Ein Sicherheitsforscher hat den Schlüssel des Root-Zertifikats geknackt, das sich durch vorinstallierte Adware auf vielen Laptops von Lenovo eingeschlichen hat. Nun sind alle Türen für Angreifer offen ? auch verschlüsselte Verbindungen sind betroffen.
Ab sofort können sich Cyber-Gangs online gegenüber Besitzern von vielen Lenovo-Laptos mit einer beliebigen Identität ausweisen und gefährliche Man-in-the-Middle-Angriffe tätigen. Denn ein Sicherheitsforscher hat genau dokumentiert, wie er den geheimen Schlüssel des CA-Zertifikats extrahieren konnte. Das Root-Zertifikat hat sich durch die vorinstallierte Adware Superfish Visual Discovery auf Laptops von Lenovo eingeschlichen.
Wie der Sicherheitsforscher Robert Graham in seinem Blog berichtet, hat er den geheimen Schlüssel aus dem laufenden Superfish-Prozess extrahiert. Dann stellte er jedoch fest, dass dieser noch mit einem Passwort verschlüsselt war. Doch auch das Passwort konnte er mit einfachen Mitteln knacken.
Mit diesen Informationen könnte so jeder den Superfish-Schlüssel nutzen, um sich beliebige andere Zertifikate auszustellen, denen der Browser dann vertraut. Das ist natürlich besonders prekär, wenn sich die Gegenseite als Online-Banking-Seite ausgibt und den Anwender ausspioniert.
Lenovo hat sich mittlerweile zum Vorfall geäußert und versichert, dass Superfish auf entsprechenden Laptops seit Januar dieses Jahres nicht mehr aktiv ist. Betroffen seien zudem ausschließlich Geräte, die zwischen Oktober und Dezember vergangenen Jahres verkauft wurden. Auf der Thinkpad-Reihe des Herstellers soll sich die Adware nicht befinden. Außerdem teilte Lenovo mit, dass sie die Software schon seit Anfang des Jahres nicht mehr vorab auf Computern installieren. Auch in Zukunft will man Laptops nicht mehr mit Superfish ausstatten. Wie Businesswire berichtet, untersuchen in den USA bereits Anwälte den Vorfall und schließen eine Klage nicht aus.
Mit dem Superfish-CA-Test können Sie überprüfen, ob sich das Root-Zertifikat auf Ihrem System eingeschlichen hat. Betroffen sind der Internet Explorer und Google Chrome. Aktuellen Berichten zufolge soll sich das CA-Zertifikat auch bei Firefox einschleichen können. Falls Ihr Computer betroffen ist, gehen Sie nach der folgenden Anleitung vor:
- De-Installieren Sie zuallererst Superfish über den gewohnten Windows-Dialog.
- Für Internet-Explorer- und Chrome-Nutzer: Starten Sie den Internet Explorer als Administrator und öffnen Sie die Internetoptionen. Klicken Sie dann auf Inhalte und anschließend Zertifikate. Unter dem Reiter Vertrauenswürdige Stammzertifizierungsstellen suchen Sie nach dem Eintrag Superfish Inc. und klicken dann auf Entfernen. Danach ist auch Chrome abgesichert, denn der Webbrowser bedient sich aus der gleichen Zertifikats-Quelle.
- Firefox-Nutzer klicken in den Einstellungen auf den Reiter Erweitert und dann auf Zertifikate. Zeigen Sie anschließend die Zertifikate an und löschen alle Einträge, die den Begriff Superfish enthalten.
[UPDATE]
Verwendung der Begriffe Zertifikat und Schlüssel korrigiert.
[UPDATE 20.02.15 16:50]
Mittlerweile ist bekannt, dass sich auch Software von Komodia mit einem Root-Zertifikat in Computersystemen verankert. Im Detail scheint das sogar der Ursprung der ganzen Misere zu sein, denn Superfish setzt auf ein Software Development Kit von Komodia. Betroffen sind die Filter-Tools Keep My Family Secure, Qustodio und Kurupira. Die privaten Schlüssel wurden bereits geknackt und veröffentlicht. Dabei seien alle mit demselben Passwort geschützt gewesen. Auch in diesem Fall wird dringend eine De-Installation der jeweiligen Software empfohlen. Das CA-Zertifikat muss man aber ebenfalls händisch vom Computer entfernen.
Die Internetseite von Komodia ist derzeit nicht zu erreichen und Besucher sehen lediglich eine Texttafel mit einem Verweis auf eine DDoS-Attacke. In einem Interview mit dem Wirtschaftsmagazin Forbes hält sich der Firmen-Gründer Barak Weichselbaum bedeckt und führt sein Schweigen auf vertragliche Gründe zurück. (des)
mehr hilfreiche Tipps nächste Seite