Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten

Virenscan-Dienste: Vertrauliche Nutzer-Dokumente öffentlich abrufbar

Arztberichte, Arbeitsverträge, Bewerbungen, Unfallgutachten – all das fanden wir auf Virenscan-Plattformen, arglos hochgeladen von Nutzern der Analysedienste.

In Pocket speichern vorlesen Druckansicht 255 Kommentare lesen
Virenscanner-Datenschleude

(Bild: Gerd Altmann, Pixabay)

Lesezeit: 12 Min.
c't Magazin
Von
  • Ronald Eikenberg
Inhaltsverzeichnis
c't kompakt

  • Nutzer laden arglos vertrauliche Dokumente bei Virenscan-Diensten hoch.
  • Die Dokumente sind dadurch öffentlich einsehbar.
  • Wer bei der Weitergabe fremder Daten erwischt wird, hat ein hohes Bußgeld zu befürchten.

Mail-Anhänge sind nicht erst seit Emotet & Co. brandgefährlich. Und Cyberschurken nutzen jeden Trick, um Sie zum Öffnen des verseuchten Anhangs zu bewegen: überfällige Rechnungen, teure Bestellungen, Paket-Trackinginfos und vieles mehr – alles Fake. Und gefälschte Bewerbungsmails sind schon so mancher Personalabteilung zum Verhängnis geworden.

Da ist die Versuchung groß, die angehängten Dateien vor dem Öffnen nicht nur mit dem eigenen Virenscanner auf Schädlingsbefall zu prüfen, sondern auch mit einem der zahlreichen Malware-Analysedienste im Netz eine zweite Meinung einzuholen. Nach dem Hochladen des Prüflings setzen die Online-Dienste meist gleich mehrere Virenjäger auf ihn an und können ihn in vielen Fällen auch in einer Sandbox öffnen, um sein Verhalten zu überwachen.

Die Sache hat allerdings einen Haken: Die Dienste behandeln die hochgeladenen Dateien nicht vertraulich, sondern geben sie sogar explizit weiter. Zu den Abnehmern zählen Sicherheitsforscher und Security-Firmen wie Antivirenhersteller, die auf möglichst frische Schädlingsexemplare angewiesen sind, um ihre Signaturdatenbanken nachzuschärfen. Ausnahmen gibt es, wenn überhaupt, nur für zahlende Kunden.

Daraus machen die Analysedienste kein Geheimnis, der von Google betriebene Multiscandienst VirusTotal wirbt auf seiner Startseite sogar prominent damit: "Analysieren Sie verdächtige Dateien, Domains, IPs und URLs, um Malware und andere Sicherheitsrisiken zu erkennen, und teilen Sie diese automatisch mit der Security-Community." Die Analyseberichte können zumeist auch andere Nutzer der Plattformen einsehen.

Dienste wie Hybrid Analysis untersuchen hochgeladene Dateien auf Schädlingsbefall.

So auch bei dem von CrowdStike betriebenen Dienst Hybrid Analysis, bei dem wir uns exemplarisch für diesen Artikel umgesehen haben. Dort kann man vor dem Dateiupload zwar abwählen, dass die Datei anderen Mitgliedern und weiteren Dritten zugänglich gemacht wird, die Berichte sind aber immer öffentlich. Darauf macht ein Warnsymbol aufmerksam. Fährt man mit der Maus darüber, erscheint folgender Hinweis, der im Original auf Englisch verfasst wurde: "Alle Berichte werden immer mit der Community geteilt und enthalten Screenshots und extrahierte Zeichenfolgen von der Eingabedatei, ihrer Ausführung und Speicheranalyse."

Nutzer ignorieren Warnung

In der Datenschutzerklärung mahnt der Betreiber zudem eindringlich, keine Dateien hochzuladen, die personenbezogene Daten enthalten, sofern die betroffenen Personen nicht ausdrücklich zugestimmt haben. Wie Stichproben von c’t zeigen, gibt es jedoch offenbar zahlreiche Nutzer, die die Warnungen geflissentlich ignorieren. Wir durchsuchten die öffentlichen Analyseberichte nach deutschsprachigen Begriffen, von denen wir annahmen, dass sie in Dateinamen von Dokumenten häufig auftauchen.

Schon mit dem ersten Suchbegriff trafen wir direkt ins Schwarze: Über 80 Dateien mit "bewerbung" im Namen wurden allein in den ersten sieben Wochen des laufenden Jahres bei dem Analysedienst hochgeladen. Die meisten davon hatte der Dienst als harmlos eingestuft. Und das sind genau die potenziell problematischen Fälle: Denn die harmlosen Dateien sind mit hoher Wahrscheinlichkeit echte Dokumente mit echten Daten.

Ein Mouse-over-Hinweis macht darauf aufmerksam, dass Analyseberichte in jedem Fall öffentlich zugänglich gemacht werden – samt Screenshots.

Öffentliche Sandbox-Analyse

In den meisten Fällen hatten die Nutzer beim Upload abgewählt, dass die Datei an andere Nutzer weitergegeben werden darf. Doch das bringt wenig, denn die hochgeladenen Dateien bleiben dennoch auf dem Server des Betreibers liegen. Zwar dürfen andere Nutzer diese nicht herunterladen, es ist jedoch auch nachträglich möglich, eine Sandbox-Analyse der Datei zu starten. Dann öffnet der Dienst die Dateien in einer virtuellen Umgebung mit einer passenden Anwendung; Word-Dokumente mit Microsoft Word, PDF-Dateien mit dem Adobe Acrobat Reader und so weiter.

Bei unseren Stichproben entdeckten wir zahlreiche Bewerbungen mit persönlichen Daten, die vermutlich ohne Wissen der Bewerber hochgeladen wurden.

Anschließend generiert der Dienst einen öffentlich einsehbaren Sandbox-Bericht, der unter anderem Screenshots von der Ausführung enthält, also zum Beispiel von dem in Word geöffneten Dokument. Ein solcher Screenshot ist ebenso brisant wie die Datei selbst, da der Inhalt klar erkennbar ist. Bei einigen Dateien liefert der Dienst sogar Fotos aller Seiten des analysierten Dokuments. Daraus lässt sich die vollständige Datei mühelos rekonstruieren.

Mehr zum Thema NEU

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.
Mehr erfahren.

Spiele

nach oben
Alle Angebote
Newsletter heise-Bot heise-Bot Push Nachrichten Push Push-Nachrichten