Chromodo-Browser gefährdet Internetnutzer

Google-Chrome-Abwandlung mit Sicherheitsdefizit: Besonders schnell und sicher soll er sein, der Chromodo-Browser des Security-Herstellers Comodo. Dass an der versprochenen Sicherheit nicht viel dran ist, hat nun der Forscher Tavis Ormandy von Google Security Research herausgefunden. In seiner Untersuchung hat Ormandy festgestellt, dass Chromodo das zentrale Sicherheitskonzept Same Origin Policy (SOP) umgeht und damit seine Nutzer ungeschützt dem Web überlässt.

Normalerweise stellt SOP sicher, dass Informationen von einer Webseite nur dann an eine andere übergeben werden, wenn beide denselben Ursprung aufweisen. Dieser definiert sich aus einer Kombination aus URI-Scheme, Host-Name und Port-Nummer. Dank der Funktion sind beispielsweise Nutzerdaten vom Onlinebanking vor dem Zugriff bösartiger Scripte auf anderen geöffneten Seiten sicher. SOP wird von allen modernen Browsern und Webdiensten unterstützt.

Aufgrund eines kritischen Fehlers schützt aber Chromodo seine Nutzer nicht über SOP ab. Der Hersteller wurde bereits auf die Schwachstelle hingewiesen. Ein erster Hotfix des Tools hat den Bug allerdings nicht behoben, sondern lediglich die Schnittstelle entfernt, mit der Ormandy die Sicherheitslücke bewiesen hatte.

Der Sicherheitsforscher hatte in der Vergangenheit schon mehrfach kritische Lücken in Anwendungen von Security-Unternehmen gefunden. Beispielsweise erlaubte ein Fehler im Trend Micro Passwort-Manager, dass Angreifer beliebigen Schadcode ausführen und Passwörter stehlen konnten.