Chromodo: "Sicherer" Browser mit groben Sicherheitsdefiziten

3. Februar 2016, 15:18
7 Postings

Google warnt vor der Verwendung – Hebelt Same Origin Policy des Browsers

Unter dem Namen Chromodo hat SSL-Zertifikatsanbieter Comodo seit einiger Zeit auch einen eigenen Browser im Angebot. Und dieser gibt recht großspurige Versprechen ab: Auf der Basis von Googles Chromium-Projekt soll er eine deutlich bessere Sicherheit und Privacy als andere Browser bieten. Die Realität sieht allerdings reichlich anders aus: Ein eklatanter Fehler der Entwickler führt nämlich dazu, dass Chromodo grundlegende Sicherheitsfunktionen von Chromium / Chrome aushebelt.

Entdeckung

Wie Google-Sicherheitsexperte Tavis Ormandy in einem Bug-Eintrag meldet, setzt Chromodo die Same Origin Policy des Browsers außer Kraft, die Grundlage zentraler Schutzmaßnahmen ist. In Folge haben Webseiten bei der Nutzung von Chromodo mittels einfacher Javascript-Aufrufe Zugriff auf Cookies und Sessions aller anderen besuchten Seiten, und können die Nutzer so umfassend ausspionieren.

Reaktion

Die Reaktion von Comodo auf diese Lücke darf ebenfalls Sorgen bereiten. Hat man doch mit einem Update lediglich dafür gesorgt, dass der Proof-of-Concept-Exploit von Ormandy nicht mehr funktioniert. Die Kernproblematik besteht hingegen weiter. Zusätzlich hat Ormandy aber noch andere zweifelhafte Verhaltensweisen von Chromodo aufgespürt: Der Browser kopiert einfach ungefragt sämtliche Chrome-Cookies und -Einstellungen, auch verändert er die DNS-Einträge.

Vorgeschichte

Es ist nicht das erste Mal, dass Comodo die Systemsicherheit seiner Nutzer effektiv unterwandert. So hat das Unternehmen noch vor nicht all zu langer Zeit eine Software namens PrivDog vertrieben, die – ähnlich wie Lenovos viel kritisiertes "Superfish" – die SSL/TLS-Sicherheit des System unterwandert, um eigene Werbung in Webseiten einzubinden. Wenige Tage danach wurde zusätzlich bekannt, dass PrivDog nach Hause telefoniert, und dabei die Surfgewohnheiten der Nutzer übermittelt. (apo, 3.2.2016)

  • Chromodo verspricht die Nutzer vor Angriffen zu schützen, gefährdet sie in Wirklichkeit aber.
    grafik: comodo

    Chromodo verspricht die Nutzer vor Angriffen zu schützen, gefährdet sie in Wirklichkeit aber.

Share if you care.