Fehlende Same Origin Policy

Chromodo-Browser gefährdet Internet-Nutzer

von - 03.02.2016
Chromodo Browser
Foto: Comodo
Nutzer des Chromodo-Browsers bewegen sich völlig ungeschützt im Netz, denn der angeblich sichere Browser umgeht das zentrale Sicherheitskonzept Same Origin Policy.
Chromodo Bug
Chromodo: In der Chrome-Abwandlung lässt sich das SOP-Sicherheitskonzept umgehen.
(Quelle: Google Security Research)
Google-Chrome-Abwandlung mit Sicherheitsdefizit: Besonders schnell und sicher soll er sein, der Chromodo-Browser des Security-Herstellers Comodo. Dass  an der versprochenen Sicherheit nicht viel dran ist, hat nun der Forscher Tavis Ormandy von Google Security Research herausgefunden. In seiner Untersuchung hat Ormandy festgestellt, dass Chromodo das zentrale Sicherheitskonzept Same Origin Policy (SOP) umgeht und damit seine Nutzer ungeschützt dem Web überlässt.
Normalerweise stellt SOP sicher, dass Informationen von einer Webseite nur dann an eine andere übergeben werden, wenn beide denselben Ursprung aufweisen. Dieser definiert sich aus einer Kombination aus URI-Scheme, Host-Name und Port-Nummer. Dank der Funktion sind beispielsweise Nutzerdaten vom Online-Banking vor dem Zugriff von bösartigen Scripten auf anderen geöffneten Seiten sicher. SOP wird von allen modernen Browsern und Web-Diensten unterstützt.

Wenn Security-Unternehmen patzen...

Aufgrund eines kritischen Fehlers schützt aber Chromodo seine Nutzer nicht über SOP ab. Der Hersteller wurde bereits auf die Schwachstelle hingewiesen. Ein erster Hotfix des Tools hat den Bug allerdings nicht behoben, sondern lediglich die Schnittstelle entfernt, mit der Ormandy die Sicherheitslücke bewiesen hatte.
Der Sicherheitsforscher hatte in der Vergangenheit schon mehrfach kritische Lücken in Anwendungen von Security-Unternehmen gefunden. Beispielsweise erlaubte ein Fehler im Trend Micro Passwort-Manager, dass Angreifer beliebigen Schadcode ausführen und Passwörter stehlen konnten.