Abo
  • Services:
Anzeige
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Privdog: Software hebelt HTTPS-Sicherheit aus

PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Anzeige

Comodo hat offenbar eine Software beworben, die ähnlich wie Superfish eine riesige Sicherheitslücke in die HTTPS-Verschlüsselung reißt. Privdog heißt das Programm, das offiziell dem Zweck dient, Werbung auf Webseiten durch "vertrauenswürdige Werbung" zu ersetzen. Das soll dem Schutz der Privatsphäre des Anwenders dienen.

Ähnlich wie die Software Superfish, die in den letzten Tagen Schlagzeilen machte und auf Lenovo-Laptops vorinstalliert war, greift Privdog in den TLS-Datenstrom eines Nutzers ein, um auch verschlüsselte HTTPS-Webseiten manipulieren zu können. Dafür wird ein Root-Zertifikat im Betriebssystem installiert. Allerdings wird dies anders implementiert als bei Superfish.

Beliebige Zertifizierungsstelle akzeptiert

Während bei Superfish auf allen Geräten dasselbe Zertifikat und derselbe private Schlüssel zum Einsatz kommen, ist Privdog hier schlauer: Es wird bei jeder Installation ein neues Zertifikat erstellt. Allerdings, sicherer ist das Ganze nicht, denn Privdog ersetzt auch Zertifikate, die überhaupt nicht gültig sind. Sie können von einer x-beliebigen Zertifizierungsstelle unterschrieben sein, auch von einer selbst generierten. Wer Privdog installiert hat, kann also auf beliebige Webseiten mit falschen Zertifikaten surfen und merkt nichts davon.

Ein besonders eigenartiges Verhalten zeigt Privdog, wenn man auf Webseiten surft, deren Zertifikat selbstsigniert ist. Diese Zertifikate werden dann durch ebenfalls selbstsignierte Zertifikate ersetzt, die gleichzeitig automatisch in den Root-Zertifikatsspeicher des Betriebssystems installiert werden. Diese Zertifikate haben außerdem einen RSA-Schlüssel mit einer Schlüssellänge von 512 Bit, was völlig unsicher ist. Die normalen Zertifikate, die Privdog ausliefert, enthalten RSA-Schlüssel mit 1.024 Bit, was ebenfalls als problematisch gilt. Allerdings: Die Schlüssellängen sind das geringste Problem von Privdog, da die gesamte Technologie sowieso komplett unsicher ist.

Comodo verkauft TLS-Zertifikate und untergräbt deren Sicherheit

Privdog wurde auf der Webseite von Comodo beworben. Zwischen Comodo und Privdog gibt es offenbar diverse personelle Überschneidungen. Comodo-CEO Melih Abdulhayoglu hat die Firma Privdog mitgegründet. Eine frühere Version von Privdog wurde mit verschiedenen Produkten von Comodo ausgeliefert, allerdings funktioniert diese Version anders und ist von dem Problem nicht betroffen.

Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, bewirbt also ein Produkt, das diese Sicherheit untergräbt.

Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

Entdeckt wurden die Sicherheitsprobleme von Privdog gestern Abend, der Autor dieses Artikels war daran beteiligt. In einem IRC-Chat hatten sich verschiedene Personen versammelt, die mit der Analyse von Superfish und ähnlichen Produkten beschäftigt waren. Ein Teilnehmer verwies auf einen Thread auf Hacker News, in dem ein Anwender berichtete, dass der Superfish-Test von Filippo Valsorda eine Warnung anzeigte. Eine Analyse ergab schnell, dass Privdog nicht die Technologie von Komodia verwendete, die bei Superfish das Problem war, sondern dass es sich bei Privdog um ein anders gelagertes Sicherheitsproblem handelte. Eine englischsprachige Zusammenfassung findet sich im Blog des Artikelautors.

Nachtrag vom 25. Februar 2015, 14:14 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben, dass Privdog von Comodo ausgeliefert wurde. Das stimmte zwar, jedoch ist die von Comodo ausgelieferte Version von dem fraglichen Sicherheitsproblem nicht betroffen. Wir haben die Formulierung entsprechend geändert, um das klarzustellen. Von Privdog gibt es inzwischen ein Advisory und ein Update.


eye home zur Startseite
FreiGeistler 26. Feb 2015

Finde ich problematisch. Für dich ist es sicher. Aber du wirst es kaum mitbekommen wenn...

stuempel 24. Feb 2015

Es geht nicht darum, dass Microsoft jede App auf Herz und Niere prüft, es geht darum...

dieser_post_ist... 24. Feb 2015

Ganz im Unrecht ist nicodelos nicht. Comodo hat in der Vergangenheit schon mehrfach ein...

fuzzy 23. Feb 2015

Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.



Anzeige

Stellenmarkt
  1. ElringKlinger AG, Dettingen an der Erms
  2. ROHDE & SCHWARZ GmbH & Co. KG, München
  3. EOS GmbH Electro Optical Systems, Krailling bei München
  4. DATAGROUP Köln GmbH, Düsseldorf


Anzeige
Spiele-Angebote
  1. 19,99€
  2. 69,99€ (Release 31.03.)
  3. 11,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. Classic Factory

    Elextra, der Elektro-Supersportwagen aus der Schweiz

  2. Docsis 3.1

    AVM arbeitet an 10-GBit/s-Kabelrouter

  3. Upspin

    Google-Angestellte basteln an globalem File-Sharing-System

  4. Apple Park

    Apple bezieht das Raumschiff

  5. Google Cloud Platform

    Tesla-Grafik für maschinelles Lernen verfügbar

  6. Ryzen

    AMDs Achtkern-CPUs sind schneller als erwartet

  7. Deutsche Glasfaser

    Gemeinde erreicht Glasfaser-Quote am letzten Tag

  8. Suchmaschine

    Google macht angepasste Site Search dicht

  9. Hawkspex mobile

    Diese App macht das Smartphone zum Spektrometer

  10. Asus Tinker Board im Test

    Buntes Lotterielos rechnet schnell



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Apple: Planet der affigen Fernsehshows
Apple
Planet der affigen Fernsehshows
  1. Noch 100 Tage Unitymedia schaltet Analogfernsehen schrittweise ab
  2. Streaming Vodafone GigaTV ermöglicht Fernsehen unterwegs
  3. Kabelnetz Unitymedia hat neue Preise für Internetzugänge

Mobile-Games-Auslese: Schiffbruch auf der Milchstraße für mobile Spieler
Mobile-Games-Auslese
Schiffbruch auf der Milchstraße für mobile Spieler

München: Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
München
Wie Limux unter Ausschluss der Öffentlichkeit zerstört wird
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so

  1. Re: geschicktes Marketing

    ms (Golem.de) | 00:58

  2. Re: Warum der i3 ein Erfolg wird

    quasides | 00:58

  3. Re: 80% LTE Abdeckung

    Stepinsky | 00:56

  4. Re: CPU Befehlssätze

    ms (Golem.de) | 00:52

  5. Re: H.265 Decoding

    ms (Golem.de) | 00:50


  1. 18:05

  2. 16:33

  3. 16:23

  4. 16:12

  5. 15:04

  6. 15:01

  7. 14:16

  8. 13:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel