Abo
  • Services:

Privdog: Software hebelt HTTPS-Sicherheit aus

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Artikel veröffentlicht am , Hanno Böck
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Comodo hat offenbar eine Software beworben, die ähnlich wie Superfish eine riesige Sicherheitslücke in die HTTPS-Verschlüsselung reißt. Privdog heißt das Programm, das offiziell dem Zweck dient, Werbung auf Webseiten durch "vertrauenswürdige Werbung" zu ersetzen. Das soll dem Schutz der Privatsphäre des Anwenders dienen.

Stellenmarkt
  1. BIM Berliner Immobilienmanagement GmbH, Berlin
  2. OHB System AG, Bremen, Oberpfaffenhofen

Ähnlich wie die Software Superfish, die in den letzten Tagen Schlagzeilen machte und auf Lenovo-Laptops vorinstalliert war, greift Privdog in den TLS-Datenstrom eines Nutzers ein, um auch verschlüsselte HTTPS-Webseiten manipulieren zu können. Dafür wird ein Root-Zertifikat im Betriebssystem installiert. Allerdings wird dies anders implementiert als bei Superfish.

Beliebige Zertifizierungsstelle akzeptiert

Während bei Superfish auf allen Geräten dasselbe Zertifikat und derselbe private Schlüssel zum Einsatz kommen, ist Privdog hier schlauer: Es wird bei jeder Installation ein neues Zertifikat erstellt. Allerdings, sicherer ist das Ganze nicht, denn Privdog ersetzt auch Zertifikate, die überhaupt nicht gültig sind. Sie können von einer x-beliebigen Zertifizierungsstelle unterschrieben sein, auch von einer selbst generierten. Wer Privdog installiert hat, kann also auf beliebige Webseiten mit falschen Zertifikaten surfen und merkt nichts davon.

Ein besonders eigenartiges Verhalten zeigt Privdog, wenn man auf Webseiten surft, deren Zertifikat selbstsigniert ist. Diese Zertifikate werden dann durch ebenfalls selbstsignierte Zertifikate ersetzt, die gleichzeitig automatisch in den Root-Zertifikatsspeicher des Betriebssystems installiert werden. Diese Zertifikate haben außerdem einen RSA-Schlüssel mit einer Schlüssellänge von 512 Bit, was völlig unsicher ist. Die normalen Zertifikate, die Privdog ausliefert, enthalten RSA-Schlüssel mit 1.024 Bit, was ebenfalls als problematisch gilt. Allerdings: Die Schlüssellängen sind das geringste Problem von Privdog, da die gesamte Technologie sowieso komplett unsicher ist.

Comodo verkauft TLS-Zertifikate und untergräbt deren Sicherheit

Privdog wurde auf der Webseite von Comodo beworben. Zwischen Comodo und Privdog gibt es offenbar diverse personelle Überschneidungen. Comodo-CEO Melih Abdulhayoglu hat die Firma Privdog mitgegründet. Eine frühere Version von Privdog wurde mit verschiedenen Produkten von Comodo ausgeliefert, allerdings funktioniert diese Version anders und ist von dem Problem nicht betroffen.

Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, bewirbt also ein Produkt, das diese Sicherheit untergräbt.

Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

Entdeckt wurden die Sicherheitsprobleme von Privdog gestern Abend, der Autor dieses Artikels war daran beteiligt. In einem IRC-Chat hatten sich verschiedene Personen versammelt, die mit der Analyse von Superfish und ähnlichen Produkten beschäftigt waren. Ein Teilnehmer verwies auf einen Thread auf Hacker News, in dem ein Anwender berichtete, dass der Superfish-Test von Filippo Valsorda eine Warnung anzeigte. Eine Analyse ergab schnell, dass Privdog nicht die Technologie von Komodia verwendete, die bei Superfish das Problem war, sondern dass es sich bei Privdog um ein anders gelagertes Sicherheitsproblem handelte. Eine englischsprachige Zusammenfassung findet sich im Blog des Artikelautors.

Nachtrag vom 25. Februar 2015, 14:14 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben, dass Privdog von Comodo ausgeliefert wurde. Das stimmte zwar, jedoch ist die von Comodo ausgelieferte Version von dem fraglichen Sicherheitsproblem nicht betroffen. Wir haben die Formulierung entsprechend geändert, um das klarzustellen. Von Privdog gibt es inzwischen ein Advisory und ein Update.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

FreiGeistler 26. Feb 2015

Finde ich problematisch. Für dich ist es sicher. Aber du wirst es kaum mitbekommen wenn...

stuempel 24. Feb 2015

Es geht nicht darum, dass Microsoft jede App auf Herz und Niere prüft, es geht darum...

dieser_post_ist... 24. Feb 2015

Ganz im Unrecht ist nicodelos nicht. Comodo hat in der Vergangenheit schon mehrfach ein...

fuzzy 23. Feb 2015

Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.


Folgen Sie uns
       


Nepos Tablet - Hands on

Nepos ist ein Tablet, das speziell für ältere Nutzer gedacht ist. Das Gehäuse ist stabil und praktisch, die Benutzerführung einheitlich. Jede App funktioniert nach dem gleichen Prinzip, mit der gleichen Benutzeroberfläche.

Nepos Tablet - Hands on Video aufrufen
IT: Frauen, die programmieren und Bier trinken
IT
Frauen, die programmieren und Bier trinken

Fest angestellte Informatiker sind oft froh, nach Feierabend nicht schon wieder in ein Get-together zu müssen. Doch was ist, wenn man kein Team hat und sich selbst Programmieren beibringt? Women Who Code veranstaltet Programmierabende für Frauen, denen es so geht. Golem.de war dort.
Von Maja Hoock

  1. Software-Entwickler CDU will Online-Weiterbildung à la Netflix
  2. Job-Porträt Cyber-Detektiv "Ich musste als Ermittler über 1.000 Onanie-Videos schauen"
  3. Bundesagentur für Arbeit Ausbildungsplätze in der Informatik sind knapp

Requiem zur Cebit: Es war einmal die beste Messe
Requiem zur Cebit
Es war einmal die beste Messe

Nach 33 Jahren ist Schluss mit der Cebit und das ist mehr als schade. Wir waren dabei, als sie noch nicht nur die größte, sondern auch die beste Messe der Welt war - und haben dann erlebt, wie Trends verschlafen wurden. Ein Nachruf.
Von Nico Ernst

  1. IT-Messe Die Cebit wird eingestellt

Apple Mac Mini (Late 2018) im Test: Tolles teures Teil - aber für wen?
Apple Mac Mini (Late 2018) im Test
Tolles teures Teil - aber für wen?

Der Mac Mini ist ein gutes Gerät, wenngleich der Preis für die Einstiegsvariante von Apple arg hoch angesetzt wurde und mehr Speicher(platz) viel Geld kostet. Für 4K-Videoschnitt eignet sich der Mac Mini nur selten und generell fragen wir uns, wer ihn kaufen soll.
Ein Test von Marc Sauter

  1. Apple Mac Mini wird grau und schnell
  2. Neue Produkte Apple will Mac Mini und Macbook Air neu auflegen

    •  /