Antivirensoftware mit Lücken – Comodo Internet Security

monster-701991_1280Antivirensoftware gehört auf jeden Rechner drauf. Dies ist soweit auch richtig. Auch wenn ein Antivirenprodukt keine 100%-tige Sicherheit bieten kann, so ist es doch gerade für den Ottonormalanwender wichtig, eine Software zu nutzen, welche bestimmte Sicherheitsaufgaben übernimmt.

Dennoch, und hier gebe ich den EDV-Experten recht, welche gegen Antivirenlösungen wettern, sollte man auf keinen Fall sage:“Ich habe ein Antivirenprodukt, mit kann nichts passieren.“ Umso schlimmer finde ich es, wenn eine Software Funktionen verspricht und gleichzeitig extreme Sicherheitslücken beinhaltet.

So ist dies aktuell bei Comodo Internet Security. Diese Software verspricht, dass man sich im Internet gefahrlos bewegen kann, da die Internetprogramme in einer sogenannten „Sandbox“ bewegen. Sie Sandbox ist ein Bereich in dem keine Veränderungen am eigentlichen System vorgenommen werden können. Es ist zwar Möglich Dateien in der Sandbox zu ändern, aber diese bleiben in der Sandbox und wenn ein Schädling sich hier ausführt, bleibt auch dieser in der Sandbox und kann nicht das komplette System infizieren – theoretisch.

Dummerweise liefert Comodo Internet Security gleich eine Hintertür mit, mit der ein Angreifer recht einfach aus dieser Sandbox ausbrechen kann. Dies geschieht mit der Software „GeekBuddy“, welche Comodo praktischerweise gleich mitliefert.

Diese Software ist eine Fernwartungslösung und soll dafür sorgen, dass der Support von Comodo sich bei Problemen auf den Rechner schalten kann um den Nutzer zu helfen. Eigentlich kein Problem, denn nach einem ähnlichen Prinzip arbeitet auch unsere Fernwartung. Leider versäumt es Comodo aber, den Nutzer hierüber explizit aufzuklären und im Gegensatz zu unserer Standardlösung ist der GeekBuddy immer aktiv und wartet auf Verbindung.

Um zu verhindern, dass sich jeder einfach auf den GeekBuddy aufschaltet, hat Comodo ein Passwort hier eingebaut und nun kommen wir zum wirklichen Problem:

Das Kennwort wird anhand der Festplatte generiert und beträgt dann 8 Zeichen. Diese wichtigen Daten können von jedem Benutzer ohne Probleme ausgelesen und verwendet werden. Für den Benutzer kann das folgendes Bedeuten:

Sie surfen im Internet und werden erfolgreich angegriffen. Die Schadsoftware ist nun in der Sandbox. Nun geht die Software hin und liest sich die Daten der Festplatte aus, generiert sich nun das Passwort und baut eine Verbindung zum GeekBuddy auf. Nun kann der Rechner ohne Sandbox manipuliert werden und die Sandbox ist komplett überflüssig.

Bei Google Security gibt es hierzu einen ausführlichen Bericht.

Sollten Sie Comodo als Antivirenlösung einsetzen, sollten Sie den Geekbuddy wieder deinstallieren oder den Dienst ausschalten, sodass es keine Möglichkeit gibt, diese Schwachstelle auszunutzen.

Wenn Sie hierbei Hilfe benötigen oder verunsichert sind, welche Sicherheitssoftware die richtige für Sie ist, stehen wir Ihnen gern zur Verfügung.