News

Sicherheitsrisiko Antivirus-Software: Selbst populäre Apps hebeln HTTPS aus

(Foto: Shutterstock)

Ein Forscherteam warnt vor Antivirus-Software, die HTTPS-Verbindungen abfangen kann. Selbst populäre Anwendungen würden die Verbindungssicherheit einer Untersuchung zufolge drastisch senken.

Antivirus und VPN-Produkte schaden HTTPS-Sicherheit

Ein Team aus Sicherheitsforschern von Google, Mozilla, Cloudflare und zahlreichen Universitäten hat eine umfangreiche Studie mit dem Thema „The Security Impact of HTTPS Interception“ (übersetzt: „Der Einfluss von HTTPS-Überwachung auf die Sicherheit“) veröffentlicht. In dieser wird untersucht, in welchem Umfang HTTPS-Interception erfolgt und wie diese sich auf die Sicherheit auswirkt. Vorab: Die Resultate sind beunruhigend.

Der Studie zufolge würden Antiviren-Software und Firmen-VPNs sowie Middleboxes häufiger die verschlüsselten Verbindungen unterbrechen oder abfangen als vermutet. Die Resultate der Untersuchung sind haarsträubend: Einerseits liege der Anteil der überwachten HTTPS-Verbindungen weit höher als bisher vermutet, andererseits führe diese Überwachung zum Teil zu ernsthaften Sicherheitsproblemen.

Die Unterbrechung von TLS-Verbindung durch Antivirus-Software gefährdet die Sicherheit – teilweise ernsthaft. (Screenshot: Zakir Durumeric et. al)

„Security companies are acting negligently.“

Die Forscher untersuchten für ihre Studie beinahe acht Milliarden TLS-Verbindungen zu Mozillas Update-Servern, zahlreichen populären E-Commerce-Websites und zum Cloudflare Content-Distributions-Netzwerk. Laut den Ergebnissen werden teils über zehn Prozent der Inhalte abgefangen: Vier Prozent des Firefox-Update-Traffics wurden den Daten zufolge ausgehebelt, 6,2 Prozent des E-Commerce-Traffics und 10,9 Prozent der U.S-Cloudflare-Verbindungen seien „unterwandert“ worden.

Dies konnte unter anderem daran erkannt werden, dass Verbindungen nicht mehr die typischen Verbindungsparameter des Browsers enthielten, was bedeutet, dass sie auf dem Weg durchs Netz an einer Stelle abgefangen oder unterbrochen wurden.

Studie: 13 von 29 Antivirus-Programmen sollen HTTPS-Traffic abfangen

Im Laufe der Studie haben die Forscher populäre Antivirus-Software getestet. 13 der 29 untersuchten Anwendungen haben sich dabei in die verschlüsselten Verbindungen eingeklinkt und ein neues Root-Zertifikat installiert. Alle mit nur einer Ausnahme würden dabei die Client-seitige Sicherheit gefährden. Darüber hinaus konnten die Forscher bei diversen Anwendungen, die eigentlich einen Schutzauftrag haben,  teils massive Sicherheitsprobleme nachweisen.

Bei einigen waren die HTTPS-Sicherheitsprobleme so schwer, dass sie als „severely broken“ („total kaputt“) eingestuft wurden. Zu den Anwendungen, die direkte Angriffe auf ungesicherte Verbindungen zuließen, gehören der Studie zufolge unter anderem Avast, Bitdefender, Bullguard, G-Data, Kaspersky und zahlreiche weitere.
Korrektur: G-Data greift doch keine HTTPS-Daten ab, wie Nick Sullivan, Mitautor der Studie, auf Twitter richtigstellt.

Man-in-the-Middle-Angriff per Antivirus-Software: Zahlreiche Anwendungen hebeln die HTTPS-Verschlüsselung auf. (Screenshot: Zakir Durumeric et. al)

Nicht nur bei der Antivirus-Software konnten Sicherheitsmängel nachgewiesen werden, sondern auch bei Middleboxes und Firmen-Proxies, die SSL-Inspection anbieten, sieht es nicht besser aus. Elf der zwölf getesteten Network-Appliances würden die Sicherheit gefährden.

Die Forscher plädieren im Unterschied zum Ex-Mozilla-Entwickler Robert O’Callahan zwar nicht dafür, die Antivirus-Software vom Rechner zu werfen, jedoch sollten sich die Anbieter von Sicherheitslösungen ihrer Verantwortung bewusst sein und die Verfahren der TLS-Überwachung dringend überdenken, denn HTTPS wird nicht mehr verschwinden.

Passend zum Thema:

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

3 Kommentare
Niobe
Niobe

@t3n: Warum wird dieser Artikel eigentlich veröffentlicht? Er wirft beim Leser doch mehr Fragen auf als er beantwortet.
Ich verstehe euch “Redaktionen“ nicht mehr.

Antworten
Peter
Peter

sorry, aber ich verstehe Deinen Kommentar nicht:
1. wenn *Du* einen Artikel nicht verstehst, ist das kein Grund dafuer, das eine Veroeffentlichung falsch waere
2. wenn ein Artikel mehr Fragen als Antworten fuer *Dich* aufwirft ist das gut, denn es koennte Anlass fuer *Dich* sein Dich naeher und ausfuehrlicher mit dem Inhalt auseinanderzusetzen, zu recherchieren, zu denken und moeglicherweise irgendwo Fragen zu stellen.
3. Deine Aussage „Ich verstehe euch \“Redaktionen\“ nicht mehr.“ deutet auf ein persoenliches Defizit hin, dass am ehesten mit einfacher Konsumtion zu erklaeren sein koennte. Du moechtest gerne alles, umfassend, einfach verstaendlich und bloss nicht in zu langen Texten serviert bekommen.
Eigeninitiative schon im Vorfeld haette dazu fuehren koennen, dasz Du diesen Text nicht nur verstanden haettest, sondern moeglicherweise ihn in Dein schon vorhandenes Wissen haettest einbauen koennen oder einfach noch einmal auf ein Dir bereits bekanntes Problem ein Hinnweis haette sein koennen.
Eventuell nimmst Du diesen Ball auf und spielst mit?! Auf in die Wissensgesellschaft.

Antworten
Tobias Baier
Tobias Baier

Hallo Peter,

deine Reaktion ist wenig souverän. In dem Artikel steht nur was von „aushebeln“. In welcher Weise dies unsicher ist, wird nicht beschrieben. Das mit dem Vorwissen ist problematisch, denn so ist der Informationsgehalt des Beitrags gleich Null. Aber die Intension war ja vielleicht nur, oberflächlich zu informieren.

Tobias

Antworten
Abbrechen

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.