Abo
  • Services:

Comodo: Falsche Zertifikate wegen OCR-Fehler ausgegeben

Wieder ein Zertifikatsfehler, dieses Mal bei Comodo: Weil das Unternehmen nur die Inhaber der Domain im Whois prüft und einen falschen Texterkennungsalgorithmus nutzt, konnten sich Forscher ein gültiges Zertifikat für die Domain eines Mobilfunkproviders erstellen lassen.

Artikel veröffentlicht am ,
Comodos OCR-Algorithmus hatte einen fatalen Fehler.
Comodos OCR-Algorithmus hatte einen fatalen Fehler. (Bild: Comodo)

Die Certificate Authority Comodo hat durch eine schwerwiegende Sicherheitslücke Angreifern ermöglicht, Zertifikate für Domains auszustellen, über die sie keine Kontrolle haben, wie Heise unter Berufung auf die Sicherheitsforscher Florian Heinz und Martin Kluge berichtet. Schuld ist ein fehlerhafter Algorithmus zur Erkennung von Schrift in Bilddateien (OCR).

Stellenmarkt
  1. PSI Software AG Geschäftsbereich PSI Energie EE, Aschaffenburg
  2. Thorlabs GmbH, Dachau

Um zu überprüfen, ob der Antragsteller die angefragte Domain wirklich kontrolliert, setzt Comodo auf eine Überprüfung der Whois-Einträge. Andere CAs wie Let's Encrypt überprüfen bei einfachen DV-Zertifikaten anhand eines Clients oder einer auf dem Server abgelegten Datei, ob der Antragsteller die Domain wirklich kontrolliert. Comodo schickt nach Überprüfung des Whois eine E-Mail mit einem Bestätigungscode an die hinterlegte E-Mail-Adresse.

Im Falle von Comodos Mechanismus besteht das Problem, dass nicht alle Whois-Informationen vollständig und maschinenlesbar im Netz stehen. In Deutschland ist dies kein Problem, dort werden die entsprechenden Informationen inklusive Kontakt-E-Mail komplett angezeigt. Im Falle von Belgien und bei der Top-Level-Domain .eu jedoch werden die Informationen über die Whois-API (auf Port 43) zum Schutz vor Spammern lediglich als Bitmap-Bild ausgeliefert.

OCR kann nicht richtig lesen

Der von Comodo eingesetzte Algorithmus zur Texterkennung hat jedoch ein Problem, er verhielt sich in den vergangenen Monaten reproduzierbar falsch. So konnte der Algorithmus die Ziffer 1 nicht von einem kleinen L ("l") unterscheiden, außerdem verwechselte er die Ziffer 0 und ein kleines O ("o"). Der Algorithmus nutzte auch den Kontext, um festzustellen, welche Variante Anwendung finden sollte. Heise schreibt: "Folgte auf eine Null ein Buchstabe, wurde daraus das kleine O. Dadurch wurde etwa aus "@level3.com" die Variante "@leve13.com" und aus "@c0re.sk" wurde "@core.sk"."

Heinz und Kluge nutzten diese Schwäche, um sich ein gültiges Zertifikat für die Webseite a1-telekom.eu des österreichischen Telekommunikationsproviders A1 Telekom erstellen zu lassen. Als Kontaktadresse ist bei dem Whois-Provider domain.billing@a1telekom.at hinterlegt. Dies wird von dem fehlerhaften Algorithmus jedoch als domain.billing@altelekom.at gelesen. Heinz und Kluge registrierten also die Domain altelekom.eu, konnten die Bestätigungsmail empfangen und so ein gültiges Zertifikat erstellen.

Comodo hatte den Algorithmus nach eigenen Angaben seit Mitte Juli dieses Jahres im Einsatz, Ende September wurde er nach den Hinweisen der Forscher deaktiviert. Zu ähnlichen Zwischenfällen soll es bislang nicht gekommen sein, das fälschlicherweise erstellte Zertifikat wurde widerrufen.

Im Sommer dieses Jahres gab es bereits ein Sicherheitsproblem bei dem Anbieter - damals konnten die Bestätiguns-E-Mails per HTML-Injection manipuliert werden. Comodo macht außerdem Schlagzeilen, weil das Unternehmen Markenrechte an dem Namen "Let's Encrypt" geltend machen wollte, hat den Antrag aber inzwischen widerrufen.



Anzeige
Top-Angebote
  1. ab 119,99€
  2. (heute u. a. JBL BAR Studio für 99€ statt 137,90€ im Vergleich)
  3. (heute u. a. NZXT N7 Z370 Matte Black Mainboard für 237,90€ + Versand statt 272,90€ im...
  4. 263,99€

My1 20. Okt 2016

nur dass wenn das bild maschinell mit ner halbwegs lesbaren schriftart erstellt wurde...


Folgen Sie uns
       


Pathfinder Kingmaker - Golem.de live (Teil 2)

In Teil 2 unseres Livestreams wächst nicht nur unsere Party, sondern es gibt auch beim Endkampf jede Menge Drama, Wut und Liebe im Chat.

Pathfinder Kingmaker - Golem.de live (Teil 2) Video aufrufen
Xilinx-CEO Victor Peng im Interview: Wir sind überall
Xilinx-CEO Victor Peng im Interview
"Wir sind überall"

Programmierbare Schaltungen, kurz FPGAs, sind mehr als nur Werkzeuge, um Chips zu entwickeln: Im Interview spricht Xilinx-CEO Victor Peng über überholte Vorurteile, den Erfolg des Interposers, die 7-nm-Fertigung und darüber, dass nach dem Tape-out der Spaß erst beginnt.
Ein Interview von Marc Sauter

  1. Versal-FPGAs Xilinx macht Nvidia das AI-Geschäft streitig
  2. Project Everest Xilinx bringt ersten FPGA mit 7-nm-Technik

Lichtverschmutzung: Was Philips Hue mit der Tierwelt im Garten macht
Lichtverschmutzung
Was Philips Hue mit der Tierwelt im Garten macht

LEDs für den Garten sind energiesparend und praktisch - für Menschen und manche Fledermäuse. Für viele Tiere haben sie jedoch fatale Auswirkungen. Aber mit einigen Änderungen lässt sich die Gartenbeleuchtung so gestalten, dass sich auch Tiere wohlfühlen.
Ein Bericht von Werner Pluta

  1. Play und Signe Neue farbige Philips-Hue-Leuchten für indirektes Licht
  2. Smart Home Weitere Hue-Leuchten fürs Badezimmer vorgestellt
  3. Badezimmerspiegel Philips Hue kommt ins Bad

Pixel 3 XL im Test: Algorithmen können nicht alles
Pixel 3 XL im Test
Algorithmen können nicht alles

Google setzt beim Pixel 3 XL alles auf die Kamera, die dank neuer Algorithmen nicht nur automatisch blinzlerfreie Bilder ermitteln, sondern auch einen besonders scharfen Digitalzoom haben soll. Im Test haben wir allerdings festgestellt, dass auch die beste Software keine Dual- oder Dreifachkamera ersetzen kann.
Ein Test von Tobias Költzsch

  1. Dragonfly Google schweigt zu China-Plänen
  2. Nach Milliardenstrafe Google will Android-Verträge offenbar anpassen
  3. Google Android Studio 3.2 unterstützt Android 9 und App Bundles

    •  /