{"id":222170,"date":"2019-08-30T01:51:27","date_gmt":"2019-08-29T23:51:27","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=222170"},"modified":"2021-06-09T18:18:28","modified_gmt":"2021-06-09T16:18:28","slug":"avast-spioniert-https-verbindungen-aus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/08\/30\/avast-spioniert-https-verbindungen-aus\/","title":{"rendered":"Avast &lsquo;spioniert&rsquo; HTTPS-Verbindungen aus"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\" width=\"40\" height=\"47\" align=\"left\" \/>Wer eine Antivirus-L\u00f6sung von Avast auf seinem Windows-System installiert, sollte davon ausgehen, dass seine HTTPS-Verbindungen mit \u00fcberwacht werden. Dass Antivirus-Anbieter die HTTPS-Verbindungen mitlesen ist bekannt. Avast scheint seit einer Woche eine neue Technik einzusetzen \u2013 und ist bei einer Entwickler-Version von Chrome damit aufgefallen.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg08.met.vgwort.de\/na\/84ba2f05a91d4dc5adb5ffca377b50f8\" alt=\"\" width=\"1\" height=\"1\" \/>Ich hatte erst vor einigen Tagen im Artikel <a href=\"https:\/\/web.archive.org\/web\/20210120034005\/https:\/\/borncity.com\/blog\/2019\/08\/16\/kaspersky-antivirus-software-und-die-privatsphre\/\">Kaspersky Antivirus-Software und die Privatsph\u00e4re<\/a> berichtet, dass die Antivirus-L\u00f6sung dieses Herstellers durch einen Fehler den Datenschutz untergrub. Das ist inzwischen aber durch ein Software-Update behoben. Nun ist mir ein neuer Fall von 'HTTPS-Spionage' unter die Augen gekommen. PhantomofMobile hat mich auf Twitter auf das Fundst\u00fcck hingewiesen.<\/p>\n<blockquote class=\"twitter-tweet\">\n<p dir=\"ltr\" lang=\"en\">OMG! YOUR SECURITY &amp; PRIVACY IS BREAKING ALL 3rd PARTY ACCESS:<\/p>\n<p>ICYMI: <a href=\"https:\/\/twitter.com\/AdminKirsty?ref_src=twsrc%5Etfw\">@AdminKirsty<\/a> <a href=\"https:\/\/twitter.com\/thurrott?ref_src=twsrc%5Etfw\">@thurrott<\/a> <a href=\"https:\/\/twitter.com\/maryjofoley?ref_src=twsrc%5Etfw\">@maryjofoley<\/a> <a href=\"https:\/\/twitter.com\/bdsams?ref_src=twsrc%5Etfw\">@bdsams<\/a> <a href=\"https:\/\/twitter.com\/mehedih_?ref_src=twsrc%5Etfw\">@mehedih_<\/a> <a href=\"https:\/\/twitter.com\/ruthm?ref_src=twsrc%5Etfw\">@ruthm<\/a> <a href=\"https:\/\/twitter.com\/SwiftOnSecurity?ref_src=twsrc%5Etfw\">@SwiftOnSecurity<\/a> <a href=\"https:\/\/twitter.com\/pcper?ref_src=twsrc%5Etfw\">@pcper<\/a> <a href=\"https:\/\/twitter.com\/MalwareJake?ref_src=twsrc%5Etfw\">@MalwareJake<\/a> <a href=\"https:\/\/twitter.com\/JobCacka?ref_src=twsrc%5Etfw\">@JobCacka<\/a> <a href=\"https:\/\/twitter.com\/etguenni?ref_src=twsrc%5Etfw\">@etguenni<\/a><\/p>\n<p>Patch Lady \u2013 Avast does\u2026what? by <a href=\"https:\/\/twitter.com\/SBSDiva?ref_src=twsrc%5Etfw\">@SBSDiva<\/a> on <a href=\"https:\/\/twitter.com\/AskWoody?ref_src=twsrc%5Etfw\">@AskWoody<\/a><a href=\"https:\/\/t.co\/W2rw3uc045\">https:\/\/t.co\/W2rw3uc045<\/a><\/p>\n<p>1\/2<\/p>\n<p>\u2014 Crysta T. Lacey (@PhantomofMobile) <a href=\"https:\/\/twitter.com\/PhantomofMobile\/status\/1167040168487870470?ref_src=twsrc%5Etfw\">August 29, 2019<\/a><\/p><\/blockquote>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><\/p>\n<p>Susan Bradley hat es bei AskWoody.com thematisiert \u2013 der Original-Beitrag von EricLaw findet <a href=\"https:\/\/textslashplain.com\/2019\/08\/11\/spying-on-https\/\" target=\"_blank\" rel=\"noopener noreferrer\">sich hier<\/a>. EricLaw bekam beim Start von Chrome eine Meldung, dass er eine nicht unterst\u00fctzt Umgebung verwende.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/textplain.files.wordpress.com\/2019\/08\/sslkeylogfile.png?w=800\" alt=\"SSLKeyLogfile\" \/><br \/>\n(Quelle: EricLaw)<\/p>\n<p>Konkret hie\u00df es, er w\u00fcrde eine nicht unterst\u00fctzte Umgebungsvariable SSLKEYLOGFILE verwenden, welche sich negativ auf die Stabilit\u00e4t und Sicherheit auswirken w\u00fcrde. W\u00e4hrend die meisten Benutzer wahrscheinlich keine Ahnung haben, was die Meldung bedeutet, wusste EricLaw etwas damit anzufangen. Chrome warnt den Benutzer, dass die Systemkonfiguration den Browser angewiesen hat, die geheimen Schl\u00fcssel, die es zum Verschl\u00fcsseln und Entschl\u00fcsseln des HTTPS-Verkehrs in einen Stream auf dem lokalen Computer verwendet, preis zu geben.<\/p>\n<p>Das machte ihn neugierig und er forschte nach. Im Chrome-Quellcode fand er heraus, dass diese Warnung letzte Woche neu hinzugef\u00fcgt wurde. Noch \u00fcberraschender war, dass er die SSLKeyLogFile-Einstellung nirgendwo auf meinem System finden konnte. Er schaute in der Eingabeaufforderung nach und stellte fest, dass die angegebene Umgebungsvariable weder f\u00fcr sein Benutzerkonto noch f\u00fcr das System vorhanden war.<\/p>\n<p>Gl\u00fccklicherweise wusste er aus <a href=\"https:\/\/textslashplain.com\/2018\/10\/11\/shellexecute-doesnt\/\" target=\"_blank\" rel=\"noopener noreferrer\">fr\u00fcheren Untersuchungen<\/a>, dass ein Prozess andere Umgebungsvariablen haben kann als der Rest des Systems, und der Process Explorer kann die Umgebungsvariablen innerhalb eines laufenden Prozesses anzeigen. Er \u00f6ffnete <em>Chrome.exe <\/em>und sah im Prozess Explorer, dass dort tats\u00e4chlich eine SSLKEYLOGFILE gesetzt war.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/textplain.files.wordpress.com\/2019\/08\/sslkeylogfileeb.png?w=800\" alt=\"SSLKeyLogfileEB\" \/><br \/>\n(Quelle: EricLaw)<\/p>\n<p>Die ungew\u00f6hnliche Syntax mit dem f\u00fchrenden \\\\.\\ bedeutet, dass es sich nicht um einen typischen lokalen Dateipfad handelt, sondern um eine benannte Pipe. Das bedeutet, dass sie nicht auf eine Datei auf der Festplatte zeigt (z.B. C:\\temp\\sslkeys.txt), sondern stattdessen auf einen Speicher, den ein anderer Prozess sehen kann.<\/p>\n<p>Ab diesem Moment w\u00fcrde es normalerweise schwierig und Debuggen w\u00e4re angesagt. EricLaw fiel aber ein, dass er an diesem Morgen Avast Antivirus installiert hatte. Dies war erforderlich, um einen Fehler zu reproduzieren, auf den ein Chrome-Benutzer gesto\u00dfen war. Und dann war alles klar: Avast injiziert die Einstellung SSLKEYLOGFILE, damit es einen Monster-in-the-Browser-Angriff (MITB) durchf\u00fchren und den verschl\u00fcsselten Datenverkehr in Chrome mitlesen kann.<\/p>\n<p>Die Anbieter von Antivirenprodukten wissen, dass Browser eine der Quellen sind, \u00fcber die Angreifer PCs gef\u00e4hrden. Deshalb brechen deren Sicherheitsprodukte die HTTPS-Verbindungen auf und verwenden oft MITB-Angriffe, um Webinhalte zu scannen. Antiviren-Entwickler haben zwei g\u00e4ngige Techniken (Code Injection und Netzwerk\u00fcberwachung), um Inhalte zu scannen, die im Browser ausgef\u00fchrt werden.<\/p>\n<p>Damit gef\u00e4hrden die Hersteller nicht nur die Vertraulichkeit von HTTPS-Verbindungen (auch Bankverbindungen oder Sitzungen mit Online-Konten, alle Anmeldedaten etc.) werden mitgelesen. Es gab auch immer wieder F\u00e4lle, wo dadurch Sicherheitsl\u00fccken aufgerissen wurden und Daten abgefischt werden konnten.<\/p>\n<p>Lange Rede kurzer Sinn: Angesichts der Probleme bei der Verwendung eines MITM-Proxys scheint es, dass Avast zu einer neueren Technik \u00fcbergegangen ist. Dabei wird SSLKeyLogFile verwendet, um die geheimen Schl\u00fcssel, die HTTPS bei jeder Verbindung aushandelt, um den Datenverkehr zu verschl\u00fcsseln, abzufragen. Firefox und Chromium-Browser unterst\u00fctzen diese Funktion und erm\u00f6glichen die Entschl\u00fcsselung des TLS-Verkehrs ohne Verwendung der MITM-Zertifikat-Technik. W\u00e4hrend Browser-Anbieter vor jeglicher Art des Abfangen des HTTPS-Verkehrs zur\u00fcckschrecken, ist dieser Ansatz im Allgemeinen MITM-Proxies vorzuziehen.<\/p>\n<p>Es besteht die Sorge, dass die neue Benachrichtigungsleiste von Chrome Antivirus-Anbieter dazu veranlassen k\u00f6nnte, erneut gef\u00e4hrlichere Techniken einzusetzen, um HTTPS-Verbindungen aufzubrechen und mitzulesen. Daher k\u00f6nnte es sein, dass die oben erw\u00e4hnte se Benachrichtigung m\u00f6glicherweise nicht in die stabile Version von Chrome einflie\u00dft. Der Fall zeigt erneut, wie fragil das Ganze geworden ist. EricLaw weist darauf hin, dass Avast m\u00f6glicherweise die Daten, die sie entschl\u00fcsseln, <a href=\"https:\/\/sparktoro.com\/blog\/less-than-half-of-google-searches-now-result-in-a-click\/\" target=\"_blank\" rel=\"noopener noreferrer\">monetarisiert<\/a>.<\/p>\n<h3>Stellungnahme von Avast<\/h3>\n<h3>Erg\u00e4nzung:\u00a0Inzwischen ist mir ein Statement von Avast zugegangen, den ich zur Vervollst\u00e4ndigung hier einstelle.<\/h3>\n<blockquote><p>Avast scannt den HTTPS-Verkehr, weil das f\u00fcr jede Antivirenl\u00f6sung unerl\u00e4sslich ist. Nur so kann ein umfassender und starker Schutz f\u00fcr die Benutzer gew\u00e4hrleistet werden. Etwa 42 Prozent aller Infektionen, die wir blockieren, greifen die Anwender \u00fcber HTTPS-Verbindungen an &#8211; und z\u00e4hlen wir Phishing-Angriffe dazu, greifen rund 73 Prozent der Bedrohungen via HTTPS an. Die HTTPS-Scan-Funktion von Avast ist seit November 2015 auf dem Markt. Unabh\u00e4ngige Forscher haben den Avast HTTPS-Scanner als den besten auf dem Markt gelobt. Mehr dazu lesen Sie <a href=\"https:\/\/blog.avast.com\/independent-test-shows-avast-offers-best-https-protection-in-the-market\" target=\"_blank\" rel=\"noopener noreferrer\">hier<\/a>.<\/p>\n<p>SSLKEYLOGFILE ist seit vielen Jahren Teil der SSL-Bibliotheken und bietet die am wenigsten invasive Methode, den HTTPS-Datenverkehr zu sichern. Die meisten Verantwortlichkeiten zur Zertifikatspr\u00fcfung verbleiben im Browser, wo sie nat\u00fcrlicherweise hingeh\u00f6ren.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"<p>Wer eine Antivirus-L\u00f6sung von Avast auf seinem Windows-System installiert, sollte davon ausgehen, dass seine HTTPS-Verbindungen mit \u00fcberwacht werden. Dass Antivirus-Anbieter die HTTPS-Verbindungen mitlesen ist bekannt. Avast scheint seit einer Woche eine neue Technik einzusetzen \u2013 und ist bei einer Entwickler-Version &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/08\/30\/avast-spioniert-https-verbindungen-aus\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,161],"tags":[451,4328],"class_list":["post-222170","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-virenschutz","tag-datenschutz","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222170","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=222170"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/222170\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=222170"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=222170"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=222170"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}