Sicherheitsforscher an AV-Hersteller: "Finger weg von HTTPS"
Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".
In einer systematischen Studie haben Forscher Umfang und Auswirkung der Überwachung von gesicherten HTTPS-Verbindungen untersucht. Antiviren-Software und Firmen-Proxies terminieren häufig die TLS-Verschlüsselung, um den Inhalt unter anderem auf Schad-Software untersuchen zu können. Die Ergebnisse der Studie sind erschreckend: Zum einen liegt der Anteil der überwachten Verbindungen deutlich höher als bisher angenommen, zum anderen führt das zu teilweise dramatischen Sicherheitsproblemen.
Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden. Fast immer reduziere das die Sicherheit der Verbindungen; in vielen Fällen führe es sogar zu dramatischen Sicherheitsproblemen.
"Sicherheitsfirmen handeln fahrlässig"
Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen. So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.
Die Forscher fordern deshalb insbesondere die Hersteller von Antiviren-Software auf, ihre Praxis der TLS-Überwachung dringend noch einmal zu überdenken. Überhaupt sollten Sicherheitsfirmen stärker berücksichtigen, mit welcher Geschwindigkeit sich das HTTPS-Ökosystem entwickle und ob sie wirklich damit Schritt halten können.
Die Forscher stoßen damit in das gleiche Horn wie kürzlich ein Ex-Firefox-Entwickler und sein noch aktiver Kollege bei Chrome: "Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Firmenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit. So weit wie der Ex-Firefox-Entwickler, dass sie zur Deinstallation von AV-Software auffordern, gehen sie allerdings nicht.
Update 13.2. 2017, 10:45: Ursprünglich war in der Meldung auch G Data als direkt angreifbarer HTTPS-Proxy genannt. G Data wies jedoch gegenüber heise Security darauf hin, dass ihre AV-Produkte gar keine HTTPS-Interception machen. Lediglich beim Versand und Empfang von E-Mail werden SSL/TLS-Verbindungen unterbrochen, um den Inhalt zu inspizieren; auch dies ließe sich jedoch abstellen. Wir haben diesen Fehler korrigiert und G Data aus der Aufzählung entfernt.
Update 15.2.2017: Neuen Link zum Paper gesetzt. (ju)