Abo
  • Services:
Anzeige
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Komodia-Filter: Superfish-Affäre weitet sich aus

"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Anzeige

Eine Filtertechnologie von einer Firma namens Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Zertifikat untergräbt Sicherheit von HTTPS

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Webseiten Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein riesiges Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Midde-Attacke gefälschte verschlüsselte Webseiten unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Cafe-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es gestern gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Graham stellte dabei fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautete. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Der Komodia-Filter kommt vor allem in Jugendschutzprodukten zum Einsatz. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden inzwischen die privaten Schlüssel ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt. Das CERT-CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem: Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Webseite von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkentnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Webseiten weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Der Umgang von Lenovo mit dem Vorfall ist unterdessen alles andere als glücklich. Gestern Abend erreichte uns eine Stellungnahme des Konzerns. "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen", heißt es darin. Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte heute gegenüber der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren, so Lenovo. Inzwischen gibt es auch auf der Lenovo-Webseite eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.

Risiko von Filtertechnologien

Generell dürfte der Vorfall eine Debatte um riskante Filtertechnologien befördern. Viele Programme, die den Datenverkehr von Browsern beeinflussen möchten, nutzen dafür Methoden, die die Sicherheit des Nutzers gefährden können. Die Komodia-Technologie ist hierfür ein Extrembeispiel, weil alle Installationen eines Produkts denselben privaten Schlüssel einsetzen und somit sehr leicht angreifbar sind. Aber auch generell hebeln derartige Filtertechnologien oft bestehende Sicherheitsmechanismen aus, etwa das inzwischen von einigen Browsern unterstützte Verfahren HTTP Public Key Pinning.

"Das war eine schmerzhafte Art, das zu lernen", schreibt dazu der IT-Sicherheitsspezialist Filippo Valsorda von der Firma Cloudflare auf Twitter. Er hoffe, so Valsorda, dass nun alle lernen, dass die Unterstützung für derartige Technologien die Sicherheit von allen gefährde.

Wer testen möchte, ob er von Superfish betroffen ist, kann dies hier tun. Ein ähnlicher Test für die anderen betroffenen Produkte ist zurzeit noch nicht verfügbar, wir rechnen aber damit, dass dies innerhalb der nächsten Stunden passieren wird.


eye home zur Startseite
stuempel 22. Feb 2015

Was du bzw. ihr sucht, gibt es und nennt sich Windows Signature Edition. Von Microsoft...

Vanger 21. Feb 2015

Sofern es sich endlich mal verbreiten würde...

crash 20. Feb 2015

Ich frage mich ja, ob ich gegen solche Software als Seitenbetreiber vorgehen kann...

millionär 20. Feb 2015

kwt

millionär 20. Feb 2015

Kwt



Anzeige

Stellenmarkt
  1. Bankhaus Metzler, Frankfurt
  2. Landeshauptstadt München, München
  3. über Robert Half Technology, Stuttgart
  4. THOMAS SABO GmbH & Co. KG, Lauf an der Pegnitz


Anzeige
Hardware-Angebote
  1. (u. a. Asus GTX 1070 Strix, MSI GTX 1070 Gaming X 8G, Inno3D GTX 1070 iChill)
  2. (Core i5-6500 + Geforce GTX 1060)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Project Catapult

    Microsoft setzt massiv auf FPGAs

  2. Kabel

    Vodafone deckt mit 400 MBit/s fünf Millionen Haushalte ab

  3. Session Recovery

    Firefox und Chrome schreiben sehr viele Daten

  4. Windows 10 Enterprise

    Edge-Browser soll bald in virtueller Umgebung laufen

  5. Valve

    Oberfläche von Steam wird überarbeitet

  6. Tintenstrahldrucker

    Anbieter umgehen HPs Patronensperre

  7. UTM

    Nokia lässt Drohnen am Flughafen steigen

  8. Swift Playgrounds im Test

    Apple infiziert Kinder mit Programmiertalent

  9. Gedrosselt

    Congstar bringt Hardware WLAN Cube mit Datentarif

  10. Messenger

    Datenschützer verbietet Facebook und Whatsapp Datenabgleich



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Recruiting: Uni-Abschluss ist nicht mehr das Wichtigste
Recruiting
Uni-Abschluss ist nicht mehr das Wichtigste
  1. Friends Conrad vermittelt Studenten für Serviceleistungen
  2. IT-Jobs Bayerische Firmen finden nicht genügend Programmierer
  3. Fest angestellt Wie viele Informatiker es in Deutschland gibt

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  2. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  3. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus

Mi Notebook Air im Test: Xiaomis geglückte Notebook-Premiere
Mi Notebook Air im Test
Xiaomis geglückte Notebook-Premiere
  1. Mi Notebook Air Xiaomi steigt mit Kampfpreisen ins Notebook-Geschäft ein
  2. Xiaomi Mi Band 2 im Hands on Fitness-Preisbrecher mit Hack-App
  3. Xiaomi Hugo Barra verkündet Premium-Smartphone

  1. Open Source mBot Workshop

    Stefan.hoehn | 14:02

  2. Re: Was sind die MS und Google-Alternativen?

    Praefectus | 14:01

  3. Re: Wie lange werden wir noch über jeden Unfall...

    Dino13 | 14:00

  4. Re: Änderungen in der Lizensierung

    registrierungen... | 14:00

  5. Re: Wenn sich der Nutzungsstandort des Homespots...

    ScaniaMF | 14:00


  1. 13:54

  2. 13:24

  3. 13:15

  4. 13:00

  5. 12:45

  6. 12:30

  7. 12:15

  8. 11:58


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel