Gefährliche Adware: Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat

Die Affäre um gefährliche CA-Zertifikate weitet sich aus; nunmehr sind mehr als ein Dutzend Anwendungen bekannt, die Computer anfällig für Man-in-the-Middle-Angriffe machen. Ausgangspunkt: Die SSL-Unterbrechungs-Technologie SSL Digestor von Komodia.

In Pocket speichern vorlesen Druckansicht 99 Kommentare lesen
Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat
Lesezeit: 3 Min.

Das bedrohliche CA-Zertifikat, das sich mit der vorinstallierten Adware Superfish Visual Discovery auf Lenovo-Laptops eingeschlichen hat, ist noch in mehr als einem Dutzend anderen Anwendungen enthalten und macht so beliebige Computer für Man-in-the-Middle-Angriffe anfällig. Das haben der Facebook-Sicherheitsforscher Matt Richard und das US-CERT herausgefunden.

Dabei handelt es sich zum Großteil um Adware. Symantec berichtet in dieser Angelegenheit zudem vom Trojaner Nurjax, aber auch der vermeintliche Helfer Ad-Aware Web Companion von Lavasoft sei betroffen. Lavasoft hat auf Facebook mittlerweile Stellung zu der Angelegenheit bezogen und will künftige Versionen von der gefährlichen Komponente bereinigen.

Diese Anwendungen betten das gefährliche Root-Zertifikat in Ihr System ein:

  • CartCrunch Israel LTD
  • WiredTools LTD
  • Say Media Group LTD
  • Over the Rainbow Tech
  • System Alerts
  • ArcadeGiant
  • Objectify Media Inc
  • Catalytix Web Services
  • OptimizerMonitor
  • Keep My Family Secure
  • Qustodio
  • Kurupira
  • Superfish Visual Discovery
  • Ad-Aware Web Companion

Der Ursprung der ganzen Misere ist die SSL-Unterbrechungs-Technologie SSL Digestor der Firma Komodia. Alle Anwendungen, die das Root-Zertifikat im System verankern, setzen auf das gleiche Software Development Kit.

Eine genauere Analyse der Technologie vom Sicherheitsforscher Filippo Valsorda hat noch einen weiteren Weg zutage befördert, wie sich Server mit falscher Identität ausweisen können. Dabei nutzen Anwendungen die den SSL Digestor einsetzen einen SSL-Proxy von Komodia, der on the fly neue Zertifikate erstellt, denen der Browser mit der Komodia-CA vertraut. Allerdings stellt der Proxy sich zum Teil so dumm an, dass er die Zertifikate der Server nicht ausreichend checkt. Daraus folgt, dass der Server dem Proxy ein ungültiges Zertifikat vorsetzen kann und der Proxy das dann trotzdem unterschreibt und es so dem Browser als gültiges Zertifikat präsentiert. Dabei braucht der Angreifer noch nicht einmal einen privaten Schlüssel, der Proxy nimmt ihm die Arbeit ab.

Ob Sie betroffen sind, können Sie mit einem Test überprüfen, der die ins System eingebetteten CA-Zertifikate von allen bisher bekannten Anwendungen erkennen soll. Die meisten Virenscanner springen noch nicht auf die Anwendungen an, wie eine Stichprobe der Plattform Virustotal zeigt. Damit der Computer nicht mehr angreifbar ist, müssen Nutzer neben der De-Installation der jeweiligen Anwendung auch unbedingt das gefährliche CA-Zertifikat händisch aus dem System entfernen. Die Vorgehensweise hängt dabei vom verwendeten Webbrowser ab.

Befindet sich Superfish Visual Discovery auf Ihrem System, können Sie ein von Lenovo zur Verfügung gestelltes Tool zum automatisierten Entfernen der Anwendung inklusive des gefährlichen CA-Zertifikates nutzen. Auch der Windows Defender verspricht nunmehr eine vollständige Erkennung und De-Installation von Superfish.

Doch scheinbar arbeiten die beiden Tools nur verlässlich, wenn der Anwender die Adware vor der Nutzung noch nicht über den Windows-Dialog deinstalliert hat. Ist dies der Fall, funktionieren das Automatic Removal Tool von Lenovo und der Windows Defender nur unzuverlässig und belassen das Root-Zertifikat im System. Das berichtet der Sicherheitsforscher Günter Born in seinem Blog.

Mittlerweile wurde in den USA eine Sammelklage gegen Lenovo und Superfish eingereicht, berichtet das IT-Portal PC World. (des)