Abo
  • Services:
Anzeige
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Komodia-Filter: Superfish-Affäre weitet sich aus

"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Anzeige

Eine Filtertechnologie von einer Firma namens Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Zertifikat untergräbt Sicherheit von HTTPS

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Webseiten Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein riesiges Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Midde-Attacke gefälschte verschlüsselte Webseiten unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Cafe-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es gestern gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Graham stellte dabei fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautete. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Der Komodia-Filter kommt vor allem in Jugendschutzprodukten zum Einsatz. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden inzwischen die privaten Schlüssel ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt. Das CERT-CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem: Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Webseite von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkentnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Webseiten weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Der Umgang von Lenovo mit dem Vorfall ist unterdessen alles andere als glücklich. Gestern Abend erreichte uns eine Stellungnahme des Konzerns. "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen", heißt es darin. Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte heute gegenüber der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren, so Lenovo. Inzwischen gibt es auch auf der Lenovo-Webseite eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.

Risiko von Filtertechnologien

Generell dürfte der Vorfall eine Debatte um riskante Filtertechnologien befördern. Viele Programme, die den Datenverkehr von Browsern beeinflussen möchten, nutzen dafür Methoden, die die Sicherheit des Nutzers gefährden können. Die Komodia-Technologie ist hierfür ein Extrembeispiel, weil alle Installationen eines Produkts denselben privaten Schlüssel einsetzen und somit sehr leicht angreifbar sind. Aber auch generell hebeln derartige Filtertechnologien oft bestehende Sicherheitsmechanismen aus, etwa das inzwischen von einigen Browsern unterstützte Verfahren HTTP Public Key Pinning.

"Das war eine schmerzhafte Art, das zu lernen", schreibt dazu der IT-Sicherheitsspezialist Filippo Valsorda von der Firma Cloudflare auf Twitter. Er hoffe, so Valsorda, dass nun alle lernen, dass die Unterstützung für derartige Technologien die Sicherheit von allen gefährde.

Wer testen möchte, ob er von Superfish betroffen ist, kann dies hier tun. Ein ähnlicher Test für die anderen betroffenen Produkte ist zurzeit noch nicht verfügbar, wir rechnen aber damit, dass dies innerhalb der nächsten Stunden passieren wird.


eye home zur Startseite
stuempel 22. Feb 2015

Was du bzw. ihr sucht, gibt es und nennt sich Windows Signature Edition. Von Microsoft...

Vanger 21. Feb 2015

Sofern es sich endlich mal verbreiten würde...

crash 20. Feb 2015

Ich frage mich ja, ob ich gegen solche Software als Seitenbetreiber vorgehen kann...

millionär 20. Feb 2015

kwt

millionär 20. Feb 2015

Kwt



Anzeige

Stellenmarkt
  1. ALDI SÜD, Mülheim an der Ruhr
  2. thyssenkrupp AG, Essen
  3. T-Systems International GmbH, München, Nürnberg
  4. Softship AG, Hamburg


Anzeige
Blu-ray-Angebote
  1. (u. a. Hobbit Trilogie Blu-ray 43,89€ und Batman Dark Knight Trilogy Blu-ray 17,99€)
  2. (u. a. Fast & Furious 1-7 Blu-ray 26,49€, Indiana Jones Complete Blu-ray 14,76€, The Complete...
  3. (u. a. The Revenant, Batman v Superman, James Bond Spectre, Legend of Tarzan)

Folgen Sie uns
       


  1. Amazon Channels

    Prime Video erhält Pay-TV-Plattform mit Live-Fernsehen

  2. Bayerischer Rundfunk

    Fernsehsender wollen über 5G ausstrahlen

  3. Kupfer

    Nokia hält Terabit DSL für überflüssig

  4. Kryptowährung

    Bitcoin notiert auf neuem Rekordhoch

  5. Facebook

    Dokumente zum Umgang mit Sex- und Gewaltinhalten geleakt

  6. Arduino Cinque

    RISC-V-Prozessor und ESP32 auf einem Board vereint

  7. Schatten des Krieges angespielt

    Wir stürmen Festungen! Mit Orks! Und Drachen!

  8. Skills

    Amazon lässt Alexa natürlicher klingen

  9. Cray

    Rechenleistung von Supercomputern in der Cloud mieten

  10. Streaming

    Sky geht gegen Stream4u.tv und Hardwareanbieter vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Blackberry Keyone im Test: Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
Blackberry Keyone im Test
Tolles Tastatur-Smartphone hat zu kurze Akkulaufzeit
  1. Blackberry Keyone kommt Mitte Mai
  2. Keyone Blackberrys neues Tastatur-Smartphone kommt später
  3. Blackberry Keyone im Hands on Android-Smartphone mit toller Hardware-Tastatur

The Surge im Test: Frust und Feiern in der Zukunft
The Surge im Test
Frust und Feiern in der Zukunft
  1. Wirtschaftssimulation Pizza Connection 3 wird gebacken
  2. Mobile-Games-Auslese Untote Rundfahrt und mobiles Seemannsgarn
  3. Spielebranche Beschäftigtenzahl in der deutschen Spielebranche sinkt

Redmond Campus Building 87: Microsofts Area 51 für Hardware
Redmond Campus Building 87
Microsofts Area 51 für Hardware
  1. Windows on ARM Microsoft erklärt den kommenden x86-Emulator im Detail
  2. Azure Microsoft betreut MySQL und PostgreSQL in der Cloud
  3. Microsoft Azure bekommt eine beeindruckend beängstigende Video-API

  1. Re: Hähhh...

    Ninos | 03:04

  2. Re: Die Bandbreite ist eine Sache, die Latenz...

    -fraggl- | 03:01

  3. Re: Bin ich eig. der einzige, der an die Traffic...

    sofries | 01:53

  4. Re: Frequenzvermüllung

    ShaDdoW_EyE | 01:51

  5. Fake News?

    Friedhelm | 01:43


  1. 00:01

  2. 18:45

  3. 16:35

  4. 16:20

  5. 16:00

  6. 15:37

  7. 15:01

  8. 13:34


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel