Sicherheitsrisiko Antivirus-Software: Selbst populäre Apps hebeln HTTPS aus

(Foto: Shutterstock)
Antivirus und VPN-Produkte schaden HTTPS-Sicherheit
Ein Team aus Sicherheitsforschern von Google, Mozilla, Cloudflare und zahlreichen Universitäten hat eine umfangreiche Studie mit dem Thema „The Security Impact of HTTPS Interception“ (übersetzt: „Der Einfluss von HTTPS-Überwachung auf die Sicherheit“) veröffentlicht. In dieser wird untersucht, in welchem Umfang HTTPS-Interception erfolgt und wie diese sich auf die Sicherheit auswirkt. Vorab: Die Resultate sind beunruhigend.
Der Studie zufolge würden Antiviren-Software und Firmen-VPNs sowie Middleboxes häufiger die verschlüsselten Verbindungen unterbrechen oder abfangen als vermutet. Die Resultate der Untersuchung sind haarsträubend: Einerseits liege der Anteil der überwachten HTTPS-Verbindungen weit höher als bisher vermutet, andererseits führe diese Überwachung zum Teil zu ernsthaften Sicherheitsproblemen.

Die Unterbrechung von TLS-Verbindung durch Antivirus-Software gefährdet die Sicherheit – teilweise ernsthaft. (Screenshot: Zakir Durumeric et. al)
Die Forscher untersuchten für ihre Studie beinahe acht Milliarden TLS-Verbindungen zu Mozillas Update-Servern, zahlreichen populären E-Commerce-Websites und zum Cloudflare Content-Distributions-Netzwerk. Laut den Ergebnissen werden teils über zehn Prozent der Inhalte abgefangen: Vier Prozent des Firefox-Update-Traffics wurden den Daten zufolge ausgehebelt, 6,2 Prozent des E-Commerce-Traffics und 10,9 Prozent der U.S-Cloudflare-Verbindungen seien „unterwandert“ worden.„Security companies are acting negligently.“
Dies konnte unter anderem daran erkannt werden, dass Verbindungen nicht mehr die typischen Verbindungsparameter des Browsers enthielten, was bedeutet, dass sie auf dem Weg durchs Netz an einer Stelle abgefangen oder unterbrochen wurden.
Studie: 13 von 29 Antivirus-Programmen sollen HTTPS-Traffic abfangen
Im Laufe der Studie haben die Forscher populäre Antivirus-Software getestet. 13 der 29 untersuchten Anwendungen haben sich dabei in die verschlüsselten Verbindungen eingeklinkt und ein neues Root-Zertifikat installiert. Alle mit nur einer Ausnahme würden dabei die Client-seitige Sicherheit gefährden. Darüber hinaus konnten die Forscher bei diversen Anwendungen, die eigentlich einen Schutzauftrag haben, teils massive Sicherheitsprobleme nachweisen.
Bei einigen waren die HTTPS-Sicherheitsprobleme so schwer, dass sie als „severely broken“ („total kaputt“) eingestuft wurden. Zu den Anwendungen, die direkte Angriffe auf ungesicherte Verbindungen zuließen, gehören der Studie zufolge unter anderem Avast, Bitdefender, Bullguard, G-Data, Kaspersky und zahlreiche weitere.
Korrektur: G-Data greift doch keine HTTPS-Daten ab, wie Nick Sullivan, Mitautor der Studie, auf Twitter richtigstellt.

Man-in-the-Middle-Angriff per Antivirus-Software: Zahlreiche Anwendungen hebeln die HTTPS-Verschlüsselung auf. (Screenshot: Zakir Durumeric et. al)
Nicht nur bei der Antivirus-Software konnten Sicherheitsmängel nachgewiesen werden, sondern auch bei Middleboxes und Firmen-Proxies, die SSL-Inspection anbieten, sieht es nicht besser aus. Elf der zwölf getesteten Network-Appliances würden die Sicherheit gefährden.
Die Forscher plädieren im Unterschied zum Ex-Mozilla-Entwickler Robert O’Callahan zwar nicht dafür, die Antivirus-Software vom Rechner zu werfen, jedoch sollten sich die Anbieter von Sicherheitslösungen ihrer Verantwortung bewusst sein und die Verfahren der TLS-Überwachung dringend überdenken, denn HTTPS wird nicht mehr verschwinden.
@t3n: Warum wird dieser Artikel eigentlich veröffentlicht? Er wirft beim Leser doch mehr Fragen auf als er beantwortet.
Ich verstehe euch “Redaktionen“ nicht mehr.
sorry, aber ich verstehe Deinen Kommentar nicht:
1. wenn *Du* einen Artikel nicht verstehst, ist das kein Grund dafuer, das eine Veroeffentlichung falsch waere
2. wenn ein Artikel mehr Fragen als Antworten fuer *Dich* aufwirft ist das gut, denn es koennte Anlass fuer *Dich* sein Dich naeher und ausfuehrlicher mit dem Inhalt auseinanderzusetzen, zu recherchieren, zu denken und moeglicherweise irgendwo Fragen zu stellen.
3. Deine Aussage „Ich verstehe euch \“Redaktionen\“ nicht mehr.“ deutet auf ein persoenliches Defizit hin, dass am ehesten mit einfacher Konsumtion zu erklaeren sein koennte. Du moechtest gerne alles, umfassend, einfach verstaendlich und bloss nicht in zu langen Texten serviert bekommen.
Eigeninitiative schon im Vorfeld haette dazu fuehren koennen, dasz Du diesen Text nicht nur verstanden haettest, sondern moeglicherweise ihn in Dein schon vorhandenes Wissen haettest einbauen koennen oder einfach noch einmal auf ein Dir bereits bekanntes Problem ein Hinnweis haette sein koennen.
Eventuell nimmst Du diesen Ball auf und spielst mit?! Auf in die Wissensgesellschaft.
Hallo Peter,
deine Reaktion ist wenig souverän. In dem Artikel steht nur was von „aushebeln“. In welcher Weise dies unsicher ist, wird nicht beschrieben. Das mit dem Vorwissen ist problematisch, denn so ist der Informationsgehalt des Beitrags gleich Null. Aber die Intension war ja vielleicht nur, oberflächlich zu informieren.
Tobias
Mir war gar nicht bewusst, dass eine Antivirus Software, die https-Verbindungen abfängt, etwas negatives ist. Ich werde nochmal mit unserer IT-Administration auf Arbeit sprechen, dass sie unsere Software dahingehend überprüfen und gegebenenfalls erneuern. Gut zu wissen, dass G-Date keine HTTPS-Daten abgreift.
Wie sieht denn die Sicherheit bei Trend Micro Antivirus aus?