Comodo: Falsche Zertifikate wegen OCR-Fehler ausgegeben

Wieder ein Zertifikatsfehler, dieses Mal bei Comodo: Weil das Unternehmen nur die Inhaber der Domain im Whois prüft und einen falschen Texterkennungsalgorithmus nutzt, konnten sich Forscher ein gültiges Zertifikat für die Domain eines Mobilfunkproviders erstellen lassen.

Artikel veröffentlicht am ,
Comodos OCR-Algorithmus hatte einen fatalen Fehler.
Comodos OCR-Algorithmus hatte einen fatalen Fehler. (Bild: Comodo)

Die Certificate Authority Comodo hat durch eine schwerwiegende Sicherheitslücke Angreifern ermöglicht, Zertifikate für Domains auszustellen, über die sie keine Kontrolle haben, wie Heise unter Berufung auf die Sicherheitsforscher Florian Heinz und Martin Kluge berichtet. Schuld ist ein fehlerhafter Algorithmus zur Erkennung von Schrift in Bilddateien (OCR).

Um zu überprüfen, ob der Antragsteller die angefragte Domain wirklich kontrolliert, setzt Comodo auf eine Überprüfung der Whois-Einträge. Andere CAs wie Let's Encrypt überprüfen bei einfachen DV-Zertifikaten anhand eines Clients oder einer auf dem Server abgelegten Datei, ob der Antragsteller die Domain wirklich kontrolliert. Comodo schickt nach Überprüfung des Whois eine E-Mail mit einem Bestätigungscode an die hinterlegte E-Mail-Adresse.

Im Falle von Comodos Mechanismus besteht das Problem, dass nicht alle Whois-Informationen vollständig und maschinenlesbar im Netz stehen. In Deutschland ist dies kein Problem, dort werden die entsprechenden Informationen inklusive Kontakt-E-Mail komplett angezeigt. Im Falle von Belgien und bei der Top-Level-Domain .eu jedoch werden die Informationen über die Whois-API (auf Port 43) zum Schutz vor Spammern lediglich als Bitmap-Bild ausgeliefert.

OCR kann nicht richtig lesen

Der von Comodo eingesetzte Algorithmus zur Texterkennung hat jedoch ein Problem, er verhielt sich in den vergangenen Monaten reproduzierbar falsch. So konnte der Algorithmus die Ziffer 1 nicht von einem kleinen L ("l") unterscheiden, außerdem verwechselte er die Ziffer 0 und ein kleines O ("o"). Der Algorithmus nutzte auch den Kontext, um festzustellen, welche Variante Anwendung finden sollte. Heise schreibt: "Folgte auf eine Null ein Buchstabe, wurde daraus das kleine O. Dadurch wurde etwa aus "@level3.com" die Variante "@leve13.com" und aus "@c0re.sk" wurde "@core.sk"."

Heinz und Kluge nutzten diese Schwäche, um sich ein gültiges Zertifikat für die Webseite a1-telekom.eu des österreichischen Telekommunikationsproviders A1 Telekom erstellen zu lassen. Als Kontaktadresse ist bei dem Whois-Provider domain.billing@a1telekom.at hinterlegt. Dies wird von dem fehlerhaften Algorithmus jedoch als domain.billing@altelekom.at gelesen. Heinz und Kluge registrierten also die Domain altelekom.eu, konnten die Bestätigungsmail empfangen und so ein gültiges Zertifikat erstellen.

Comodo hatte den Algorithmus nach eigenen Angaben seit Mitte Juli dieses Jahres im Einsatz, Ende September wurde er nach den Hinweisen der Forscher deaktiviert. Zu ähnlichen Zwischenfällen soll es bislang nicht gekommen sein, das fälschlicherweise erstellte Zertifikat wurde widerrufen.

Im Sommer dieses Jahres gab es bereits ein Sicherheitsproblem bei dem Anbieter - damals konnten die Bestätiguns-E-Mails per HTML-Injection manipuliert werden. Comodo macht außerdem Schlagzeilen, weil das Unternehmen Markenrechte an dem Namen "Let's Encrypt" geltend machen wollte, hat den Antrag aber inzwischen widerrufen.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


Aktuell auf der Startseite von Golem.de
Truppenversuch
Microsofts Kampfbrille macht Soldaten schlechter

Beim Truppenversuch der modifizierten Hololens 2 für die US-Armee hat sich herausgestellt, dass die Soldaten an Kampfkraft einbüßen und die Brillen ablehnen.

Truppenversuch: Microsofts Kampfbrille macht Soldaten schlechter
Artikel
  1. Deutschlandticket: 49-Euro-Ticket kommt erst zum 1. Mai
    Deutschlandticket
    49-Euro-Ticket kommt erst zum 1. Mai

    Fahrgäste können ab dem 1. Mai 2023 für 49 Euro im Monat das Deutschlandticket bundesweit nutzen. Dazu kommt ein bundesweites Jobticket zu einem günstigeren Preis.

  2. Nutzerfreundlichkeit und Datenschutz: Fünf All-in-One-Messenger im Vergleichstest
    Nutzerfreundlichkeit und Datenschutz
    Fünf All-in-One-Messenger im Vergleichstest

    Ständiges Wechseln zwischen Messenger-Apps ist lästig. All-in-One-Messenger versprechen, dieses Problem zu lösen. Wir haben fünf von ihnen getestet und große Unterschiede bei Bedienbarkeit und Datenschutz festgestellt.
    Ein Test von Leo Dessani

  3. Liberty-Germany-Pleite: Glasfaserausbau trotz Zusage nicht mehr sicher
    Liberty-Germany-Pleite
    Glasfaserausbau trotz Zusage nicht mehr sicher

    "Hello Fiber bringt Glasfaser in deine Gemeinde", lautete der Werbespruch von Liberty. Kann man kleineren FTTH-Anbietern nach der Pleite noch trauen?
    Von Achim Sawall

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • XFX RX 7900 XTX 1.199€ • WSV bei MM • Razer Viper V2 Pro 119,99€ • MindStar: XFX RX 6950 XT 799€, MSI RTX 4090 1.889€ • Epos Sennheiser Game One -55% • RAM/Graka-Preisrutsch • Razer Gaming-Stuhl -41% • 3D-Drucker 249€ • Kingston SSD 1TB 49€ • Asus RTX 4080 1.399€[Werbung]
    •  /