Abo
  • IT-Karriere:

Privdog: Software hebelt HTTPS-Sicherheit aus

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Artikel veröffentlicht am , Hanno Böck
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Comodo hat offenbar eine Software beworben, die ähnlich wie Superfish eine riesige Sicherheitslücke in die HTTPS-Verschlüsselung reißt. Privdog heißt das Programm, das offiziell dem Zweck dient, Werbung auf Webseiten durch "vertrauenswürdige Werbung" zu ersetzen. Das soll dem Schutz der Privatsphäre des Anwenders dienen.

Stellenmarkt
  1. Technische Universität Darmstadt, Darmstadt
  2. BSH Hausgeräte GmbH, Giengen

Ähnlich wie die Software Superfish, die in den letzten Tagen Schlagzeilen machte und auf Lenovo-Laptops vorinstalliert war, greift Privdog in den TLS-Datenstrom eines Nutzers ein, um auch verschlüsselte HTTPS-Webseiten manipulieren zu können. Dafür wird ein Root-Zertifikat im Betriebssystem installiert. Allerdings wird dies anders implementiert als bei Superfish.

Beliebige Zertifizierungsstelle akzeptiert

Während bei Superfish auf allen Geräten dasselbe Zertifikat und derselbe private Schlüssel zum Einsatz kommen, ist Privdog hier schlauer: Es wird bei jeder Installation ein neues Zertifikat erstellt. Allerdings, sicherer ist das Ganze nicht, denn Privdog ersetzt auch Zertifikate, die überhaupt nicht gültig sind. Sie können von einer x-beliebigen Zertifizierungsstelle unterschrieben sein, auch von einer selbst generierten. Wer Privdog installiert hat, kann also auf beliebige Webseiten mit falschen Zertifikaten surfen und merkt nichts davon.

Ein besonders eigenartiges Verhalten zeigt Privdog, wenn man auf Webseiten surft, deren Zertifikat selbstsigniert ist. Diese Zertifikate werden dann durch ebenfalls selbstsignierte Zertifikate ersetzt, die gleichzeitig automatisch in den Root-Zertifikatsspeicher des Betriebssystems installiert werden. Diese Zertifikate haben außerdem einen RSA-Schlüssel mit einer Schlüssellänge von 512 Bit, was völlig unsicher ist. Die normalen Zertifikate, die Privdog ausliefert, enthalten RSA-Schlüssel mit 1.024 Bit, was ebenfalls als problematisch gilt. Allerdings: Die Schlüssellängen sind das geringste Problem von Privdog, da die gesamte Technologie sowieso komplett unsicher ist.

Comodo verkauft TLS-Zertifikate und untergräbt deren Sicherheit

Privdog wurde auf der Webseite von Comodo beworben. Zwischen Comodo und Privdog gibt es offenbar diverse personelle Überschneidungen. Comodo-CEO Melih Abdulhayoglu hat die Firma Privdog mitgegründet. Eine frühere Version von Privdog wurde mit verschiedenen Produkten von Comodo ausgeliefert, allerdings funktioniert diese Version anders und ist von dem Problem nicht betroffen.

Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, bewirbt also ein Produkt, das diese Sicherheit untergräbt.

Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

Entdeckt wurden die Sicherheitsprobleme von Privdog gestern Abend, der Autor dieses Artikels war daran beteiligt. In einem IRC-Chat hatten sich verschiedene Personen versammelt, die mit der Analyse von Superfish und ähnlichen Produkten beschäftigt waren. Ein Teilnehmer verwies auf einen Thread auf Hacker News, in dem ein Anwender berichtete, dass der Superfish-Test von Filippo Valsorda eine Warnung anzeigte. Eine Analyse ergab schnell, dass Privdog nicht die Technologie von Komodia verwendete, die bei Superfish das Problem war, sondern dass es sich bei Privdog um ein anders gelagertes Sicherheitsproblem handelte. Eine englischsprachige Zusammenfassung findet sich im Blog des Artikelautors.

Nachtrag vom 25. Februar 2015, 14:14 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben, dass Privdog von Comodo ausgeliefert wurde. Das stimmte zwar, jedoch ist die von Comodo ausgelieferte Version von dem fraglichen Sicherheitsproblem nicht betroffen. Wir haben die Formulierung entsprechend geändert, um das klarzustellen. Von Privdog gibt es inzwischen ein Advisory und ein Update.



Anzeige
Spiele-Angebote
  1. (-67%) 29,99€
  2. 43,99€
  3. (-84%) 5,75€
  4. (-77%) 11,50€

FreiGeistler 26. Feb 2015

Finde ich problematisch. Für dich ist es sicher. Aber du wirst es kaum mitbekommen wenn...

stuempel 24. Feb 2015

Es geht nicht darum, dass Microsoft jede App auf Herz und Niere prüft, es geht darum...

dieser_post_ist... 24. Feb 2015

Ganz im Unrecht ist nicodelos nicht. Comodo hat in der Vergangenheit schon mehrfach ein...

fuzzy 23. Feb 2015

Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.


Folgen Sie uns
       


Elektro-SUV Nio ES 8 Probe gefahren

Der ES8 ist ein SUV des chinesischen Herstellers Nio. Wir sind damit über die Alpen gefahren.

Elektro-SUV Nio ES 8 Probe gefahren Video aufrufen
Kryptomining: Wie Bitcoin die Klimakrise anheizt
Kryptomining
Wie Bitcoin die Klimakrise anheizt

Die Kryptowährung Bitcoin baut darauf, dass Miner darum konkurrieren, wer Rechenaufgaben am schnellsten löst. Das braucht viel Strom - und führt dazu, dass Bitcoin mindestens so viel Kohlendioxid produziert wie ein kleines Land. Besserung ist derzeit nicht in Sicht.
Von Hanno Böck

  1. Kryptowährungen China will Bitcoin, Ethereum und Co. komplett verbieten
  2. Quadrigacx 137 Millionen US-Dollar in Bitcoins verschwunden
  3. Landkreis Zwickau Krypto-Mining illegal am Stromzähler vorbei

Umwelt: Grüne Energie aus der Toilette
Umwelt
Grüne Energie aus der Toilette

In Hamburg wird in bislang nicht gekanntem Maßstab getestet, wie gut sich aus Toilettenabwasser Strom und Wärme erzeugen lassen. Außerdem sollen aus dem Abwasser Pflanzennährstoffe für die Landwirtschaft gewonnen werden. Dafür müssen aber erst einmal die Schadstoffe aus den Gärresten gefiltert werden.
Von Monika Rößiger

  1. Klimaschutzpaket Bundesregierung will SUV-Steuer und eine Million Ladepunkte
  2. Fridays for Future Klimastreiks online und offline

Ryzen 7 3800X im Test: Der schluckt zu viel
Ryzen 7 3800X im Test
"Der schluckt zu viel"

Minimal mehr Takt, vor allem aber ein höheres Power-Budget für gestiegene Frequenzen unter Last: Das war unsere Vorstellung vor dem Test des Ryzen 7 3800X. Doch die Achtkern-CPU überrascht negativ, weil AMD es beim günstigeren 3700X bereits ziemlich gut meinte.
Ein Test von Marc Sauter

  1. 16-Kern-CPU Ryzen 9 3950X erscheint mit Threadripper v3 im November
  2. Epyc 7H12 & Ryzen 5 3500X AMD bringt 280-Watt-CPU und plant günstigen Sechskerner
  3. Agesa 1003abba Microcode-Update taktet Ryzen 3000 um 50 MHz höher

    •  /