Sicherheits-Tool PrivDog telefoniert nach Hause - unverschlüsselt
Das vermeintliche Sicherheits-Tool PrivDog steht erneut in der Kritik, denn es sendet alle besuchten URLs unverschlüsselt an den Hersteller.
Um seinem Claim "PrivDog schützt Ihre Privatsphäre, während Sie im Internet surfen" gerecht zu werden, tauscht das Tool potentiell gefährliche Werbebanner auf Webseiten aus. Um das zu bewerkstelligen, hat PrivDog dem Journalisten Hanno Böck zufolge alle besuchten Webseiten unverschlüsselt an den Mutterkonzern Adtrustmedia gesendet. Diese Vorgehensweise führt den Sicherheits-Aspekt des Tools abermals ad absurdum.
Die URLs der besuchten Seiten sende PrivDog JSON-codiert und unverschlüsselt an Adtrustmedia. Im Zuge dessen findet augenscheinlich eine Dokumentation der Surfgewohnheiten statt. Zudem hat das Tool auch die Adressen von HTTPS-Webseiten unverschlüsselt übermittelt. Angreifer hätten in diesem Kontext die URLs im Klartext lesen und im schlimmsten Fall sensible Daten, etwa in Form von Sitzungs-IDs, abgreifen können.
PrivDog zufolge soll das Tool die Historie der besuchten Webseiten künftig verschlüsselt an Adtrustmedia übertragen. Letztlich sieht der Anbieter einem Sprecher zufolge das Übermitteln der Daten nicht als Problem an und spricht von einem anonymisierten Prozess. Demzufolge speichere PrivDog keine persönlichen Informationen, die einen Rückschluss auf die Identität des Nutzers zulassen würden. Nichtsdestotrotz sammelt Adtrustmedia die Daten immer noch; über die Form der Auswertungen ist nichts bekannt.
PrivDog stand bereits Anfang dieser Woche in der Kritik als herauskam, dass das Tool die Sicherheit von SSL/TLS-Verbindungen zunichte machte. Dafür wechselte es jegliche Zertifikate gegen eine von der eigenen CA signierten Version aus. Diese Sicherheitslücke wurde in Form eines Updates seitens des Herstellers geschlossen und der Zertifikats-Austausch soll mit der Version 3.0.105.0 nicht mehr vorkommen. Besonders brisant an der Geschichte: Der größte Anbieter von SSL-Zertifikaten Comodo ist bei PrivDog mit an Bord. Eine ältere Version des Tools ist auch Bestandteil der Comodo-Internet-Security-Sammlung, diese soll aber nicht für das Zertifikatsproblem anfällig sein. Die unverschlüsselte Übermittlung der URLs geschah aber wohl bei beiden Varianten von PrivDog. (des)
