Studie: TLS-Proxies bringen Sicherheitsprobleme
Unter 14 Antivirus- und Kinderschutzprodukten, die Inhalte in gesicherten TLS-Verbindungen filtern, fand sich kein einziges, das dabei keine zusätzlichen Sicherheitsprobleme verursachte.
Funktionsweise eines TLS-Proxies
Ein kanadisches Forscher-Team ist bei einer Untersuchung der TLS-Proxies von 14 End-User-Produkten zu einem bestürzenden Ergebnis gekommen: "Nicht ein einziger TLS-Proxy ist gemäß unserer Tests sicher". Sprich: Jedes einzelne dieser Produkte brachte ein Sicherheitsproblem auf den zu schützenden PC, das er ohne es nicht gehabt hätte. Unter den getesteten Produkten waren unter anderem die AV-Software von Avast, AVG, Bitdefender, Bullguard, Eset, G Data und Kaspersky und Kinderschutz-Software wie CyberSitter, KinderGate und NetNanny.
Ein Filter, der PCs vor unerwünschten Inhalten schützen soll, hat mit Transport Layer Security (TLS) ein Problem, weil er in die verschlüsselten Verbindungen nicht reinschauen kann. Also installieren viele Antivirus- und auch Kinderschutz-Programme einen TLS-Zwangs-Proxy, der sich in die gesicherten Verbindungen einklinkt. Dabei kann man viel falsch machen – wie jetzt auch die aktuelle Studie Killed by Proxy: Analyzing Client-end TLS Interception Software bestätigt. Die vorgefunden Probleme reichten von einfach akzeptierten aber gefälschten Zertifikaten bis hin zu reduziertem Schutz gegen aktuelle Angriffe. Auch heise Security hat bereits mehrfach Sicherheits-Probleme mit nachträglich installierten TLS-Filtern entdeckt,
Die Hoffnung stirbt zuletzt
Die Studie untersucht ausschließlich Software für den privaten Einsatz; AV-Lösungen für Gateways in Firmen oder etwa Intrusion Detection beziehungsweise Data Leakage Prevention Systeme, die ebenfalls oft als TLS-Proxy agieren, wurden nicht getestet. Man kann also hoffen, dass solche Firmen-Lösungen das generell besser machen, als ihre Verwandten aus der Consumer-Schiene. Ob diese Hoffnung realistisch ist, steht auf einem anderen Blatt. (ju)
