Deutsch | English
Dieser Blog enthält keine offiziellen Aussagen von CERT.at, sondern persönliche Meinungen einzelner Mitarbeiter.

Superfish - Eine Zusammenfassung

20. Februar 2015

Die meisten im Handel erhältlichen Notebooks werden mit einer vorinstallierten Version von Windows in Kombination mit weiterer "nützlicher" Software - gemeinhin als "Bloatware" bezeichnet - ausgeliefert. Für die meisten Leute ist diese auf Notebooks vorinstallierte Bloatware eine rein nervige Angelegenheit, doch ein Fall von Bloatware auf Notebooks der Firma Lenovo zeigt, welche Gefährdung durch derlei Software entstehen kann.

Was ist passiert?

Notebooks einiger Consumerreihen von Lenovo wurden über einen längeren Zeitraum mit der Software "Superfish Visual Discovery ausgeliefert. Die Beschreibung des Herstellers dazu ist:

SimilarProducts is a monetization platform that uses Superfish technology to help users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers. The SimilarProducts Platform includes hundreds of millions of product offers from thousands...
In einem offiziellen Statement von Lenovo war die folgende Intention zu lesen:
In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks. We thought the product would enhance the shopping experience, as intended by Superfish.
Um es etwas verständlicher auszudrücken: Es handelt sich hierbei um Adware.

Laut Lenovo wurde die Software nur auf Consumergeräten die zwischen Oktober und Dezember 2014 ausgeliefert wurden, installiert. Dem gegenüber stehen jedoch Berichte aus Foren die bereits im Juni 2014 auftauchten. Es ist also absolut nicht auszuschliessen, dass die betroffene Zeitspanne wesentlich grösser ist.

Auswirkungen

Betroffen sind laut dem Hersteller folgende Modelle:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30
Neben den an sich schon ungewünschten Eigenschaften - wie dem oben erwähnten Einblenden von Werbung bei der Benutzung von Suchmaschinen sowie der Einschränkung der Funktionalität von Websockets (in Foren werden noch weitere Dinge berichtet, hier ist bisher aber noch nicht vollends klar, ob die Probleme direkt mit Superfish zusammenhängen) - verankert sich die Software noch als vertrauenswürdiger Zertifikatsaussteller (Root CA) im Certificate Store des Betriebssystems.

Dies ist per se schon schlimm genug, da sich Superfish damit als jede beliebige Webseite ausgeben kann und dadurch in der Lage ist, verschlüsselten Datenverkehr aufzubrechen. Die naheliegendste (und für die Software schmeichelhafteste) Vermutung dafür ist, dass damit ermöglicht werden sollte, auch in TLS-gesicherte Verbindungen Werbung einzublenden.

Zusätzlich dazu ist der Private Key Bestandteil der Software, was es ermöglicht, diesen via Reverse Engineering in Erfahrung zu bringen.

Das ist inzwischen passiert. Der Sicherheitsforscher Robert Graham hat in einem Blogeintrag beschrieben, wie erschreckend einfach es war an den verwendeten Private Key zu kommen. Inzwischen hat es der entschlüsselte Private Key auf Pastebin und Twitter geschafft, was es wahrscheinlich macht, dass sich Kriminelle diesen bald zunutze machen werden.

Denkbar wären damit beispielsweise Man-in-the-Middle-Attacken, bei denen sich etwa eine gefälschte Internetseite einer Bank als vertrauenswürdig ausweist. Auch schadhafter Code kann mit gefäschten Zertifikaten ausgestattet werden, die aufgrund der im System vorhandenen Superfish-CA dann als korrekt signiert betrachtet werden würde.

Lenovo selbst hat aufgrund des massiven Drucks durch die Medien eine Anleitung bereitgestellt, mit der sich sowohl die Adware als auch die CA entfernen lassen. Der Sicherheitsforscher Filippo Valsorda hat inzwischen einen Test zur Verfügung gestellt, mit dem sich prüfen lässt, ob das Problem noch vorhanden ist.

Weitere Auswirkungen?

Möglicherweise sind die bisherigen Auswirkungen noch nicht alles. Das Passwort für den von der Anwendung verwendeten Private Key lautete "komodia", was Journalisten und Sicherheitsforscher auf die Spur einer Firma geführt hat, die Filter- und Jugendschutztechnologien vertreibt, die auf die selbe Technologie und, fatalerweise, dasselbe Passwort für den Private Key setzen. CERT/CC warnt inzwischen vor allen Produkten dieser Firma.

In den nächsten Tagen werden mit grosser Wahrscheinlichkeit viele Exemplare solcher Software von Sicherheitsforschern auf den Prüfstand genommen werden.

Update, 20.02.2015, 17:15: Inzwischen ist der erste Proof-of-Concept erschienen. Dieser ist in der Lage, verschlüsselte Verbindungen von betroffenen Lenovo-Geräten (im lokalen Netzwerk) unauffällig mitzuschneiden.

Autor: Alexander Riepl

Email: reports@cert.at
Tel.: +43 1 5056416 78
mehr ...
Sicherheitslücken (teils kritisch) in Cisco FXOS und NX-OS Software - Patches verfügbar
21. Juni 2018 | Beschreibung Cisco ...
Security Advisory für Microsoft Exchange Server
20. Juni 2018 | Beschreibung | Microsoft ...
mehr ...
DoS-Schwachstelle im Kernel - keine Panik!
7. August 2018 | In der ...
In eigener Sache: CERT.at sucht Verstärkung
5. Juni 2018 | Für unsere ...
mehr ...
Jahresbericht 2016
Ein Resumee zur digitalen Sicherheitslage in Österreich

(HTML, PDF).
Letzte Änderung: 2015/2/20 - 17:32:43
Haftungsausschluss / Datenschutzerklärung