Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Artikel veröffentlicht am , Hanno Böck
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Die Software PrivDog wirbt damit, dass das Programm die Privatsphäre des Nutzers schützt. Das Tool tauscht dafür Werbebanner auf Webseiten aus, die es als gefährlich erachtet. Für seine Funktion sendet Privdog jede Webseiten-URL, die ein Nutzer ansurft, an einen Server des Herstellers Adtrustmedia. Bis gestern erfolgte dies auch noch unverschlüsselt über HTTP.

Comodo lieferte Privdog-Variante aus

Stellenmarkt
  1. Security Monitoring Expert (m/w/d)
    Deichmann SE, Essen
  2. Business Analyst / Process Designer (f/m/d)
    NEXPLORE Technology GmbH, Essen
Detailsuche

Wie wir bereits berichtet hatten, geriet Privdog vor einigen Tagen in die Schlagzeilen, weil das Programm den Schutz von HTTPS-Zertifikaten aushebelte, ähnlich wie das bei der von Lenovo verbreiteten Software Superfish der Fall ist. Für Aufmerksamkeit sorgte dabei vor allem, dass Privdog vom Vorsitzenden der Zertifizierungsstelle Comodo gegründet wurde. Comodo bewirbt das Programm auch auf seiner Webseite. Eine ältere Version von Privdog ist auch Teil von Comodo Internet Security, allerdings war diese Version von dem HTTPS-Zertifikatsproblem nicht betroffen. Das jetzt neu entdeckte Problem betrifft aber beide Privdog-Varianten.

Privdog sendete dabei während des Surfens jede URL, die ein Benutzer aufruft, JSON-codiert und unverschlüsselt an die Webadresse http://ads.adtrustmedia.com/safecheck.php. Das ist aus zwei Gründen problematisch: Zum einen ist es dadurch Adtrustmedia möglich, die Surfgewohnheiten seiner Nutzer genau zu verfolgen. Zum anderen wurden auch URLs von HTTPS-Webseiten unverschlüsselt übertragen.

HTTPS-Schutz für URLs ausgehebelt

Letzteres kann ganz konkret ein Sicherheitsproblem darstellen. HTTPS schützt zwar keine Metadaten, es ist also einem passiven Beobachter des Datenverkehrs jederzeit möglich, herauszufinden, welche Domains ein Nutzer aufruft. Allerdings werden die konkreten URLs, die ein Nutzer ansurft, bei HTTPS verschlüsselt. Das ist auch wichtig, denn in manchen Webanwendungen enthalten die URLs sensible Daten wie beispielsweise Session-IDs oder Sicherheitstokens. Durch die unverschlüsselte Übertragung waren sämtliche URLs, die ein Nutzer aufruft, für einen Angreifer im Klartext lesbar.

Golem Karrierewelt
  1. Einführung in das Zero Trust Security Framework (virtueller Ein-Tages-Workshop)
    18.01.2023, virtuell
  2. DP-203 Data Engineering on Microsoft Azure: virtueller Vier-Tage-Workshop
    24.-27.01.2023, virtuell
Weitere IT-Trainings

Die Privdog-Entwickler sehen kein Problem darin, dass das Programm URLs nach Hause sendet. "In Übereinstimmung mit unseren Privatsphärerichtlinien werden alle Daten anonym gesendet, und wir speichern keine persönlich identifizierbaren Informationen", schreibt Privdog dazu. "Die API wird genutzt, um verschiedene Arten von Betrug zu verhindern, beispielsweise Klickbetrug, was ein großes Problem im Internet darstellt."

Neue Konfiguration verschlüsselt, aber sendet weiter

Privdog verteilt nun nach eigenen Angaben eine neue Konfiguration an seine Clients, die dafür sorgen soll, dass diese Daten künftiv via HTTPS übertragen werden. Damit kann sie zwar ein Angreifer nicht mehr mitlesen. Für die Firma Adtrustmedia besteht aber natürlich weiterhin die Möglichkeit, die Daten zu sammeln und entsprechend auszuwerten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Microsoft Surface Pro 9 im Test
Das Surface Pro 9 macht uns ARM

Qualcomms Snapdragon 8cx Gen3 passt gut zum Surface Pro 9. Es hat eine lange Akkulaufzeit und läuft lüfterlos. Warum ist es nur so teuer?
Ein Test von Oliver Nickel

Microsoft Surface Pro 9 im Test: Das Surface Pro 9 macht uns ARM
Artikel
  1. Oliver Blume: VW verwirft Trinity-Modell und plant nochmal neu
    Oliver Blume
    VW verwirft Trinity-Modell und plant nochmal neu

    VWs Ingenieure müssen den Trinity neu planen, weil das Design bei der Konzernspitze durchgefallen ist. Zudem gibt es eine neue Softwarestrategie.

  2. Google: Android-Updates sollen schneller verarbeitet werden
    Google
    Android-Updates sollen schneller verarbeitet werden

    Android-Updates brauchen mitunter eine ganze Weile, bis sie abgeschlossen sind. Das könnte sich in Zukunft ändern.

  3. Soziale Netzwerke: Liken bei Hasspostings kann strafbar sein
    Soziale Netzwerke
    Liken bei Hasspostings kann strafbar sein

    Facebook-Nutzer, die nicht davor zurückschrecken, diskriminierende oder beleidigende oder Postings zu liken, sollten sich das gut überlegen. Denn das Drücken des Gefällt-mir-Buttons kann hier erhebliche rechtliche Folgen haben.
    Von Harald Büring

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • PS5-Bundle vorbestellbar • SanDisk Extreme PRO 1TB 141,86€ • Amazon-Geräte bis -53% • Mindstar: Alphacool Eiswolf 2 AiO 360 199€, AMD-Ryzen-CPUs zu Bestpreisen • Alternate: WD_BLACK P10 2TB 76,89€ • Advent-Tagesdeals bei MediaMarkt/Saturn • Thrustmaster Ferrari GTE Wheel 87,60€ [Werbung]
    •  /