. a. Overcooked! 2 für 11,50€, The Survivalists für 18,74€, Worms Armageddon für 7,50€)
  3. 22,99€

rjwolke 27. Feb 2015

Ich stimme absolut zu, soweit ich das sehen kann ist PrivDog total behindert konzipiert...


Folgen Sie uns
       


Sprachsteuerung mit Apple Music im Vergleich

Eigentlich sollen smarte Lautsprecher den Musikkonsum auf Zuruf besonders bequem machen - aber das gelingt oftmals nicht. Überraschenderweise spielen Siri, Google Assistant und Alexa bei gleichen Sprachbefehlen andere Sachen, obwohl alle auf Apple Music zugreifen.

Sprachsteuerung mit Apple Music im Vergleich Video aufrufen
CPU und GPU vereint: Wie die Fusion zu AMDs Zukunft wurde
CPU und GPU vereint
Wie die Fusion zu AMDs Zukunft wurde

Mit Lauchgemüse und Katzen-Kernen zu Playstation und Xbox: Wir blicken auf ein Jahrzehnt an Accelerated Processing Units (APUs) zurück.
Ein Bericht von Marc Sauter


    Quereinsteiger: Mit dem Master in die IT
    Quereinsteiger
    Mit dem Master in die IT

    Bachelorabsolventen von Fachhochschulen gehen überwiegend sofort in den Job. Einen Master machen sie später und dann gerne in IT. Studienangebote für Quereinsteiger gibt es immer mehr.
    Ein Bericht von Peter Ilg

    1. IT-Arbeit Es geht auch ohne Chefs
    2. 42 Wolfsburg Programmieren lernen ohne Abi, Lehrer und Gebühren
    3. Betriebsräte in der Tech-Branche Freunde sein reicht manchmal nicht

    Facebook: Whatsapp stellt Nutzern ein Ultimatum
    Facebook
    Whatsapp stellt Nutzern ein Ultimatum

    Nutzer, die den neuen Geschäftsbedingungen und der neuen Datenschutzerklärung nicht bis zum 8. Februar zustimmen, können Whatsapp nicht weiter verwenden.

    1. Facebook Whatsapp verschiebt Einführung der neuen Datenschutzregeln
    2. Watchchat Whatsapp mit der Apple Watch bedienen
    3. Strafverfolgung BKA liest Nachrichten per Whatsapp-Synchronisation mit

      •  /