Abo
  • Services:
Anzeige
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Privdog: Software hebelt HTTPS-Sicherheit aus

PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers.
PrivDog ersetzt Zertifikate - und gefährdet die Sicherheit des Nutzers. (Bild: Screenshot / Webseite)

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Anzeige

Comodo hat offenbar eine Software beworben, die ähnlich wie Superfish eine riesige Sicherheitslücke in die HTTPS-Verschlüsselung reißt. Privdog heißt das Programm, das offiziell dem Zweck dient, Werbung auf Webseiten durch "vertrauenswürdige Werbung" zu ersetzen. Das soll dem Schutz der Privatsphäre des Anwenders dienen.

Ähnlich wie die Software Superfish, die in den letzten Tagen Schlagzeilen machte und auf Lenovo-Laptops vorinstalliert war, greift Privdog in den TLS-Datenstrom eines Nutzers ein, um auch verschlüsselte HTTPS-Webseiten manipulieren zu können. Dafür wird ein Root-Zertifikat im Betriebssystem installiert. Allerdings wird dies anders implementiert als bei Superfish.

Beliebige Zertifizierungsstelle akzeptiert

Während bei Superfish auf allen Geräten dasselbe Zertifikat und derselbe private Schlüssel zum Einsatz kommen, ist Privdog hier schlauer: Es wird bei jeder Installation ein neues Zertifikat erstellt. Allerdings, sicherer ist das Ganze nicht, denn Privdog ersetzt auch Zertifikate, die überhaupt nicht gültig sind. Sie können von einer x-beliebigen Zertifizierungsstelle unterschrieben sein, auch von einer selbst generierten. Wer Privdog installiert hat, kann also auf beliebige Webseiten mit falschen Zertifikaten surfen und merkt nichts davon.

Ein besonders eigenartiges Verhalten zeigt Privdog, wenn man auf Webseiten surft, deren Zertifikat selbstsigniert ist. Diese Zertifikate werden dann durch ebenfalls selbstsignierte Zertifikate ersetzt, die gleichzeitig automatisch in den Root-Zertifikatsspeicher des Betriebssystems installiert werden. Diese Zertifikate haben außerdem einen RSA-Schlüssel mit einer Schlüssellänge von 512 Bit, was völlig unsicher ist. Die normalen Zertifikate, die Privdog ausliefert, enthalten RSA-Schlüssel mit 1.024 Bit, was ebenfalls als problematisch gilt. Allerdings: Die Schlüssellängen sind das geringste Problem von Privdog, da die gesamte Technologie sowieso komplett unsicher ist.

Comodo verkauft TLS-Zertifikate und untergräbt deren Sicherheit

Privdog wurde auf der Webseite von Comodo beworben. Zwischen Comodo und Privdog gibt es offenbar diverse personelle Überschneidungen. Comodo-CEO Melih Abdulhayoglu hat die Firma Privdog mitgegründet. Eine frühere Version von Privdog wurde mit verschiedenen Produkten von Comodo ausgeliefert, allerdings funktioniert diese Version anders und ist von dem Problem nicht betroffen.

Das Pikante daran: Comodo ist eine der größten Zertifizierungsstellen im Internet. Etwa ein Drittel der Zertifikate von HTTPS-Seiten stammt direkt oder indirekt von Comodo. Eine Firma, die eigentlich für die Sicherheit von HTTPS sorgen soll, bewirbt also ein Produkt, das diese Sicherheit untergräbt.

Comodo ist nicht zum ersten Mal in den Negativschlagzeilen. 2011 gab es diverse Einbrüche bei Partnern von Comodo, zahlreiche von Comodo indirekt signierte gefälschte Zertifikate tauchten auf. Auch hatte Comodo in der Vergangenheit schon unerwünschte Werbetoolbars bei seiner Software mitinstalliert.

Entdeckt wurden die Sicherheitsprobleme von Privdog gestern Abend, der Autor dieses Artikels war daran beteiligt. In einem IRC-Chat hatten sich verschiedene Personen versammelt, die mit der Analyse von Superfish und ähnlichen Produkten beschäftigt waren. Ein Teilnehmer verwies auf einen Thread auf Hacker News, in dem ein Anwender berichtete, dass der Superfish-Test von Filippo Valsorda eine Warnung anzeigte. Eine Analyse ergab schnell, dass Privdog nicht die Technologie von Komodia verwendete, die bei Superfish das Problem war, sondern dass es sich bei Privdog um ein anders gelagertes Sicherheitsproblem handelte. Eine englischsprachige Zusammenfassung findet sich im Blog des Artikelautors.

Nachtrag vom 25. Februar 2015, 14:14 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben, dass Privdog von Comodo ausgeliefert wurde. Das stimmte zwar, jedoch ist die von Comodo ausgelieferte Version von dem fraglichen Sicherheitsproblem nicht betroffen. Wir haben die Formulierung entsprechend geändert, um das klarzustellen. Von Privdog gibt es inzwischen ein Advisory und ein Update.


eye home zur Startseite
FreiGeistler 26. Feb 2015

Finde ich problematisch. Für dich ist es sicher. Aber du wirst es kaum mitbekommen wenn...

stuempel 24. Feb 2015

Es geht nicht darum, dass Microsoft jede App auf Herz und Niere prüft, es geht darum...

dieser_post_ist... 24. Feb 2015

Ganz im Unrecht ist nicodelos nicht. Comodo hat in der Vergangenheit schon mehrfach ein...

fuzzy 23. Feb 2015

Wie geht denn das? Key Pinning soll doch genau gegen solche Attacken schützen.



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. p.a. GmbH, Poing
  3. ifm electronic GmbH, Essen
  4. über JobLeads GmbH, Köln


Anzeige
Spiele-Angebote
  1. 69,99€
  2. 35,99€
  3. 8,99€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Festnetz

    O2 will in Deutschland letzte Meile per Funk überwinden

  2. Robocar

    Roborace präsentiert Roboterboliden

  3. Code.mil

    US-Militär sucht nach Lizenz für externe Code-Beiträge

  4. Project Zero

    Erneut ungepatchter Microsoft-Bug veröffentlicht

  5. Twitch

    Videostreamer verdienen am Spieleverkauf

  6. Neuer Mobilfunk

    Telekom-Chef nennt 5G-Ausbau "sehr teuer"

  7. Luftfahrt

    Nasa testet Überschallpassagierflugzeug im Windkanal

  8. Lenovo

    Moto Mod macht Moto Z zum Spiele-Handheld

  9. Alternatives Betriebssystem

    Jolla will Sailfish OS auf Sony-Smartphones bringen

  10. Gamesbranche

    PC-Plattform ist bei Spielentwicklern am beliebtesten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Nintendo Switch eingeschaltet: Zerstückelte Konsole und gigantisches Handheld
Nintendo Switch eingeschaltet
Zerstückelte Konsole und gigantisches Handheld
  1. Nintendo Interner Speicher von Switch offenbar schon jetzt zu klein
  2. Hybridkonsole Leak zeigt Menüs der Nintendo Switch
  3. Hybridkonsole Hardware-Details von Nintendo Switch geleakt

Watch 2 im Hands on: Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
Watch 2 im Hands on
Huaweis neue Smartwatch soll bis zu 21 Tage lang durchhalten
  1. Lenovo-Tab-4-Serie Lenovos neue Android-Tablets kosten ab 180 Euro
  2. Yoga 520 und 720 USB-C und Kaby Lake für Lenovos Falt-Notebooks
  3. Alcatel A5 LED im Hands on Wenn die Smartphone-Rückseite wild blinkt

Asus Tinker Board im Test: Buntes Lotterielos rechnet schnell
Asus Tinker Board im Test
Buntes Lotterielos rechnet schnell
  1. Tinker-Board Asus bringt Raspberry-Pi-Klon
  2. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint

  1. und keine frage nach dem sinn oder unsinn?

    Prinzeumel | 21:15

  2. Re: Nanocom Klon?

    486dx4-160 | 21:10

  3. Re: "Latenz von weniger als 1ms"...

    Prinzeumel | 21:09

  4. Re: GEIL! Wenn das Keyboard kommt...

    Kleba | 21:06

  5. Re: ein Mod geplant, mit dem sich das Smartphone...

    Kleba | 21:04


  1. 18:18

  2. 17:56

  3. 17:38

  4. 17:21

  5. 17:06

  6. 16:32

  7. 16:12

  8. 15:33


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel