PrivDog torpediert die Web-Sicherheit im Namen der Privatsphäre
Das Tool PrivDog schützt angeblich die Privatsphäre seiner Nutzer, indem es böse Werbung ausschaltet. Stattdessen macht es die Sicherheit von SSL/TLS zunichte. Besonders brisant: Comodo, der größte Anbieter von SSL-Zertifikaten, ist mit im Boot.
- Fabian A. Scherschel
Im Zuge des Aufruhrs um die Adware Superfish auf Lenovo-Laptops haben Sicherheitsforscher eine zweite zweifelhafte Software entdeckt, die ähnlich umtriebig agiert. Adtrustmedia PrivDog klinkt sich ebenfalls in gesicherte HTTPS-Verbindungen des Browsers ein und macht diesen dabei anfällig für gefälschte Web-Seiten. Das brisante am Übeltäter PrivDog ist, dass das Programm unter anderem von Comodo vertrieben wird – einem der größten Zertifizierungsstellen für HTTPS-Webseiten.
PrivDog tauscht nach eigenen Angaben Werbung im Netz gegen "vertrauenswürdige" Werbeangebote aus. Um auch in verschlüsselten Traffic schauen zu können, installiert das Programm wie Lenovos Superfish eine eigene Root-CA und wechselt jegliche SSL/TLS-Zertifikate gegen von der eigenen CA signierte Versionen aus. Dabei überprüft das Programm die Gültigkeit der Zertifikate nicht und akzeptiert klaglos auch selbst-signierte Zertifikate, die eigentlich eine Zertifikatswarnung des Browsers auslösen sollten. Die von Comodo vertriebene Version ist allerdings ein Browser-Plug-in, welches keine eigene Root-CA installiert.
Sicherheitsvorkehrungen ad absurdum gefĂĽhrt
Immerhin verwendet die Software im Gegensatz zum Übeltäter von Lenovo ein eigenes Zertifikat für jede Installation, dieses kann also nicht so wie bei Superfish von Angreifern aus dem Netz für Angriffe missbraucht werden. PrivDog-Nutzer haben allerdings ein ganz anderes Problem: Da die Software so gut wie jedes Zertifikat durch ihr eigenes ersetzt, ohne dessen Vertrauenswürdigkeit zu prüfen, können dem Nutzer auch Zertifikate untergeschoben werden, die nicht koscher sind. Der Nutzer kann also die Sicherheit einer Seite überhaupt nicht mehr einschätzen. Der Browser zeigt nur noch die Zertifikatskette des PrivDog-Zertifikats an.
Warum PrivDog sich nicht auf einfache HTTP-Verbindungen konzentriert und nur dort die Werbung tauscht, ist unklar. Angesichts des erheblichen Sicherheitsrisikos, das die Software mit ihrer Arbeitsweise darstellt und im Hinblick darauf, dass nur vergleichsweise wenig Werbung über HTTPS ausgeliefert wird, lässt sich die Behauptung, die Privatsphäre der Nutzer zu schützen zu wollen, nicht halten. Dass einer der Gründer der Firma hinter PrivDog auch der Chef der Comodo-Gruppe ist, macht weiter stutzig. PrivDog unterminiert schließlich die TLS-Infrastruktur, mit der Comodo eine Menge Geld verdient.
Hersteller liefert Update und spielt das Problem herunter
Die Macher von PrivDog haben mittlerweile reagiert und ein Update herausgegeben, welches dafür sorgt, dass fehlerhafte Zertifikate nicht ausgetauscht werden. Somit bekommt der Nutzer die Zertifikatswarnungen wieder zu Gesicht – der restliche SSL-Traffic wird allerdings immer noch durch PrivDog entschlüsselt.
Wie das US-CERT bestätigt, hat PrivDog diese Sicherheitslücke nur bis Version 3.0.96.0, ein Update auf Version 3.0.105.0 behebt das Problem. PrivDog lokalisiert den Fehler in einer Dritt-Bibliothek, die sie ihrer Software verwenden. Andere Quellen erklären, dass PrivDog die in der Bibliothek durchaus vorhandenen Funktionen zur Verifizierung von SSL-Zertifikaten nicht genutzt hat. PrivDog bezeichnet die Gefahr, welche von der Lücke ausgeht als "niedrig". Das Problem "betreffe unter Umständen nur eine sehr kleine Zahl an Nutzern." Das US-CERT widerspricht dieser Einschätzung allerdings und stellt klar, dass das Problem bei jeder Web-Seite auftrete.
Testen, ob der eigene TLS-Traffic durch PrivDog oder Superfish kompromittiert wird, kann man mit einem Web-Tool von Entwickler Filippo Valsorda. (fab)