Abo
  • Services:
Anzeige
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

Anzeige

Sicherheitsforscher von Facebook haben Details über Software veröffentlicht, die mit der SSL-Interception-Technologie der Firma Komodia ausgestattet ist. Die Facebook-Forscher fanden über ein Dutzend Programme, die alle dieselbe Technologie einsetzen. Überwiegend handelt es sich um Werbesoftware, die Nutzer unbeabsichtigt installieren, aber auch um Software, die von Antivirenprogrammen als Trojaner eingestuft wird. Auch das US-CERT hat weitere Produkte identifiziert, die Komodia einsetzen. Eines fällt dabei besonders auf: die Software Ad-Aware Web Companion von Lavasoft.

Riskante Technologie untergräbt HTTPS-Sicherheit

Komodia ist eine Firma, die eine SSL-Interception-Technologie mit dem Namen SSL Digestor anbietet. Dabei wird im Browser ein Root-Zertifikat installiert, und fortan kann die Software, welche diese Technologie nutzt, den Datenstrom auch bei HTTPS-Verbindungen untersuchen und manipulieren. Bekannt wurde dies durch die Superfish-Adware, die von Lenovo auf zahlreichen Laptops vorinstalliert wurde. Die Komodia-Technologie ist ein großes Sicherheitsrisiko, denn sie erlaubt Angreifern nach Belieben Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen.

Im Netz findet man unzählige Klagen über Produkte mit der Komodia-Technologie. Programme mit Namen wie Colormedia, Sendori oder Wiredtools wurden bei unzähligen Anwendern unerwünscht auf den Computern installiert. Meist werden derartige Programme als Beilage zu kostenlosen anderen Programmen mitgeliefert und der Anwender installiert sie unbeabsichtigt, entweder automatisch oder wegen verwirrender Dialoge. Solche Programme werden von Antiviren-Programmen häufig als Potentially unwanted Applications (PUA) bezeichnet.

Auch Malware nutzt Komodia

Bei einigen der Produkte scheint es sich relativ eindeutig um echte Malware zu handeln. So berichtet beispielsweise Symantec über einen Trojaner namens Nurjax, der laut Facebook ebenfalls die Komodia-Technologie einsetzt.

Zu zahlreichen dieser Produkte sind inzwischen die Zertifikate und privaten Schlüssel bekannt. Ein Sicherheitsforscher mit dem Pseudonym Slipstream/Raylee hat verschiedene dieser Schlüssel extrahiert und auf Github veröffentlicht.

Trick erlaubt Angriff ohne privaten Schlüssel

Doch für einen Angriff auf HTTPS-Verbindungen sind diese Schlüssel häufig überhaupt nicht notwendig. Wie der Cloudflare-Mitarbeiter Filippo Valsorda herausgefunden hat, gibt es einen Trick, mit dem ein Zertifikat erstellt werden kann, das von fast allen Komodia-Produkten akzeptiert wird. Wenn die Komodia-Technologie ein ungültiges Zertifikat auf einer Webseite erkennt, beispielsweise ein selbstsigniertes Zertifikat, dann wird dieses Zertifikat ebenfalls ersetzt; allerdings ersetzt die Software dabei auch den Hostnamen. Somit bleibt das Zertifikat für den Browser ungültig. Allerdings ersetzt die Software dabei nur den sogenannten Common-Name und nicht den Hostnamen in der Erweiterung Subject-Alt-Name (SAN).

Der Hintergrund: Ursprünglich erlaubten TLS-Zertifikate nur einen Hostnamen, mit der SAN-Erweiterung sind mehrere Hostnamen in einem Zertifikat möglich. Dieses Verhalten von Komodia ermöglicht es nun, ein selbstsigniertes Zertifikat zu erstellen, das im Common-Name einen beliebigen Wert enthält und im Subject-Alt-Name den korrekten Domain-Namen. In unseren eigenen Tests funktionierte das mit den meisten Komodia-Programmen, aber nicht in allen.

Anti-AdWare nutzt AdWare-Technologie

Auch scheinbar legitime Programme setzen die Komodia-Technologie ein. Die Software Ad-Aware Web Companion der Firma Lavasoft soll eigentlich dazu dienen, unerwünschte Adware von Computern zu entfernen. Doch auch diese Software nutzt die gefährliche Komodia-Technologie. Von der Herstellerfirma gibt es inzwischen ein Statement auf Facebook. Darin heißt es, dass man sich bereits vor dem Superfish-Vorfall entschlossen hätte, die Komodia-Technologie zu entfernen.

"Lavasofts jüngstes Release Ad-Adware Web Companion (veröffentlicht am 18. Februar 2015) enthält diese Eigenschaft nicht, allerdings können wir noch nicht mit Sicherheit bestätigen, dass die kompromittierten Komponenten des Komodia SSL Digestors entfernt wurden", heißt es in der Stellungname. Lavasoft weiß also offenbar nicht, welche Technologien in der eigenen Software eingesetzt werden. Ein kurzer Test von Golem.de gab Aufschluss: Auch die jüngste Version 1.1.885.1766 ist nach einer frischen Installation betroffen und installiert ein Root-Zertifikat in den Browser, das den Anwender gefährdet.

Deinstallieren und Zertifikat entfernen

Für die Superfish-Adware gibt es inzwischen ein Deinstallations-Tool von Lenovo. Doch Nutzer der diversen anderen betroffenen Produkte müssen selbst handeln. Zunächst sollte man die Software deinstallieren, anschließend müssen die Zertifikate im Zertifikatsmanager von Windows entfernt werden. Mozilla liefert seinen eigenen Zertifikatsmanager, dort müssen die Zertifikate ebenfalls manuell gelöscht werden.

Antiviren-Programme helfen nur wenig weiter. Bei Tests auf der Plattform Virustotal wurden einige der betroffenen Produkte von keinem einzigen Antiviren-Programm erkannt.

Der Autor dieses Texts hat einen Online-Test mit allen bisher bekannten Zertifikaten und Schlüsseln erstellt. Auch der generische Zertifikats-Trick wird dabei geprüft, außerdem wird bei Browsern, die dies unterstützen, mittels HTTP Public Key Pinning generisch auf SSL-Man-in-the-Middle-Technologien geprüft.


eye home zur Startseite
egal 24. Feb 2015

Get a Brain und das schreibe ich obwohl ich sogar selbst einen Mac habe

matok 23. Feb 2015

Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu...

SoniX 23. Feb 2015

Ich bin kein Programmierer und verstehe nichtmal richtig die heutige Technologie. Aber...

GaliMali 22. Feb 2015

Ich erinnere nur an Antiviren-Scanner, die komplett HTTPS auf diese weise analyiseren...



Anzeige

Stellenmarkt
  1. Wanzl Metallwarenfabrik GmbH, Leipheim
  2. Robert Bosch GmbH, Stuttgart-Feuerbach
  3. Goethe-Institut e.V., München
  4. Schaeffler Technologies AG & Co. KG, Herzogenaurach


Anzeige
Blu-ray-Angebote
  1. 21,99€ (Vorbesteller-Preisgarantie)
  2. 149,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mehr dazu im aktuellen Whitepaper von Bitdefender
  2. Mehr dazu im aktuellen Whitepaper von IBM
  3. Mehr dazu im aktuellen Whitepaper von Freudenberg IT


  1. Bildbearbeitung unmöglich

    Lightroom-App für Apple TV erschienen

  2. Quartalszahlen

    Apple-Gewinn bricht wegen schwächerer iPhone-Verkäufe ein

  3. SSD

    Crucial erweitert MX300-Serie um 275, 525 und 1.050 GByte

  4. Shroud of the Avatar

    Neustart der Ultima-ähnlichen Fantasywelt

  5. Spielekonsole

    In Nintendos NX stecken Nvidias Tegra und Cartridges

  6. Nach Terroranschlägen

    Bayern fordert Ausweitung der Vorratsdatenspeicherung

  7. Android-Smartphone

    Update soll Software-Probleme beim Oneplus Three beseitigen

  8. Tim Sweeney

    "Microsoft will Steam zerstören"

  9. Störerhaftung weg

    Kommt nun der Boom für offene WLANs?

  10. Fusion mit Hailo

    Mytaxi wird zum größten App-basierten Taxivermittler Europas



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Edward Snowden: Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
Edward Snowden
Spezialhülle fürs iPhone warnt vor ungewollter Funkaktivität
  1. Qualcomm-Chips Android-Geräteverschlüsselung ist angreifbar
  2. Apple Nächstes iPhone soll keine Klinkenbuchse haben
  3. Smarte Hülle Android unter dem iPhone

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Quadro P6000/P5000 Nvidia kündigt Profi-Karten mit GP102-Vollausbau an
  2. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  3. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August

  1. Re: Windows-Unterstützung

    Seitan-Sushi-Fan | 05:32

  2. De Maizière hätte die Tat verhindern können.

    Pjörn | 05:19

  3. Re: Ich bete, dass das nicht stimmt ...

    Seitan-Sushi-Fan | 04:42

  4. Re: Achtziger an Nintendo: Wir wollen unsere...

    Seitan-Sushi-Fan | 04:31

  5. Re: Warum ist das Steammonopol besser?

    Seitan-Sushi-Fan | 04:16


  1. 23:40

  2. 23:14

  3. 18:13

  4. 18:06

  5. 17:37

  6. 16:54

  7. 16:28

  8. 15:52


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel