Die Adware “Superfish Visual Discovery” gefährdet alle HTTPS-Verbindungen der betroffenen Rechner

Adware: Lenovos MitM-Zertifikat, die Spitze eines Eisbergs

Carsten Eilers

© Shutterstock.com/Spectral-Design

Lenovo hat auf Consumer-Notebooks eine Adware installiert. Und die hat es in sich, bringt sie doch ein MitM-Zertifikat für HTTPS-Verbindungen mit und gefährdet damit alle HTTPS-Verbindungen der betroffenen Rechner.

Nicht betroffen sind die Business-Geräte. Anscheinend ist man bei Lenovo nie auf die Idee gekommen, dass die Käufer ihr Notebook im Allgemeinen nach der benötigten Leistung und den erwünschten Features auswählen und nicht nach der Typbezeichnung. Mal ganz davon abgesehen dass so ein Angriff schlimm ist, egal ob gegen Consumer- oder Business-Kunden.

Die installierte Adware „Superfish Visual Discovery“

Die Adware „Superfish Visual Discovery“ dient dazu, im Internet Explorer, Chrome und Firefox Werbung einzublenden. Dazu werden die Bilder auf den besuchten Websites analysiert und danach Werbung für identische oder ähnliche Produkte mit niedrigeren Preis eingeblendet.

Das funktioniert natürlich nur, wenn die Adware auch auf die Webseiten zugreifen kann. Was nur bei über HTTP übertragenen Inhalten möglich ist. Bei HTTPS-Verbindungen guckt die Software quasi auf die sprichwörtliche Röhre: Sie sieht den verschlüsselten Datenstrom, weiß aber nicht, was drin steckt. Die Lösung dieses Problem lautet „Man-in-the-Middle“: Wenn die Adware sich zwischen Browser und Server drängelt, kann sie die Daten selbst entschlüsseln und dann analysieren, bevor sie an den Webbrowser weitergeleitet werden.

Jetzt wird es gefährlich: Ein MitM für HTTPS!

Das Ganze hat nur einen kleinen Nachteil: Wenn die HTTPS-Verbindung derartig aufgebrochen wird, muss die Adware sich gegenüber dem Browser mit einem eigenen Zertifikat ausweisen. Das erzeugt dann aber im Browser eine Warnung, weil es nicht vertrauenswürdig ist. Und selbst wenn der Adware-Hersteller es schafft, sich ein eigenes Zertifikat für seinen MitM-Proxy zu beschaffen, wird der „Server“ (für den der Browser den MitM ja hält) zwar als vertrauenswürdig eingestuft, das präsentierte Zertifikat der Adware passt aber natürlich nicht zur aufgerufenen Seite.

Die Lösung dieses Problem ist ganz einfach, wenn man die Installation von System und Adware kontrolliert: Dann kann man ganz einfach ein eigenes Root-Zertifikat installieren, mit dem der MitM-Proxy dann „on the fly“ für jede aufgebrochene HTTPS-Verbindung ein eigenes Zertifikat für den aufgerufenen Server erstellt. So ein „MitM-Zertifikat macht MitM-Angriffe auf HTTPS kinderleicht. Für den Benutzer sieht es danach nur so aus, als würden alle besuchten HTTPS-Webseiten SuperFish als CA verwenden.

Schlimmer geht immer

Bisher haben wir also das Problem, dass die Adware ein eigenes Root-Zertifikat in das System einschleust, mit dem es sich als beliebiger Server ausgeben kann. Das wäre schon schlimm genug, wenn dieses Zertifikat für jedes Gerät individuell erzeugt würde. Das ist aber nicht der Fall, es wird immer das gleiche Root-Zertifikat verwendet. Alles, was ein Angreifer braucht, um einen MitM-Angriff auf Lenovo-Notebooknutzer zu starten, ist der zugehörige private Schlüssel.

Das MitM-Zertifikat ist öffentlich!

Der muss ja in der Software enthalten sein, damit der MitM-Proxy die benötigten gefälschten Zertifikate „on the fly“ beim Aufruf einer HTTPS-Seite erstellen kann. „Sicherheitshalber“ ist er mit einem Passwort geschützt. Das ja gezwungenermaßen ebenfalls in der Software enthalten sein muss, damit der Zugriff auf den privaten Schlüssel möglich ist. Und da hat es Robert Graham von Errata Security auch gefunden. Und das sogar als Klartext, die Entwickler der Adware habe sich nicht mal die Mühe gemacht, es auch nur zu tarnen. Was das Ausspähen aber auch nur minimal erschwert hätte, denn irgendwann muss das Programm das Passwort ja nutzen und dafür natürlich entschlüsseln. Und das gleiche gilt natürlich auch für den privaten Schlüssel des Root-Zertifikats. Es ist quasi unmöglich, den geheim zu halten, da er doch auf allen infizierten Rechner vorliegt und verwendet wird.

Die Jagd auf Lenovo-Nutzer ist eröffnet!

Nur um es noch mal ganz deutlich zu sagen: Mit diesem Root-Zertifikat kann sich jeder gegenüber einen Benutzer eines mit der Adware verseuchten Lenovo-Notebooks als beliebiger HTTPS-Server ausgeben. Wenn Sie also zum Beispiel die Website Ihrer Bank aufrufen, könnten Sie tatsächlich auf der gefälschten Seite eines Cyberkriminellen landen, der sich nur als Bank-Server ausgibt. Der Angriff fällt nur auf, wenn Sie das vom Server präsentierte Zertifikat näher betrachten, keine einzige Website verwendet "SuperFish Inc." als CA!

Möchte irgend jemand wetten, dass die Cyberkriminellen das Root-Zertifikat noch nicht missbrauchen? Ich nicht. Das wäre das erste Mal, dass die sich eine so gute Gelegenheit für Angriffe entgehen lassen.

Nur das Programm zu löschen ist nicht genug

Es reicht nicht aus, nur das unerwünschte Programm zu löschen. Das installierte Root-Zertifikat vom "SuperFish Inc." bleibt dabei erhalten, es muss manuell gelöscht werden. Bei der Gelegenheit sollten Sie auch gleich nachsehen, ob es noch andere verdächtige Root-Zertifikate gibt. Microsoft hat eine Liste der für Windows nötigen Root-Zertifikate veröffentlicht.

Lenovo hat nichts begriffen!

Bei Lenovo ist man anscheinend nicht in der Lage, den Ernst derselben zu erkennen. Man rühmt sich damit, die Adware nur kurze Zeit ausgeliefert zu haben (Oktober bis Dezember 2014, obwohl es sowohl davor als auch danach Berichte über infizierte Rechner gab) und „do not find any evidence to substantiate security concerns“. Aber wieso hat man dann überhaupt ein Security Advisory veröffentlicht, wenn es doch gar keine Bedenken gibt?

Vielleicht überlegt man sich das Ganze ja noch mal, nachdem nun jemand mit dem SuperFish-Root-Zertifikat ein gültiges Zertifikat für www.lenovo.com erstellt hat. Denn das kann man wohl kaum noch mit „theoretical concerns“ abtun.

Wenigstens gibt es eine Anleitung, wie man das Programm los wird. Und auch, wie man das zurück bleibende Zertifikat löscht. Allerdings nicht vollständig, denn falls sich das auch in den Zertifikat-Speicher des Firefox geschlichen hat muss es auch dort gelöscht werden.

Ob das Zertifikat auf Ihrem Rechner vorhanden ist können sie mit dem Superfish CA test überprüfen.

Lenovo entwickelt zur Zeit auch ein Programm, dass Adware und Zertifikat löschen soll und das noch am heutigen Freitag veröffentlicht werden soll. Wie vertrauenswürdig so ein auf die Schnelle entwickeltes Programm ist ist natürlich fraglich. Viel Zeit für ausführliche Tests haben die Entwickler unter diesem Zeitdruck jedenfalls nicht.

Die Spitze eines Eisbergs

Lenovo und der MitM-Angriff auf HTTPS-Verbindungen ist nur die Spitze eines Eisbergs. Zum einen kann das von SuperFish installierte Root-Zertifikat auch missbraucht werden, um damit signierte Software und Treiber zu installieren.

Zum anderen ist SuperFish nicht die einzige Software, die den MitM-Proxy installiert. Der stammt vom Hersteller Komodia, und die nutzen das System selbst und vergeben auch Lizenzen, so dass diese Technologie in vielen weiteren Produkten enthalten ist. Zumindest betroffen sind

  • Komodias „Keep My Family Secure“ Überwachungssoftware für Eltern („parental control software“).
  • Qustodios Überwachungssoftware für Eltern
  • Kurupira Webfilter

Es gibt also noch viele weitere Rechner, die von einem MitM-Zertifikat gefährdet werden. Das dann wahrscheinlich nicht auf "SuperFish Inc." ausgestellt ist, sondern auf andere Herausgeber. Vielleicht Komodia?

Komodias Website ist wegen eines „DDoS-Angriffs“ aufgrund der vielen Medienberichte derzeit nicht erreichbar („Site is offline due to DDOS with the recent media attention.“). Auch eine Art, das Ganze zu betrachten – dies bösen Medien aber auch! Aber was können die dafür, wenn der Komodia-Server dem Ansturm an deren Entwicklungen Interessierter nicht gewachsen ist?

Auf archive.org gibt es aber noch eine Kopie der Website und damit auch der Beschreibung von Komodias „SSL Decoder/Digestor“. Der ist auf das Einbrechen in SSL/TLS-Verbindungen (nicht nur im Form von HTTPS) spezialisiert, um diese zu überwachen und bei Bedarf auch zu manipulieren.

Und nicht nur Windows-Rechner sind gefährdet, auch im Root-Store vieler Android-Geräte finden sich „merkwürdige“ Root-Zertifikate (Paper als PDF).

Was alles mal wieder zeigt, dass das vorhandene Zertifizierungs-System dringend überarbeitet werden muss.

Verwandte Themen:

Geschrieben von
Carsten Eilers
Carsten Eilers
Dipl.-Inform. Carsten Eilers ist freier Berater und Coach für IT-Sicherheit und technischen Datenschutz und Autor einer Vielzahl von Artikeln für verschiedene Magazine und Onlinemedien. Sie erreichen ihn unter www.ceilers-it.de, sein Blog finden Sie unter www.ceilers-news.de.
Kommentare

Hinterlasse einen Kommentar

Hinterlasse den ersten Kommentar!

avatar
4000
  Subscribe  
Benachrichtige mich zu: