Abo
  • Services:
Anzeige
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

Anzeige

Sicherheitsforscher von Facebook haben Details über Software veröffentlicht, die mit der SSL-Interception-Technologie der Firma Komodia ausgestattet ist. Die Facebook-Forscher fanden über ein Dutzend Programme, die alle dieselbe Technologie einsetzen. Überwiegend handelt es sich um Werbesoftware, die Nutzer unbeabsichtigt installieren, aber auch um Software, die von Antivirenprogrammen als Trojaner eingestuft wird. Auch das US-CERT hat weitere Produkte identifiziert, die Komodia einsetzen. Eines fällt dabei besonders auf: die Software Ad-Aware Web Companion von Lavasoft.

Riskante Technologie untergräbt HTTPS-Sicherheit

Komodia ist eine Firma, die eine SSL-Interception-Technologie mit dem Namen SSL Digestor anbietet. Dabei wird im Browser ein Root-Zertifikat installiert, und fortan kann die Software, welche diese Technologie nutzt, den Datenstrom auch bei HTTPS-Verbindungen untersuchen und manipulieren. Bekannt wurde dies durch die Superfish-Adware, die von Lenovo auf zahlreichen Laptops vorinstalliert wurde. Die Komodia-Technologie ist ein großes Sicherheitsrisiko, denn sie erlaubt Angreifern nach Belieben Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen.

Im Netz findet man unzählige Klagen über Produkte mit der Komodia-Technologie. Programme mit Namen wie Colormedia, Sendori oder Wiredtools wurden bei unzähligen Anwendern unerwünscht auf den Computern installiert. Meist werden derartige Programme als Beilage zu kostenlosen anderen Programmen mitgeliefert und der Anwender installiert sie unbeabsichtigt, entweder automatisch oder wegen verwirrender Dialoge. Solche Programme werden von Antiviren-Programmen häufig als Potentially unwanted Applications (PUA) bezeichnet.

Auch Malware nutzt Komodia

Bei einigen der Produkte scheint es sich relativ eindeutig um echte Malware zu handeln. So berichtet beispielsweise Symantec über einen Trojaner namens Nurjax, der laut Facebook ebenfalls die Komodia-Technologie einsetzt.

Zu zahlreichen dieser Produkte sind inzwischen die Zertifikate und privaten Schlüssel bekannt. Ein Sicherheitsforscher mit dem Pseudonym Slipstream/Raylee hat verschiedene dieser Schlüssel extrahiert und auf Github veröffentlicht.

Trick erlaubt Angriff ohne privaten Schlüssel

Doch für einen Angriff auf HTTPS-Verbindungen sind diese Schlüssel häufig überhaupt nicht notwendig. Wie der Cloudflare-Mitarbeiter Filippo Valsorda herausgefunden hat, gibt es einen Trick, mit dem ein Zertifikat erstellt werden kann, das von fast allen Komodia-Produkten akzeptiert wird. Wenn die Komodia-Technologie ein ungültiges Zertifikat auf einer Webseite erkennt, beispielsweise ein selbstsigniertes Zertifikat, dann wird dieses Zertifikat ebenfalls ersetzt; allerdings ersetzt die Software dabei auch den Hostnamen. Somit bleibt das Zertifikat für den Browser ungültig. Allerdings ersetzt die Software dabei nur den sogenannten Common-Name und nicht den Hostnamen in der Erweiterung Subject-Alt-Name (SAN).

Der Hintergrund: Ursprünglich erlaubten TLS-Zertifikate nur einen Hostnamen, mit der SAN-Erweiterung sind mehrere Hostnamen in einem Zertifikat möglich. Dieses Verhalten von Komodia ermöglicht es nun, ein selbstsigniertes Zertifikat zu erstellen, das im Common-Name einen beliebigen Wert enthält und im Subject-Alt-Name den korrekten Domain-Namen. In unseren eigenen Tests funktionierte das mit den meisten Komodia-Programmen, aber nicht in allen.

Anti-AdWare nutzt AdWare-Technologie

Auch scheinbar legitime Programme setzen die Komodia-Technologie ein. Die Software Ad-Aware Web Companion der Firma Lavasoft soll eigentlich dazu dienen, unerwünschte Adware von Computern zu entfernen. Doch auch diese Software nutzt die gefährliche Komodia-Technologie. Von der Herstellerfirma gibt es inzwischen ein Statement auf Facebook. Darin heißt es, dass man sich bereits vor dem Superfish-Vorfall entschlossen hätte, die Komodia-Technologie zu entfernen.

"Lavasofts jüngstes Release Ad-Adware Web Companion (veröffentlicht am 18. Februar 2015) enthält diese Eigenschaft nicht, allerdings können wir noch nicht mit Sicherheit bestätigen, dass die kompromittierten Komponenten des Komodia SSL Digestors entfernt wurden", heißt es in der Stellungname. Lavasoft weiß also offenbar nicht, welche Technologien in der eigenen Software eingesetzt werden. Ein kurzer Test von Golem.de gab Aufschluss: Auch die jüngste Version 1.1.885.1766 ist nach einer frischen Installation betroffen und installiert ein Root-Zertifikat in den Browser, das den Anwender gefährdet.

Deinstallieren und Zertifikat entfernen

Für die Superfish-Adware gibt es inzwischen ein Deinstallations-Tool von Lenovo. Doch Nutzer der diversen anderen betroffenen Produkte müssen selbst handeln. Zunächst sollte man die Software deinstallieren, anschließend müssen die Zertifikate im Zertifikatsmanager von Windows entfernt werden. Mozilla liefert seinen eigenen Zertifikatsmanager, dort müssen die Zertifikate ebenfalls manuell gelöscht werden.

Antiviren-Programme helfen nur wenig weiter. Bei Tests auf der Plattform Virustotal wurden einige der betroffenen Produkte von keinem einzigen Antiviren-Programm erkannt.

Der Autor dieses Texts hat einen Online-Test mit allen bisher bekannten Zertifikaten und Schlüsseln erstellt. Auch der generische Zertifikats-Trick wird dabei geprüft, außerdem wird bei Browsern, die dies unterstützen, mittels HTTP Public Key Pinning generisch auf SSL-Man-in-the-Middle-Technologien geprüft.


eye home zur Startseite
egal 24. Feb 2015

Get a Brain und das schreibe ich obwohl ich sogar selbst einen Mac habe

matok 23. Feb 2015

Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu...

SoniX 23. Feb 2015

Ich bin kein Programmierer und verstehe nichtmal richtig die heutige Technologie. Aber...

GaliMali 22. Feb 2015

Ich erinnere nur an Antiviren-Scanner, die komplett HTTPS auf diese weise analyiseren...



Anzeige

Stellenmarkt
  1. SEW-EURODRIVE GmbH & Co KG, Bruchsal
  2. TUI InfoTec GmbH, Hannover
  3. Robert Bosch GmbH, Schwieberdingen bei Stuttgart
  4. ZF Friedrichshafen AG, Passau


Anzeige
Blu-ray-Angebote
  1. (u. a. The Knick, Person of Interest, Shameless, The Wire)
  2. (u. a. Jurassic World, Die Unfassbaren, Creed, Interstellar, Mad Max Fury Road)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von IBM
  2. Mit digitalen Workflows Geschäftsprozesse agiler machen
  3. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie


  1. Musikstreaming

    Soundcloud könnte bald Spotify gehören

  2. Online- oder Handyfahrschein

    Ausweiszwang bei der Bahn

  3. Elektroauto

    Volkswagen ID soll bis zu 600 km elektrisch fahren

  4. Sicherheitsrisiko Baustellenampeln

    Grüne Welle auf Knopfdruck

  5. Altiscale

    SAP kauft US-Startup für 125 Millionen US-Dollar

  6. Stiftung Warentest

    Mailbox und Posteo gewinnen Mailprovidertest

  7. Ausrüster

    Kein 5G-Supermobilfunk ohne Glasfasernetz

  8. SpaceX

    Warum Elon Musks Marsplan keine Science-Fiction ist

  9. Blau

    Prepaid-Kunden bekommen deutlich mehr Datenvolumen

  10. Mobilfunk

    Blackberry entwickelt keine Smartphones mehr



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Canon vs. Nikon: Superzoomer für unter 250 Euro
Canon vs. Nikon
Superzoomer für unter 250 Euro
  1. Snap Spectacles Snapchat stellt Sonnenbrille mit Kamera vor
  2. MacOS 10.12 Fujitsu warnt vor der Nutzung von Scansnap unter Sierra
  3. Bildbearbeitungs-App Prisma offiziell für Android erhältlich

DDoS: Das Internet of Things gefährdet das freie Netz
DDoS
Das Internet of Things gefährdet das freie Netz
  1. Hilfe von Google Brian Krebs' Blog ist nach DDoS-Angriff wieder erreichbar
  2. Picobrew Pico angesehen Ein Bierchen in Ehren ...
  3. Peak Smarte Lampe soll Nutzer zum Erfolg quatschen

MacOS 10.12 im Test: Sierra - Schreck mit System
MacOS 10.12 im Test
Sierra - Schreck mit System
  1. MacOS 10.12 Sierra fungiert als alleiniges Sicherheitsupdate für OS X
  2. MacOS Sierra und iOS 10 Apple schmeißt unsichere Krypto raus
  3. Kaspersky Neue Malware installiert Hintertüren auf Macs

  1. Re: dabei war das System super

    DetlevCM | 08:30

  2. CB-Funk 90er Jahre

    joehallenbeck | 08:29

  3. Re: warum?

    NaruHina | 08:28

  4. Re: Darf ein "IT Security Experte" so naiv sein...

    Anonymouse | 08:27

  5. Re: 600km

    Trollversteher | 08:27


  1. 07:45

  2. 07:26

  3. 07:12

  4. 07:00

  5. 19:10

  6. 18:10

  7. 16:36

  8. 15:04


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel