Abo
  • Services:
Anzeige
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Komodia-Filter: Superfish-Affäre weitet sich aus

"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Anzeige

Eine Filtertechnologie von einer Firma namens Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Zertifikat untergräbt Sicherheit von HTTPS

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Webseiten Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein riesiges Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Midde-Attacke gefälschte verschlüsselte Webseiten unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Cafe-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es gestern gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Graham stellte dabei fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautete. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Der Komodia-Filter kommt vor allem in Jugendschutzprodukten zum Einsatz. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden inzwischen die privaten Schlüssel ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt. Das CERT-CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem: Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Webseite von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkentnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Webseiten weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Der Umgang von Lenovo mit dem Vorfall ist unterdessen alles andere als glücklich. Gestern Abend erreichte uns eine Stellungnahme des Konzerns. "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen", heißt es darin. Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte heute gegenüber der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren, so Lenovo. Inzwischen gibt es auch auf der Lenovo-Webseite eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.

Risiko von Filtertechnologien

Generell dürfte der Vorfall eine Debatte um riskante Filtertechnologien befördern. Viele Programme, die den Datenverkehr von Browsern beeinflussen möchten, nutzen dafür Methoden, die die Sicherheit des Nutzers gefährden können. Die Komodia-Technologie ist hierfür ein Extrembeispiel, weil alle Installationen eines Produkts denselben privaten Schlüssel einsetzen und somit sehr leicht angreifbar sind. Aber auch generell hebeln derartige Filtertechnologien oft bestehende Sicherheitsmechanismen aus, etwa das inzwischen von einigen Browsern unterstützte Verfahren HTTP Public Key Pinning.

"Das war eine schmerzhafte Art, das zu lernen", schreibt dazu der IT-Sicherheitsspezialist Filippo Valsorda von der Firma Cloudflare auf Twitter. Er hoffe, so Valsorda, dass nun alle lernen, dass die Unterstützung für derartige Technologien die Sicherheit von allen gefährde.

Wer testen möchte, ob er von Superfish betroffen ist, kann dies hier tun. Ein ähnlicher Test für die anderen betroffenen Produkte ist zurzeit noch nicht verfügbar, wir rechnen aber damit, dass dies innerhalb der nächsten Stunden passieren wird.


eye home zur Startseite
stuempel 22. Feb 2015

Was du bzw. ihr sucht, gibt es und nennt sich Windows Signature Edition. Von Microsoft...

Vanger 21. Feb 2015

Sofern es sich endlich mal verbreiten würde...

crash 20. Feb 2015

Ich frage mich ja, ob ich gegen solche Software als Seitenbetreiber vorgehen kann...

millionär 20. Feb 2015

kwt

millionär 20. Feb 2015

Kwt



Anzeige

Stellenmarkt
  1. über Jobware Personalberatung, Großraum Aachen
  2. Universitätsklinikum Münster, Münster
  3. über Hays AG, südlich von Hannover/Hildesheim
  4. Omnicare Pharma GmbH, Siegburg bei Bonn


Anzeige
Blu-ray-Angebote
  1. (u. a. Drive 7,79€, John Wick: Kapitel 2 9,99€ und Predator Collection 14,99€)
  2. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  3. 74,99€ (Vorbesteller-Preisgarantie)

Folgen Sie uns
       


  1. Niederlande

    Deutsche Telekom übernimmt Tele2

  2. Drive Me

    Volvo macht Rückzieher bei autonomen Autos

  3. Astronomie

    Die acht Planeten von Kepler-90

  4. Fuso eCanter

    Daimler liefert erste Elektro-Lkw aus

  5. Edge

    Eine Karte soll Daten mehrerer Kreditkarten speichern

  6. Netzneutralität abgeschafft

    Die doppelte Selbstentmachtung der US-Internetaufsicht

  7. Private Division

    Rockstar-Games-Firma gründet Ableger für AAA-Indiegames

  8. Klage erfolgreich

    BND darf deutsche Metadaten nicht beliebig sammeln

  9. Neuer Bericht

    US-Behörden sollen kommerzielle Cloud-Dienste nutzen

  10. Übernahme

    Walt Disney kauft Teile von 21st Century Fox



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Vorratsdatenspeicherung: Die Groko funktioniert schon wieder
Vorratsdatenspeicherung
Die Groko funktioniert schon wieder
  1. Dieselgipfel Regierung fördert Elektrobusse mit 80 Prozent
  2. Gutachten Quote für E-Autos und Stop der Diesel-Subventionen gefordert
  3. Sackgasse EU-Industriekommissarin sieht Diesel am Ende

2-Minuten-Counter gegen Schwarzfahrer: Das sekundengenaue Handyticket ist möglich
2-Minuten-Counter gegen Schwarzfahrer
Das sekundengenaue Handyticket ist möglich
  1. Handy-Ticket in Berlin BVG will Check-in/Be-out-System in Bussen testen
  2. VBB Schwarzfahrer trotz Handy-Ticket

Kilopower: Ein Kernreaktor für Raumsonden
Kilopower
Ein Kernreaktor für Raumsonden
  1. Raumfahrt Nasa zündet Voyager-Triebwerke nach 37 Jahren
  2. Bake in Space Bloß keine Krümel auf der ISS
  3. Raumfahrtpionier Der Mann, der lange vor SpaceX günstige Raketen entwickelte

  1. Re: Respekt

    |=H | 09:10

  2. Re: Infos fehlen

    lester | 09:10

  3. Re: Lobbyarbeit

    emuuu | 09:06

  4. Re: Die 1000 Karte

    Telaran | 09:05

  5. Re: Gott sei Dank!

    Felix123 | 09:04


  1. 09:01

  2. 08:58

  3. 08:31

  4. 08:16

  5. 07:53

  6. 07:17

  7. 16:10

  8. 15:30


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel