Privatsphäre: Privdog schickt Daten unverschlüsselt nach Hause

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Artikel veröffentlicht am , Hanno Böck
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause.
Privdog behauptet, die Privatsphäre zu schützen. Dabei sendet es umfangreich Daten nach Hause. (Bild: Screenshot / Hanno Böck)

Die Software PrivDog wirbt damit, dass das Programm die Privatsphäre des Nutzers schützt. Das Tool tauscht dafür Werbebanner auf Webseiten aus, die es als gefährlich erachtet. Für seine Funktion sendet Privdog jede Webseiten-URL, die ein Nutzer ansurft, an einen Server des Herstellers Adtrustmedia. Bis gestern erfolgte dies auch noch unverschlüsselt über HTTP.

Comodo lieferte Privdog-Variante aus

Stellenmarkt
  1. Junior Product-Owner (m/w/d) Software-Entwicklung
    MVZ Martinsried GmbH, Martinsried
  2. Serviceexperte (m/w/d) IT Identity Management (IDM) & AD
    Dürr IT Service GmbH, Bietigheim-Bissingen
Detailsuche

Wie wir bereits berichtet hatten, geriet Privdog vor einigen Tagen in die Schlagzeilen, weil das Programm den Schutz von HTTPS-Zertifikaten aushebelte, ähnlich wie das bei der von Lenovo verbreiteten Software Superfish der Fall ist. Für Aufmerksamkeit sorgte dabei vor allem, dass Privdog vom Vorsitzenden der Zertifizierungsstelle Comodo gegründet wurde. Comodo bewirbt das Programm auch auf seiner Webseite. Eine ältere Version von Privdog ist auch Teil von Comodo Internet Security, allerdings war diese Version von dem HTTPS-Zertifikatsproblem nicht betroffen. Das jetzt neu entdeckte Problem betrifft aber beide Privdog-Varianten.

Privdog sendete dabei während des Surfens jede URL, die ein Benutzer aufruft, JSON-codiert und unverschlüsselt an die Webadresse http://ads.adtrustmedia.com/safecheck.php. Das ist aus zwei Gründen problematisch: Zum einen ist es dadurch Adtrustmedia möglich, die Surfgewohnheiten seiner Nutzer genau zu verfolgen. Zum anderen wurden auch URLs von HTTPS-Webseiten unverschlüsselt übertragen.

HTTPS-Schutz für URLs ausgehebelt

Letzteres kann ganz konkret ein Sicherheitsproblem darstellen. HTTPS schützt zwar keine Metadaten, es ist also einem passiven Beobachter des Datenverkehrs jederzeit möglich, herauszufinden, welche Domains ein Nutzer aufruft. Allerdings werden die konkreten URLs, die ein Nutzer ansurft, bei HTTPS verschlüsselt. Das ist auch wichtig, denn in manchen Webanwendungen enthalten die URLs sensible Daten wie beispielsweise Session-IDs oder Sicherheitstokens. Durch die unverschlüsselte Übertragung waren sämtliche URLs, die ein Nutzer aufruft, für einen Angreifer im Klartext lesbar.

Golem Akademie
  1. Microsoft 365 Security Workshop
    27.-29. Oktober 2021, online
  2. CEH Certified Ethical Hacker v11
    8.-12. November 2021, online
  3. Penetration Testing Fundamentals
    17.-18. Januar 2022, online
Weitere IT-Trainings

Die Privdog-Entwickler sehen kein Problem darin, dass das Programm URLs nach Hause sendet. "In Übereinstimmung mit unseren Privatsphärerichtlinien werden alle Daten anonym gesendet, und wir speichern keine persönlich identifizierbaren Informationen", schreibt Privdog dazu. "Die API wird genutzt, um verschiedene Arten von Betrug zu verhindern, beispielsweise Klickbetrug, was ein großes Problem im Internet darstellt."

Neue Konfiguration verschlüsselt, aber sendet weiter

Privdog verteilt nun nach eigenen Angaben eine neue Konfiguration an seine Clients, die dafür sorgen soll, dass diese Daten künftiv via HTTPS übertragen werden. Damit kann sie zwar ein Angreifer nicht mehr mitlesen. Für die Firma Adtrustmedia besteht aber natürlich weiterhin die Möglichkeit, die Daten zu sammeln und entsprechend auszuwerten.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Macbook Pro
Apple bestätigt High Power Mode für M1 Max

Käufer des Macbook Pro mit M1 Max können wohl in MacOS Monterey per Klick noch mehr Leistung aus dem Gerät herausholen.

Macbook Pro: Apple bestätigt High Power Mode für M1 Max
Artikel
  1. Bundesregierung: Autobahn App 2.0 im ersten Quartal 2022 geplant
    Bundesregierung
    Autobahn App 2.0 im ersten Quartal 2022 geplant

    Die Opposition kritisiert die massiven Kosten, Nutzer bewerten die App schlecht. Dennoch soll die Autobahn App nun erweitert werden.

  2. Klage: Google soll E-Privacy und Werbemarkt manipuliert haben
    Klage
    Google soll E-Privacy und Werbemarkt manipuliert haben

    Mehrere US-Bundesstaaten haben Klage gegen Google eingereicht. Das Unternehmen rühmt sich derweil, Regulierungen verlangsamt zu haben.

  3. Silence S04: Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt
    Silence S04
    Günstiges Elektroauto mit herausnehmbaren Akku vorgestellt

    Beim Elektroauto Silence S04 kann der Nutzer den Akku selbst wechseln, wenn dieser leergefahren ist.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Saturn-Gutscheinheft mit Direktabzügen und Zugaben • Nur noch heute: Mehrwertsteuer-Aktion bei MediaMarkt • Roccat Suora 43,99€ • Razer Goliathus Extended Chroma Mercury ab 26,99€ • Seagate SSDs & HDDs günstiger • Alternate (u. a. ASUS ROG Strix Z590-A Gaming WIFI 258€) [Werbung]
    •  /