image

Comodo levert adware die SSL-verkeer onderschept

maandag 23 februari 2015, 15:04 door Redactie, 14 reacties
Laatst bijgewerkt: 23-02-2015, 15:48

Na computerfabrikant Lenovo blijkt ook beveiligingsaanbieder Comodo adware met de eigen software te bundelen die SSL-verkeer onderschept, alleen is de impact vele malen groter dan met Lenovo's Superfish het geval was. Dat stelt onderzoeker Hanno Bock. Comodo is bekend van software zoals Comodo Internet Security en de Comodo Dragon Browser. Met sommige van de programma's wordt de PrivDog-adware meegeleverd.

Net als Superfish onderschept PrivDog HTTPS-verkeer om advertenties van "betrouwbare partijen" te injecteren. Eind vorig jaar werd de mogelijkheid om HTTPS-verkeer te filteren al op het forum van Comodo besproken. De software staat na het Superfish-schandaal nu volop in de schijnwerpers. Een gebruiker besloot vanwege Superfish een test op deze pagina te doen, die gebruikers waarschuwt als hun HTTPS-verbinding is gemanipuleerd. Hoewel de gebruiker geen Superfish gebruikte kreeg hij toch een waarschuwing. Vervolgens meldde deze gebruiker op Hacker News dat het mogelijk om de PrivDog-adware ging.

PrivDog heeft niet dezelfde kwetsbaarheid als Superfish, dat een zwak certificaat en een zwak wachtwoord gebruikt om de privésleutel van het certificaat te beschermen, maar één die volgens Bock mogelijk vele malen groter is. Hoewel Superfish hetzelfde certificaat en sleutel voor alle installaties gebruikte, maakt PrivDog voor elke installatie een aparte sleutel en certificaat aan. Het grootste probleem is dat PrivDog elk certificaat onderschept en door een zelf gesigneerd certificaat vervangt.

Het gaat hier ook om certificaten die in eerste instantie niet geldig waren. Daardoor zal de browser elk HTTPS-certificaat accepteren dat er is, ongeacht of het door een Certificaat Autoriteit (CA) is gesigneerd of niet. "We zijn nog bezig om de details uit te zoeken, maar het ziet er slecht uit", merkt Bock op. De onderzoeker vindt het daarnaast vreemd dat Comodo, dat zelf een CA is, de adware met de eigen software bundelt. "Als CA zou het hun taak moeten zijn om HTTPS te beschermen, niet te breken", concludeert de onderzoeker.

Update 15:48

Inmiddels waarschuwt ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit voor PrivDog. Een aanvaller kan volgens het CERT/CC HTTPS-sites spoofen en HTTPS-verkeer onderscheppen zonder dat gebruikers een certificaatwaarschuwing te zien krijgen. Gebruikers krijgen dan ook het advies om PrivDog te verwijderen. Daarmee zou ook het rootcertificaat in kwestie worden verwijderd.

Image

Reacties (14)
23-02-2015, 15:19 door [Account Verwijderd] - Bijgewerkt: 23-02-2015, 15:20
[Verwijderd]
23-02-2015, 15:25 door Anoniem
Door Forester: Kijk eens aan..als rijpe appels vallen ze uit de boom.
Wie wordt de volgende in dit (CA)-schandaal?
Dat is Comodo al een paar keer geweest hoor :)
23-02-2015, 15:27 door Anoniem
"PrivDog " is een OPTIE die bij de installatie van sommige Commodo producten aangeboden wordt.
Wie het uit heeft gevinkt heeft er dus geen last van.
Ik zeg dit hierom (nadat het gisteren al gepubliceerd was) er een soort paniek is uitgebroken onder mensen (In de US dan) die het bewust niet geïnstalleerd hebben en nu met vragen komen dat ze het certificaat van PrivDog niet kunnen vinden.
Dat klopt dus.
Verder behoorlijk zwak van Comodo ja.
23-02-2015, 15:58 door Anoniem
Als niet IT'er zijnde vraag ik mij af dat SSL gedoe kan je toch perfect uitzetten in IExplorer bijvoorbeeld. Had men niet aangeraden SSL3 uit te vinken niet zolang geleden of vergis ik mij.

Ik heb er daar geen enkele van aangevinkt staan.

Tip? (bij mij staat hij niet in het register die PrivDog)

http://maxuninstaller.com/howtouninstallguides/tips-to-uninstall-privdog/
23-02-2015, 16:00 door Anoniem
ik vind comodo 1 van de beste maar nu heb ik al 3 dingen geconstateert.


1. comodo update een keer niet waardoor ik de help / support button heb gedrukt echter kwam ik met een medewerker franky of zo in gesprek.

franky liet mijn zien dat mijn computer vele errors had en voor een prijs van 39 euro werd ik 1 jaar lid
echter wat hji mij liet zijn zijn wel fouten maar zoals vele weten heb je altijd wat errors in je windows logbook. -1

2. comodo heeft een keer een groot gat met valse certifikaten. -2


3. nu dit

ik blijjf het nog effe gebruiken maar ze kunnen te ver gaan ! en zal ik overstappen.
23-02-2015, 16:39 door Erik van Straten
Op https://www.ssllabs.com/ssltest/viewMyClient.html kun je zien welke eigenschappen de "client" heeft die jij gebruikt.

Als er spyware/crapware/malware op jouw PC zit, die ingrijpt tussen jouw webbrowser en jouw netwerkkaart (wat lokale proxy software doet), is de kans groot dat je andere resultaten krijgt dan een schone PC met webbrowser zonder narigheid weergeeft.

Ook virusscanners die zo'n lokale proxy hebben geïnstalleerd (o.a. Kaspersky, Avast en BitDefender hebben deze mogelijkheid aan boord meen ik) kunnen aanzienlijk slechter presteren als https client dan moderne webbrowsers.

Nb. met deze test kun je niet vaststellen of er ongewenste rootcertificaten zijn geïnstalleerd, wel of er een proxy service draait op jouw PC met een gebrekkige https client implementatie.
23-02-2015, 16:55 door gogonal
Ik heb het hele CA gebeuren altijd al een stukje 'geloof me maar op mijn blauwe ogen'-theater gevonden. Maar dat de uitvoering ook nog eens zo knullig is.... We moeten er vanaf. Dit hele systeem moet op de schop. Het is kapot vanaf de start.
23-02-2015, 17:02 door Anoniem
Heeft iemand een idee hoe praktisch werkbaar het blijft als je alle certificaten van Comodo op je systeem en in je browsers blacklist ?
23-02-2015, 17:46 door [Account Verwijderd] - Bijgewerkt: 23-02-2015, 17:47
[Verwijderd]
23-02-2015, 20:55 door johanw
Nog een reden om al die onzin van steeds uitdijende virusscanners niet te accepteren en geen productente installeren die je surfgedrag checken.

Het lijkt wel of de NSA investeert in reclameboeren om zo SSL te saboteren.
23-02-2015, 21:34 door Anoniem
http://privdog.com/advisory.html

"The potential issue is not present in the PrivDog plug-in that is distributed with Comodo Browsers and Comodo has not distributed this version to its users."

Dat privdog is dus een optionele download (net als bij Avast, Kaspersky en Nod32), en zelfs als je er voor kiest zat die bug voor het onderscheppen van SSL verkeer er helemaal nooit in bij Comodo volgens privdog zelf.

Maar security.nl brengt Comodo altijd graag in een slecht daglicht. Heeft niets met journalistiek te maken, dit is gewoon smaad.

Een rectificatie zou op zijn plaats zijn....
23-02-2015, 22:00 door Eric-Jan H te D
Door Anoniem: "PrivDog " is een OPTIE die bij de installatie van sommige Commodo producten aangeboden wordt. Wie het uit heeft gevinkt heeft er dus geen last van.

Ja net zoals die autohandelaar die je voor een vriendenprijsje als optie een twee keer te dure trekhaak bij je auto wil verkopen. Je weet dat en ziet af van deze "geweldige" optie. Maar koop je toch de auto bij hem?

Ik baal ontzettend. Ik heb, op en af, al vaak Comodo IS en PrivDog gebruikt. En ik gebruik nog steeds Secure DNS van ze op diverse computers
24-02-2015, 14:52 door Anoniem
Vandaar dat ik de beveiligingsbedrijven niet vertrouw. ik heb wel beveiligingssoftware van een bekende ontwikkelaar maar ook die vertrouw ik niet. 100% dus doe regelmatig scans met meer dan alleen dat ene stuk software.
02-03-2015, 15:59 door beert
Heb al een tijd geleden Comodo eruit gegooid, maar PrivDog had ik wel aangevinkt zodat dit nog een tijd lang op mijn pc stond ingebakken. Ja ik heb dit toen aangevinkt want je denkt een virusscanner beschermt je. Ik word zo langzamerhand helemaal paranoia van die virusscanners, welke je moet kiezen, welke je echt beschermd? ik weet het niet meer.
Nu heb ik voor het eerst een betaalde IS nl. Avast. Dit bevalt me ook niet want je PC is traag en ze tonen iedere keer een popup of je dit en dat erbij wilt kopen en ze staan ook niet meer als beste bekend. Dus die gaat er ook maar uit. Het woord Windows wordt nu wel als het ware een vloek voor mij.
Ik heb toendertijd een leeg bakkie gekocht en deze opgevuld met het besturingsysteem Linux (Ubuntu). Hier voel ik me wel veilig op. Maar ja wat is tegenwoordig veilig. Comodo medewerkers zijn eigenlijk criminelen en iedereen die deze IS wil installeren moet gewaarschuwd worden. Wie raadt me aan welke virusscanner ik het best kan nemen op Windows. En ik wil er ook niet meer voor betalen. Want gratis is soms beter dan betaald.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.