zurück zum Artikel

Eset NOD32 Antivirus 9 gefährdet https-Verschlüsselung

Eset NOD32 gefärhdet https-Verschlüsselung

Eset NOD32 Antivirus 9 installiert einen SSL-Filter, der sich in die Verschlüsselung einklinkt. Wie heise Security entdeckte, akzeptiert er dabei unter Umständen gefälschte Zertifikate; ein Update des Herstellers beseitigt den Fehler.

Im Rahmen eines Artikels für das aktuelle c't magazin überprüfte heise Security Root-CA-Zertifikate. Dabei stellte sich nebenbei heraus, dass Esets Antiviren-Suite NOD32 9 einen SSL-Filter mit eigener CA installiert. Und diese CA beglaubigte dann auch on-the-fly die gefälschten Zertifikate unserer Man-in-the-Middle-Proxies. Das Resultat: Der MitM-Proxy konnte unter anderem Passwörter und andere sensible Informationen mitlesen.

Wie sich in weiteren Tests zeigte, ist das Installieren einer eigenen Root-CA nicht ungewöhnlich. Die AV- beziehungsweise Internet-Security-Suiten von Avast, AVG, G Data. Kaspersky, Bitdefender und BullGuard machten das ebenfalls. Allerdings ließ außer Esets NOD32 kein anderes Produkt unsere einfachen MitM-Angriffe einfach passieren.

Eset-SSL-Filter (0 Bilder) [1]

[2]

Wir konnten dieses Problem mit NOD32 9 auf Windows 7 und 10 reproduzieren und meldeten dies dem Hersteller, der auch prompt reagierte. Ein automatisch verteiltes Update beseitigt die Lücke. Unser Test-System zeigt jetzt bei Aufruf der verschlüsselten Seite die erwartete Fehlermeldung und überlässt es dem Anwender, über das weitere Vorgehen zu entscheiden. Eset betont, dass der Fehler nur dann auftrat, wenn der Anwender einen Proxy benutzte.

Wie man nachträglich installierte Root-CA-Zertifikate gezielt aufspürt und dann analysiert, erklärt der dabei entstandene c't-Artikel "Gesundes Misstrauen, Herausgeber-Zertifikate unter Windows prüfen" in c't 4/2016, S. 156, die ab Samstag am Kiosk erhältlich ist. (ju [3])


URL dieses Artikels:
http://www.heise.de/-3095024

Links in diesem Artikel:
[1] https://www.heise.de/bilderstrecke/bilderstrecke_3095099.html?back=3095024;back=3095024
[2] https://www.heise.de/bilderstrecke/bilderstrecke_3095099.html?back=3095024;back=3095024
[3] mailto:ju@ct.de