Abo
  • Services:

Security: Blizzard installiert selbstsigniertes Zertifikat mit Root

Ein Zertifikat, dass vom Localhost signiert wird: Blizzard installiert ein Zertifikat mit Root-Rechten auf den Rechern seiner Nutzer - ohne Begründung oder Information. Auf Reddit erhitzen sich die Gemüter, sodass Blizzard sich doch noch erklären muss.

Artikel veröffentlicht am ,
Blizzard installiert ein merkwürdiges Zertifikat.
Blizzard installiert ein merkwürdiges Zertifikat. (Bild: Pexels.com/Montage: Golem.de/CC0 1.0)

In einem Community-Forum auf Reddit haben sich Informationen zu einer umstrittenden Entscheidung von Blizzard Entertainment gesammelt. In einer neuen Version des Spieleclients Blizzard App werden selbstsignierte Zertifikate mit Rootrechten ausgestellt. Nutzer fragen sich, warum Blizzard das tut.

Stellenmarkt
  1. dmTECH, Karlsruhe
  2. über duerenhoff GmbH, Raum Augsburg

Der ursprüngliche Post kam vom Nutzer chort0, der bei einer Aktualisierung des Moba-Spieles Heroes of the Storm eine Anfrage von der Blizzard App erhalten hatte. Die Software wollte das Administrator-Passwort wissen. Er prüfte daraufhin die Aktivitätsübersicht auf seinem MacOS-Gerät und konnte feststellen, dass die App das Zertifikat installiert hat.

  • Blizzards Zertifikat installiert sich einfach von selbst. (Bild: chort0/Reddit)
Blizzards Zertifikat installiert sich einfach von selbst. (Bild: chort0/Reddit)

Auf diesen Post folgten 375 Antworten und eine Antwort von Blizzard selbst, die den Sinn des Zertifikates erklärt. Es soll Konten von sozialen Netzwerken wie Facebook und Twitter im Browser mit der dedizierten Blizzard-Software verbinden - beispielsweise um sich mit dem Social-Media-Account bei Battle.net anzumelden. Das Zertifikat validiert den Host localbattle.net und wird über den Localhost 127.0.0.1 signiert. Es zu löschen soll nicht viel nützen, da es sich immer wieder neu installiert. Eine Lösung: dem Zertifikat nicht zu vertrauen.

Blizzard begründet sein Vorgehen

Dass Blizzard das Zertifikat so implementiert, begründet das Unternehmen in einem separaten Post. Das ursprüngliche Zertifikat wurde von einer öffentlichen Zertifikatsstelle signiert. Das sei mittlerweile aber mit den Certificate Authority policies inkompatibel und daher nicht mehr nutzbar. Blizzard habe deshalb ein eigenes Zertifikat implementiert, da einige Browser die Web-zu-App-Kommunikation sonst nicht umsetzen können.



Anzeige
Hardware-Angebote
  1. täglich neue Deals bei Alternate.de

RaphaeI 23. Dez 2017

Reddit war mal das "Forum" für englischsprachige Nerds, welches mittlerweile immer mehr...

x2k 23. Dez 2017

Wie aufwendig oder kompliziert ist es ein trusted Center einzurichten um selber...

Bouncy 22. Dez 2017

Aus welchem Grund denn nun genau? Das hast du irgendwie vergessen zu erwähnen. Und jeder...

divStar 22. Dez 2017

Einheitlichkeit gibt es so sie denn erwünscht ist. Und das Lehrgeld müssen die Firmen...

Andre_af 22. Dez 2017

Das erkennst du auch am Mac nicht. Derjenige dem es aufgefallen ist hat passend...


Folgen Sie uns
       


Red Dead Redemption 2 auf der Xbox One X - Golem.de live

Wir zeigen auf zahlreich geäußerten Wunsch Red Dead Redemption 2 im Livestream auf der Xbox One X. In der Aufzeichung kommen die Details des zum Teil in 4K hereingezoomten Bildausschnittes gut zur Geltung.

Red Dead Redemption 2 auf der Xbox One X - Golem.de live Video aufrufen
Trotz DSGVO: Whatsapp ignoriert Widersprüche zu Datenweitergabe
Trotz DSGVO
Whatsapp ignoriert Widersprüche zu Datenweitergabe

Seit Inkrafttreten der DSGVO überträgt Whatsapp gezielt Nutzerdaten an Facebook und Drittanbieter. Widersprüche von Nutzern werden ignoriert. Nach Ansicht der Bundesdatenschutzbeauftragten Voßhoff ein Verstoß gegen die DSGVO.
Eine Exklusivmeldung von Friedhelm Greis

  1. Facebook-Anhörung Wie Facebook seine Kritiker bekämpfte
  2. Quartalsbericht Facebook enttäuscht beim Umsatz- und Nutzerwachstum
  3. Datenskandal Britische Datenschutzbehörde verurteilt Facebook

E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Serverless Computing: Mehr Zeit für den Code
Serverless Computing
Mehr Zeit für den Code

Weniger Verwaltungsaufwand und mehr Automatisierung: Viele Entwickler bauen auf fertige Komponenten aus der Cloud, um die eigenen Anwendungen aufzubauen. Beim Serverless Computing verschwinden die benötigten Server unter einer dicken Abstraktionsschicht, was mehr Zeit für den eigenen Code lässt.
Von Valentin Höbel

  1. Kubernetes Cloud Discovery inventarisiert vergessene Cloud-Native-Apps
  2. T-Systems Deutsche Telekom will Cloud-Firmen kaufen
  3. Trotz hoher Gewinne Wieder Stellenabbau bei Microsoft

    •  /