09.02.2017, 15:29 Uhr Gerade keine Zeit? Hinweis: Wir haben in diesem Artikel Provisions-Links verwendet und sie durch "*" gekennzeichnet. Erfolgt über diese Links eine Bestellung, erhält t3n.de eine Provision.

Ein Forscherteam warnt vor Antivirus-Software, die HTTPS-Verbindungen abfangen kann. Selbst populäre Anwendungen würden die Verbindungssicherheit einer Untersuchung zufolge drastisch senken.

Anzeige

Antivirus und VPN-Produkte schaden HTTPS-Sicherheit

Ein Team aus Sicherheitsforschern von Google, Mozilla, Cloudflare und zahlreichen Universitäten hat eine umfangreiche Studie mit dem Thema „The Security Impact of HTTPS Interception“ (übersetzt: „Der Einfluss von HTTPS-Überwachung auf die Sicherheit“) veröffentlicht. In dieser wird untersucht, in welchem Umfang HTTPS-Interception erfolgt und wie diese sich auf die Sicherheit auswirkt. Vorab: Die Resultate sind beunruhigend.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Der Studie zufolge würden Antiviren-Software und Firmen-VPNs sowie Middleboxes häufiger die verschlüsselten Verbindungen unterbrechen oder abfangen als vermutet. Die Resultate der Untersuchung sind haarsträubend: Einerseits liege der Anteil der überwachten HTTPS-Verbindungen weit höher als bisher vermutet, andererseits führe diese Überwachung zum Teil zu ernsthaften Sicherheitsproblemen.

„Security companies are acting negligently.“

Die Forscher untersuchten für ihre Studie beinahe acht Milliarden TLS-Verbindungen zu Mozillas Update-Servern, zahlreichen populären E-Commerce-Websites und zum Cloudflare Content-Distributions-Netzwerk. Laut den Ergebnissen werden teils über zehn Prozent der Inhalte abgefangen: Vier Prozent des Firefox-Update-Traffics wurden den Daten zufolge ausgehebelt, 6,2 Prozent des E-Commerce-Traffics und 10,9 Prozent der U.S-Cloudflare-Verbindungen seien „unterwandert“ worden.

Dies konnte unter anderem daran erkannt werden, dass Verbindungen nicht mehr die typischen Verbindungsparameter des Browsers enthielten, was bedeutet, dass sie auf dem Weg durchs Netz an einer Stelle abgefangen oder unterbrochen wurden.

Anzeige

Studie: 13 von 29 Antivirus-Programmen sollen HTTPS-Traffic abfangen

Im Laufe der Studie haben die Forscher populäre Antivirus-Software getestet. 13 der 29 untersuchten Anwendungen haben sich dabei in die verschlüsselten Verbindungen eingeklinkt und ein neues Root-Zertifikat installiert. Alle mit nur einer Ausnahme würden dabei die Client-seitige Sicherheit gefährden. Darüber hinaus konnten die Forscher bei diversen Anwendungen, die eigentlich einen Schutzauftrag haben, teils massive Sicherheitsprobleme nachweisen.

Bei einigen waren die HTTPS-Sicherheitsprobleme so schwer, dass sie als „severely broken“ („total kaputt“) eingestuft wurden. Zu den Anwendungen, die direkte Angriffe auf ungesicherte Verbindungen zuließen, gehören der Studie zufolge unter anderem Avast, Bitdefender, Bullguard, G-Data , Kaspersky und zahlreiche weitere.

Korrektur: G-Data greift doch keine HTTPS-Daten ab, wie Nick Sullivan, Mitautor der Studie, auf Twitter richtigstellt.



Yes. G DATA intercepts IMAP but not HTTPS. We were in error and will be publishing an updated paper. — Nick Sullivan (@grittygrease) February 11, 2017

Nicht nur bei der Antivirus-Software konnten Sicherheitsmängel nachgewiesen werden, sondern auch bei Middleboxes und Firmen-Proxies, die SSL-Inspection anbieten, sieht es nicht besser aus. Elf der zwölf getesteten Network-Appliances würden die Sicherheit gefährden.

Die Forscher plädieren im Unterschied zum Ex-Mozilla-Entwickler Robert O’Callahan zwar nicht dafür, die Antivirus-Software vom Rechner zu werfen, jedoch sollten sich die Anbieter von Sicherheitslösungen ihrer Verantwortung bewusst sein und die Verfahren der TLS-Überwachung dringend überdenken, denn HTTPS wird nicht mehr verschwinden.

Anzeige

Passend zum Thema: