Forscher unter anderem von Google und Mozilla warnen vor den Problemen, die Sicherheitsprodukte verursachen, wenn sie verschlüsselte HTTPS-Verbindungen überwachen. Die Hersteller handelten dabei "fahrlässig".

In einer systematischen Studie haben Forscher Umfang und Auswirkung der Überwachung von gesicherten HTTPS-Verbindungen untersucht. Antiviren-Software und Firmen-Proxies terminieren häufig die TLS-Verschlüsselung, um den Inhalt unter anderem auf Schad-Software untersuchen zu können. Die Ergebnisse der Studie sind erschreckend: Zum einen liegt der Anteil der überwachten Verbindungen deutlich höher als bisher angenommen, zum anderen führt das zu teilweise dramatischen Sicherheitsproblemen.

Die Forscher untersuchten rund 8 Milliarden TLS-Verbindungen zum Firefox-Update-Dienst, einigen E-Commerce-Sites und bei Cloudflare. Dabei stellten sie fest, dass bis zu 10 Prozent der gesicherten Verbindungen nicht mehr die typischen Verbindungsparameter des verwendeten Browsers aufwiesen – sie also irgendwo unterwegs unterbrochen wurden. Fast immer reduziere das die Sicherheit der Verbindungen; in vielen Fällen führe es sogar zu dramatischen Sicherheitsproblemen.

"Sicherheitsfirmen handeln fahrlässig"

Konkret bedeutet das etwa: 13 von 29 untersuchten Antiviren-Programmen klinken sich in die verschlüsselten TLS-Verbindungen ein. Und alle bis auf eines verschlechtern dabei die Sicherheit der Verbindung; in vielen Fällen konnten die Forscher den angeblichen Schützern sogar massive Sicherheitsprobleme nachweisen. So erlaubten gemäß der Studie Produkte von Avast, Bitdefender, Bullguard, Dr.Web, Eset, G Data und Kaspersky direkte Angriffe auf die gesicherten Verbindungen. Bei den getesteten Security-Appliances für die Inspektion von TLS-Verbindungen sieht es nicht besser aus: 11 von 12 schwächten die Sicherheit etwa durch die Hinzunahme von kaputten Verfahren wie RC4.



In vielen Fällen reduzierte die Unterbrechung der TLS-Verbindung deren Sicherheit; häufig führte dies sogar zu ernsthaften Sicherheitsproblemen.

Bild: The Security Impact of HTTPS Interception

Die Forscher fordern deshalb insbesondere die Hersteller von Antiviren-Software auf, ihre Praxis der TLS-Überwachung dringend noch einmal zu überdenken. Überhaupt sollten Sicherheitsfirmen stärker berücksichtigen, mit welcher Geschwindigkeit sich das HTTPS-Ökosystem entwickle und ob sie wirklich damit Schritt halten können.

Die Forscher stoßen damit in das gleiche Horn wie kürzlich ein Ex-Firefox-Entwickler und sein noch aktiver Kollege bei Chrome: "Viele der Verwundbarkeiten in Antiviren-Produkten und Proxies in Fimrenumgebungen [….] sind fahrlässig und ein weiteres Zeichen für den Trend, dass ausgerechnet Sicherheitsprodukte die Sicherheit verschlechtern statt sie zu verbessern" heißt es im Fazit. So weit wie der Ex-Firefox-Entwickler, dass sie zur Deinstallation von AV-Software auffordern, gehen sie allerdings nicht. (ju)