Populäre Browser-Erweiterung Hola: Verwirrung um schwere Lücken

2. Juni 2015, 11:57
posten

Hacker widersprechen CEO, dass Schwachstellen behoben wurden

Millionen Menschen nutzen die populäre Browser-Erweiterung Hola um etwa Ländersperren auf Websites wie Netflix zu umgehen. Berichte, dass das Unternehmen die Bandbreiten der Nutzer verkauft und ein Hacker das VPN für eine Denial-of-Service-Attacke missbraucht hat, haben nun jedoch ein anderes Licht auf den Dienst geworfen. Dem nicht genug, wurden schwere Lücken in der Erweiterung entdeckt. Nun hat sich der CEO von Hola zu Wort gemeldet. Die Kritik ebbt dadurch jedoch nicht ab.

Tracking und Codeausführung

Auf der Seite "Adios, Hola!" erklären mehrere White-Hat-Hacker welche Risiken die Erweiterung birgt. Nutzer fungieren in dem P2P-basierten VPN als Exit Nodes. Der Traffic wird nicht wie bei anderen VPN durch Proxy-Server sondern über die Computer anderer Nutzer geleitet. Diese Bandbreite verkauft das Unternehmen auch für kommerzielle Zwecke. Wer das nicht will, kann den kostenpflichtigen Dienst nutzen. Das war schon zuvor bekannt und Hola geht darauf auch auf seiner Website ein.

Nutzer können jedoch auch von Website-Betreiber getrackt werden und aufgrund von Sicherheitslücken ist die Ausführung von Schadcode aus dem Rechner der Nutzer möglich. Auf der Seite können Nutzer, die die Erweiterung installiert haben, überprüfen für welche dieser Probleme sie anfällig sind.

CEO verteidigt Unternehmen, verspricht aber Besserung

In einem Blogeintrag bestätigt CEO Ofer Vilenski, dass es zwei Sicherheitslücken gegeben habe, die eine Codeausführung erlaubt haben. Inzwischen seien diese aber geschlossen worden. Zudem will man in Zukunft Security-Audits durch ein unabhängiges Unternehmen durchführen lassen und ein Programm zum Auffinden von Bugs einführen. Vilenski verteidigt seine Firma damit, dass Sicherheitslücken bei jedem Unternehmen vorkommen und führt als Beispiele unter anderem Apples iCloud, Skype und Sony an. Er zitiert dabei den verstorbenen Apple-Gründer Steve Jobs, dass man sich Fehler eingestehen und Innovationen weiter verbessern sollte.

"Wir haben das erste P2P-Netzwerk für HTTP entwickelt, um das offene Internet voranzutreiben", schreibt der CEO. Die Unterstützung von Millionen von Nutzern habe Hola zum größten VPN weltweit wachsen lassen. Die "fürchterlichen Anschuldigungen gegen Hola" seien ungerechtfertigt. Man habe daraus jedoch gelernt und werde nun deutlicher hervorheben, dass Hola ein P2P-Netzwerk ist, das auf die Bandbreite der Nutzer zurückgreift. Nach Angaben von Vilenski seien das durchschnittlich 6 MB pro Tag, die von den Usern abgezwackt würden.

Sicherheitsforscher: Lücken weiter offen

Die Hacker von "Adios, Hola" widersprechen den Ausführungen Vilenski allerdings. Zwar sei es richtig, dass das Tracking-Problem behoben wurde. Allerdings seien die Lücken, die eine Codeausführung ermöglichen noch offen. Hola habe nur Änderungen durchgeführt, damit das Prüf-Tool die Sicherheitslücken nun nicht mehr erkennt. Außerdem handle sich nicht um zwei, sondern sechs Sicherheitslecks.

Nutzer bleiben damit weiterhin im Dunkeln. Zwar sollten nun alle darüber Bescheid wissen, dass User des Gratis-Dienstes zum Ausgangspunkt für den Traffic anderer Nutzer werden. Ob die Erweiterung aber wirklich vor Sicherheitslücken strotzt und gefährlich ist, oder die Security-Forscher doch falsch liegen, können Nutzer nicht selbst einschätzen. Eine Deinstallation des Dienstes ist derzeit wohl die einzige Möglichkeit, um auf der sicheren Seite zu sein. (Birgit Riegler, 2.6.2015)

  • Hola gehört zu den populärsten Browser-Erweiterungen, der Dienst wird jedoch von Sicherheitslücken gebeutelt.
    foto: hola

    Hola gehört zu den populärsten Browser-Erweiterungen, der Dienst wird jedoch von Sicherheitslücken gebeutelt.

Share if you care.