An alle Adguard-Nutzer...

Habt ihr schon einmal nachgeschaut ob bei euch ein Root-Zertifikat von Adguard installiert wurde?
Wenn ja dann möchte Adguard anscheiend auch Werbung auf HTTPS-Verbindungen prüfen. (Gibt es dafür eigentlich eine eigene Einstellung oder ist das immer aktiviert?)

Nun gab es auf jeden Fall vor kurzem erst den Fall mit Kaspersky, dessen SSL-MITM-Angriff, u.a. den Freak-Angriff ermöglicht und der - soweit ich weiß - auch noch nicht gefixt wurde. Und der Autor des dort verlinkten Golem-Artikels hat sich, durch den Kommentar eines Nutzers, auch einmal Adguard angeschaut und schreibt:

Zitat

Had a look at it. It's bad. It's bad in a very interesting and creative way.
If you have adguard installed: Remove it together with its cert immediately. It's a huge security risk. I'll post details later.

Wenn weitere Informationen veröffentlicht werden, werde ich diese selbstverständlich hier posten sobald ich auf sie treffe.

Ich gehe mal davon aus, dass es nur die Installationsversion betrifft. Schau doch einfach mal nach ob im Zertifikate-Manager ein Zertifikat von Adguard installiert ist.

Also ist da sogar nicht nur eins sondern gleich zwei Zertifikate.
Entferne die am besten. Selbst wenn Adguard sie nicht nutzt sind ein Sicherheitsrisiko.
Schau auch im Zertifikatstore von Firefox und Thunderbird wenn du eins der beiden benutzt.

Na dann würde ich dies aber schleunigst entfernen...

Hier ist eine Liste aller Standart-Root-Zertifikate in Firefox: CA:IncludedCAs - MozillaWiki
Und hier eine Anleitung wie du einfach alle Root-Zertifikate wieder auf die standardmäßig enthaltenen zurücksetzen kannst: reset certificate settings | Firefox-Hilfeforum | Mozilla-Hilfe

Wie versprochen informiere ich euch über Neuerungen - und diese sind jetzt auch veröffentlicht wurden.
In dem Artikel More TLS Man-in-the-Middle failures - Adguard, Privdog again and ProtocolFilters.dll beschreibt der im ersten Post erwähnte Autor jetzt alle Details.
Dabei hat Adguard - ähnlich wie bei Superfish - auch HTTPS-Verbindungen abgefangen um (logischerweise) Werbung zu entfernen.
Dabei hat es jedoch bis zu einem Fix im Mai immer einen von 10 privaten Schlüssel genutzt, der bei Installation basierend auf der CPU ausgewählt wurde. Alle diese Schlüssel konnten dabei leicht aus der Datei ProtocolFilters.dll extrahiert werden.
Für Adguard heißt dies also, dass zumindest alle MITM-Verbindungen der bis zu Fix veröffentlichten Versionen, von Angreifern abgefangen werden können und so beliebig manipuliert werden können.
Interessant ist dabei jedoch auch, dass die Datei ProtocolFilters.dll auch in vielen PUA's, also beispielsweise Software, die in Installern mitgeliefert wird, enthalten ist. Offensichtlich gibt es also noch mehr Software die eigentlich sichere Verbindungen abfängt.
Als Beispiele nennt er Coupoon, CashReminder, SavingsDownloader, Scorpion Saver, SavingsbullFilter, BRApp, NCupons, Nurjax, Couponarific, delshark, rrsavings, triosir und screentk.