Abo
  • Services:
Anzeige
Comodos OCR-Algorithmus hatte einen fatalen Fehler.
Comodos OCR-Algorithmus hatte einen fatalen Fehler. (Bild: Comodo)

Comodo: Falsche Zertifikate wegen OCR-Fehler ausgegeben

Comodos OCR-Algorithmus hatte einen fatalen Fehler.
Comodos OCR-Algorithmus hatte einen fatalen Fehler. (Bild: Comodo)

Wieder ein Zertifikatsfehler, dieses Mal bei Comodo: Weil das Unternehmen nur die Inhaber der Domain im Whois prüft und einen falschen Texterkennungsalgorithmus nutzt, konnten sich Forscher ein gültiges Zertifikat für die Domain eines Mobilfunkproviders erstellen lassen.

Die Certificate Authority Comodo hat durch eine schwerwiegende Sicherheitslücke Angreifern ermöglicht, Zertifikate für Domains auszustellen, über die sie keine Kontrolle haben, wie Heise unter Berufung auf die Sicherheitsforscher Florian Heinz und Martin Kluge berichtet. Schuld ist ein fehlerhafter Algorithmus zur Erkennung von Schrift in Bilddateien (OCR).

Anzeige

Um zu überprüfen, ob der Antragsteller die angefragte Domain wirklich kontrolliert, setzt Comodo auf eine Überprüfung der Whois-Einträge. Andere CAs wie Let's Encrypt überprüfen bei einfachen DV-Zertifikaten anhand eines Clients oder einer auf dem Server abgelegten Datei, ob der Antragsteller die Domain wirklich kontrolliert. Comodo schickt nach Überprüfung des Whois eine E-Mail mit einem Bestätigungscode an die hinterlegte E-Mail-Adresse.

Im Falle von Comodos Mechanismus besteht das Problem, dass nicht alle Whois-Informationen vollständig und maschinenlesbar im Netz stehen. In Deutschland ist dies kein Problem, dort werden die entsprechenden Informationen inklusive Kontakt-E-Mail komplett angezeigt. Im Falle von Belgien und bei der Top-Level-Domain .eu jedoch werden die Informationen über die Whois-API (auf Port 43) zum Schutz vor Spammern lediglich als Bitmap-Bild ausgeliefert.

OCR kann nicht richtig lesen

Der von Comodo eingesetzte Algorithmus zur Texterkennung hat jedoch ein Problem, er verhielt sich in den vergangenen Monaten reproduzierbar falsch. So konnte der Algorithmus die Ziffer 1 nicht von einem kleinen L ("l") unterscheiden, außerdem verwechselte er die Ziffer 0 und ein kleines O ("o"). Der Algorithmus nutzte auch den Kontext, um festzustellen, welche Variante Anwendung finden sollte. Heise schreibt: "Folgte auf eine Null ein Buchstabe, wurde daraus das kleine O. Dadurch wurde etwa aus "@level3.com" die Variante "@leve13.com" und aus "@c0re.sk" wurde "@core.sk"."

Heinz und Kluge nutzten diese Schwäche, um sich ein gültiges Zertifikat für die Webseite a1-telekom.eu des österreichischen Telekommunikationsproviders A1 Telekom erstellen zu lassen. Als Kontaktadresse ist bei dem Whois-Provider domain.billing@a1telekom.at hinterlegt. Dies wird von dem fehlerhaften Algorithmus jedoch als domain.billing@altelekom.at gelesen. Heinz und Kluge registrierten also die Domain altelekom.eu, konnten die Bestätigungsmail empfangen und so ein gültiges Zertifikat erstellen.

Comodo hatte den Algorithmus nach eigenen Angaben seit Mitte Juli dieses Jahres im Einsatz, Ende September wurde er nach den Hinweisen der Forscher deaktiviert. Zu ähnlichen Zwischenfällen soll es bislang nicht gekommen sein, das fälschlicherweise erstellte Zertifikat wurde widerrufen.

Im Sommer dieses Jahres gab es bereits ein Sicherheitsproblem bei dem Anbieter - damals konnten die Bestätiguns-E-Mails per HTML-Injection manipuliert werden. Comodo macht außerdem Schlagzeilen, weil das Unternehmen Markenrechte an dem Namen "Let's Encrypt" geltend machen wollte, hat den Antrag aber inzwischen widerrufen.


eye home zur Startseite
My1 20. Okt 2016

nur dass wenn das bild maschinell mit ner halbwegs lesbaren schriftart erstellt wurde...



Anzeige

Stellenmarkt
  1. über Duerenhoff GmbH, Landshut
  2. Nuuk GmbH, Hamburg
  3. Schwarz Zentrale Dienste KG, Neckarsulm
  4. Cassini AG, verschiedene Standorte


Anzeige
Blu-ray-Angebote
  1. 24,99€ (Vorbesteller-Preisgarantie)
  2. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  2. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On

  3. FTTH

    Bauern am Glasfaserpflug arbeiten mit Netzbetreibern

  4. BGP-Hijacking

    Traffic von Google, Facebook & Co. über Russland umgeleitet

  5. 360-Grad-Kameras im Vergleich

    Alles so schön rund hier

  6. Grundversorgung

    Telekom baut auch noch mit Kupfer aus

  7. Playerunknown's Battlegrounds

    Pubg-Schöpfer fordert besseren Schutz vor Klonen

  8. Solarstrom

    Der erste Solarzug der Welt nimmt seinen Betrieb auf

  9. Microsoft

    Kostenloses Tool hilft bei der Migration von VMs auf Azure

  10. Streaming-Streit

    Amazon will wieder Chromecast und Apple TV verkaufen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
LG 32UD99-W im Test: Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
LG 32UD99-W im Test
Monitor mit beeindruckendem Bild - trotz unausgereiftem HDR
  1. Android-Updates Krack-Patches für Android, aber nicht für Pixel-Telefone
  2. Check Point LGs smarter Staubsauger lässt sich heimlich fernsteuern

Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

  1. Da hat Wladimir wohl seinen Rechner hochgefahren

    Der Rechthaber | 15:06

  2. Re: App fürs Handy, welche empfehlt ihr?

    Huviator | 15:06

  3. Re: Dass man sich wirklich mal auf Google oder FB...

    Unruheherd | 15:05

  4. Re: Bisher 700000 Menschen sagen "danke Staat".

    Sothasil | 15:04

  5. Re: [SPOILER] Warum Star Wars einfach nicht mehr...

    TarikVaineTree | 15:04


  1. 15:04

  2. 14:22

  3. 13:00

  4. 12:41

  5. 12:04

  6. 11:44

  7. 11:30

  8. 10:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel