Anzeige
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

Anzeige

Sicherheitsforscher von Facebook haben Details über Software veröffentlicht, die mit der SSL-Interception-Technologie der Firma Komodia ausgestattet ist. Die Facebook-Forscher fanden über ein Dutzend Programme, die alle dieselbe Technologie einsetzen. Überwiegend handelt es sich um Werbesoftware, die Nutzer unbeabsichtigt installieren, aber auch um Software, die von Antivirenprogrammen als Trojaner eingestuft wird. Auch das US-CERT hat weitere Produkte identifiziert, die Komodia einsetzen. Eines fällt dabei besonders auf: die Software Ad-Aware Web Companion von Lavasoft.

Riskante Technologie untergräbt HTTPS-Sicherheit

Komodia ist eine Firma, die eine SSL-Interception-Technologie mit dem Namen SSL Digestor anbietet. Dabei wird im Browser ein Root-Zertifikat installiert, und fortan kann die Software, welche diese Technologie nutzt, den Datenstrom auch bei HTTPS-Verbindungen untersuchen und manipulieren. Bekannt wurde dies durch die Superfish-Adware, die von Lenovo auf zahlreichen Laptops vorinstalliert wurde. Die Komodia-Technologie ist ein großes Sicherheitsrisiko, denn sie erlaubt Angreifern nach Belieben Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen.

Im Netz findet man unzählige Klagen über Produkte mit der Komodia-Technologie. Programme mit Namen wie Colormedia, Sendori oder Wiredtools wurden bei unzähligen Anwendern unerwünscht auf den Computern installiert. Meist werden derartige Programme als Beilage zu kostenlosen anderen Programmen mitgeliefert und der Anwender installiert sie unbeabsichtigt, entweder automatisch oder wegen verwirrender Dialoge. Solche Programme werden von Antiviren-Programmen häufig als Potentially unwanted Applications (PUA) bezeichnet.

Auch Malware nutzt Komodia

Bei einigen der Produkte scheint es sich relativ eindeutig um echte Malware zu handeln. So berichtet beispielsweise Symantec über einen Trojaner namens Nurjax, der laut Facebook ebenfalls die Komodia-Technologie einsetzt.

Zu zahlreichen dieser Produkte sind inzwischen die Zertifikate und privaten Schlüssel bekannt. Ein Sicherheitsforscher mit dem Pseudonym Slipstream/Raylee hat verschiedene dieser Schlüssel extrahiert und auf Github veröffentlicht.

Trick erlaubt Angriff ohne privaten Schlüssel

Doch für einen Angriff auf HTTPS-Verbindungen sind diese Schlüssel häufig überhaupt nicht notwendig. Wie der Cloudflare-Mitarbeiter Filippo Valsorda herausgefunden hat, gibt es einen Trick, mit dem ein Zertifikat erstellt werden kann, das von fast allen Komodia-Produkten akzeptiert wird. Wenn die Komodia-Technologie ein ungültiges Zertifikat auf einer Webseite erkennt, beispielsweise ein selbstsigniertes Zertifikat, dann wird dieses Zertifikat ebenfalls ersetzt; allerdings ersetzt die Software dabei auch den Hostnamen. Somit bleibt das Zertifikat für den Browser ungültig. Allerdings ersetzt die Software dabei nur den sogenannten Common-Name und nicht den Hostnamen in der Erweiterung Subject-Alt-Name (SAN).

Der Hintergrund: Ursprünglich erlaubten TLS-Zertifikate nur einen Hostnamen, mit der SAN-Erweiterung sind mehrere Hostnamen in einem Zertifikat möglich. Dieses Verhalten von Komodia ermöglicht es nun, ein selbstsigniertes Zertifikat zu erstellen, das im Common-Name einen beliebigen Wert enthält und im Subject-Alt-Name den korrekten Domain-Namen. In unseren eigenen Tests funktionierte das mit den meisten Komodia-Programmen, aber nicht in allen.

Anti-AdWare nutzt AdWare-Technologie

Auch scheinbar legitime Programme setzen die Komodia-Technologie ein. Die Software Ad-Aware Web Companion der Firma Lavasoft soll eigentlich dazu dienen, unerwünschte Adware von Computern zu entfernen. Doch auch diese Software nutzt die gefährliche Komodia-Technologie. Von der Herstellerfirma gibt es inzwischen ein Statement auf Facebook. Darin heißt es, dass man sich bereits vor dem Superfish-Vorfall entschlossen hätte, die Komodia-Technologie zu entfernen.

"Lavasofts jüngstes Release Ad-Adware Web Companion (veröffentlicht am 18. Februar 2015) enthält diese Eigenschaft nicht, allerdings können wir noch nicht mit Sicherheit bestätigen, dass die kompromittierten Komponenten des Komodia SSL Digestors entfernt wurden", heißt es in der Stellungname. Lavasoft weiß also offenbar nicht, welche Technologien in der eigenen Software eingesetzt werden. Ein kurzer Test von Golem.de gab Aufschluss: Auch die jüngste Version 1.1.885.1766 ist nach einer frischen Installation betroffen und installiert ein Root-Zertifikat in den Browser, das den Anwender gefährdet.

Deinstallieren und Zertifikat entfernen

Für die Superfish-Adware gibt es inzwischen ein Deinstallations-Tool von Lenovo. Doch Nutzer der diversen anderen betroffenen Produkte müssen selbst handeln. Zunächst sollte man die Software deinstallieren, anschließend müssen die Zertifikate im Zertifikatsmanager von Windows entfernt werden. Mozilla liefert seinen eigenen Zertifikatsmanager, dort müssen die Zertifikate ebenfalls manuell gelöscht werden.

Antiviren-Programme helfen nur wenig weiter. Bei Tests auf der Plattform Virustotal wurden einige der betroffenen Produkte von keinem einzigen Antiviren-Programm erkannt.

Der Autor dieses Texts hat einen Online-Test mit allen bisher bekannten Zertifikaten und Schlüsseln erstellt. Auch der generische Zertifikats-Trick wird dabei geprüft, außerdem wird bei Browsern, die dies unterstützen, mittels HTTP Public Key Pinning generisch auf SSL-Man-in-the-Middle-Technologien geprüft.


eye home zur Startseite
egal 24. Feb 2015

Get a Brain und das schreibe ich obwohl ich sogar selbst einen Mac habe

matok 23. Feb 2015

Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu...

SoniX 23. Feb 2015

Ich bin kein Programmierer und verstehe nichtmal richtig die heutige Technologie. Aber...

GaliMali 22. Feb 2015

Ich erinnere nur an Antiviren-Scanner, die komplett HTTPS auf diese weise analyiseren...

Kommentieren



Anzeige

  1. Managementberater (m/w) im Bereich Business Intelligence - Senior Professional
    Horváth & Partners Management Consultants, Berlin, Düsseldorf, Frankfurt, Hamburg, München oder Stuttgart
  2. Leiter IT Mittelstand (m/w)
    über JobLeads GmbH, Karlsruhe
  3. IT Spezialist Datensicherung (m/w)
    Hornbach-Baumarkt-AG, Großraum Mannheim/Karlsruhe
  4. Online Manager (m/w)
    BavariaDirekt, München

Detailsuche



Anzeige
Top-Angebote
  1. NUR NOCH HEUTE: Logitech G610 Orion Brown
    92,52€ statt 112,52€ (Vergleichspreise ab ca. 109€)
  2. NUR NOCH HEUTE: Logitech G900 Chaos Spectrum (kabelgebunden/kabellos)
    159,00€ statt 179,00€ (Vergleichspreise ab ca. 179€)
  3. NUR NOCH HEUTE: Gratis Roccat Lua Tri-Button Maus + Kanga Cloth Mousepad Bundle bei Kauf einer ausgewählten Gainward-Grafikkarte

Weitere Angebote


Folgen Sie uns
       


  1. Ultra Compact Network

    Nokia baut LTE-Station als Rucksacklösung

  2. Juniper EX2300-C-12T/P

    Kompakt, lüfterlos und mit 124 Watt Powerbudget

  3. Vorratsdatenspeicherung

    Alarm im VDS-Tresor

  4. Be Quiet Silent Loop

    Sei leise, Wasserkühlung!

  5. Kryptowährung

    Australische Behörden versteigern beschlagnahmte Bitcoins

  6. ZUK Z2

    Android-Smartphone mit Snapdragon 820 für 245 Euro

  7. Zenbook 3 im Hands on

    Kleiner, leichter und schneller als das Macbook

  8. Autokauf

    Landgericht Köln entdeckt, dass SMS sich löschen lassen

  9. Toughpad FZ-B2 Mk 2

    Panasonic zeigt neues Full-Ruggedized-Tablet mit Android

  10. Charm

    Samsungs Fitness-Tracker mit langer Laufzeit kostet 30 Euro



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Traceroute: Wann ist ein Nerd ein Nerd?
Traceroute
Wann ist ein Nerd ein Nerd?

Formel E: Monaco-Feeling beim E-Prix in Berlin-Mitte
Formel E
Monaco-Feeling beim E-Prix in Berlin-Mitte
  1. Hewlett Packard Enterprise "IT wird beim Autorennen immer wichtiger"
  2. Roborace Roboterrennwagen fahren mit Nvidia-Computer
  3. Elektromobilität BMW und Nissan wollen in die Formel E

Moto G4 Plus im Hands on: Lenovos sonderbare Entscheidung
Moto G4 Plus im Hands on
Lenovos sonderbare Entscheidung
  1. Lenovo Moto G4 kann doch mit mehr Speicher bestellt werden
  2. Android-Smartphone Lenovos neues Moto G gibt es gleich zweimal
  3. Motorola Aktionspreise für aktuelle Moto-Smartphones

  1. Re: Erbärmlich

    User_x | 23:43

  2. Re: "..sichtlich genossen.."

    Quantumsuicide | 23:43

  3. Re: Nur noch Kompromisse

    berritorre | 23:37

  4. Dezibel? sehr leise?

    Auspuffanlage | 23:32

  5. Re: Was ist das denn für ein Gutachter?

    Moe479 | 23:27


  1. 19:26

  2. 18:41

  3. 18:36

  4. 18:16

  5. 18:11

  6. 17:31

  7. 17:26

  8. 16:48


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel