Abo
  • IT-Karriere:

Komodia-Filter: Superfish-Affäre weitet sich aus

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Artikel veröffentlicht am , Hanno Böck
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Eine Filtertechnologie von einer Firma namens Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Zertifikat untergräbt Sicherheit von HTTPS

Stellenmarkt
  1. DIS AG, München
  2. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Webseiten Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein riesiges Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Midde-Attacke gefälschte verschlüsselte Webseiten unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Cafe-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es gestern gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Graham stellte dabei fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautete. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Der Komodia-Filter kommt vor allem in Jugendschutzprodukten zum Einsatz. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden inzwischen die privaten Schlüssel ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt. Das CERT-CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem: Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Webseite von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkentnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Webseiten weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Der Umgang von Lenovo mit dem Vorfall ist unterdessen alles andere als glücklich. Gestern Abend erreichte uns eine Stellungnahme des Konzerns. "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen", heißt es darin. Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte heute gegenüber der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren, so Lenovo. Inzwischen gibt es auch auf der Lenovo-Webseite eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.

Risiko von Filtertechnologien

Generell dürfte der Vorfall eine Debatte um riskante Filtertechnologien befördern. Viele Programme, die den Datenverkehr von Browsern beeinflussen möchten, nutzen dafür Methoden, die die Sicherheit des Nutzers gefährden können. Die Komodia-Technologie ist hierfür ein Extrembeispiel, weil alle Installationen eines Produkts denselben privaten Schlüssel einsetzen und somit sehr leicht angreifbar sind. Aber auch generell hebeln derartige Filtertechnologien oft bestehende Sicherheitsmechanismen aus, etwa das inzwischen von einigen Browsern unterstützte Verfahren HTTP Public Key Pinning.

"Das war eine schmerzhafte Art, das zu lernen", schreibt dazu der IT-Sicherheitsspezialist Filippo Valsorda von der Firma Cloudflare auf Twitter. Er hoffe, so Valsorda, dass nun alle lernen, dass die Unterstützung für derartige Technologien die Sicherheit von allen gefährde.

Wer testen möchte, ob er von Superfish betroffen ist, kann dies hier tun. Ein ähnlicher Test für die anderen betroffenen Produkte ist zurzeit noch nicht verfügbar, wir rechnen aber damit, dass dies innerhalb der nächsten Stunden passieren wird.



Anzeige
Hardware-Angebote
  1. (reduzierte Überstände, Restposten & Co.)
  2. 298,00€
  3. 72,99€ (Release am 19. September)
  4. 309,00€

stuempel 22. Feb 2015

Was du bzw. ihr sucht, gibt es und nennt sich Windows Signature Edition. Von Microsoft...

Vanger 21. Feb 2015

Sofern es sich endlich mal verbreiten würde...

crash 20. Feb 2015

Ich frage mich ja, ob ich gegen solche Software als Seitenbetreiber vorgehen kann...

millionär 20. Feb 2015

kwt

millionär 20. Feb 2015

Kwt


Folgen Sie uns
       


Seasonic TX-700 Fanless und The First - Hands on (Computex 2019)

Das Prime TX-700 Fanless vo Seasonic ist das derzeit stärkste passiv gekühlte Netzteil am Markt. Die kompaktere Variante namens PX-500 wiederum passt in das The First von Monsterlabo, ein Gehäuse, um 200-Watt-Komponenten passiv zu kühlen.

Seasonic TX-700 Fanless und The First - Hands on (Computex 2019) Video aufrufen
Bandlaufwerke als Backupmedium: Wie ein bisschen Tetris spielen
Bandlaufwerke als Backupmedium
"Wie ein bisschen Tetris spielen"

Hinter all den modernen Computern rasseln im Keller heutzutage noch immer Bandlaufwerke vor sich hin - eine der ältesten digitalen Speichertechniken. Golem.de wollte wissen, wie das im modernen Rechenzentrum aussieht und hat das GFZ Potsdam besucht, das Tape für Backups nutzt.
Von Oliver Nickel


    Webbrowser: Das Tracking ist tot, es lebe das Tracking
    Webbrowser
    Das Tracking ist tot, es lebe das Tracking

    Die großen Browserhersteller Apple, Google und Mozilla versprechen ihren Nutzern Techniken, die das Tracking im Netz erschweren sollen. Doch das stärkt Werbemonopole im Netz und die Methoden verhindern das Tracking nicht.
    Eine Analyse von Sebastian Grüner

    1. Europawahlen Bundeszentrale will Wahl-O-Mat nachbessern
    2. Werbenetzwerke Weitere DSGVO-Untersuchung gegen Google gestartet
    3. WLAN-Tracking Ab Juli 2019 will Londons U-Bahn Smartphones verfolgen

    Wolfenstein Youngblood angespielt: Warum wurden diese dämlichen Mädchen nicht aufgehalten!?
    Wolfenstein Youngblood angespielt
    "Warum wurden diese dämlichen Mädchen nicht aufgehalten!?"

    E3 2019 Der erste Kill ist der schwerste: In Wolfenstein Youngblood kämpfen die beiden Töchter von B.J. Blazkowicz gegen Nazis. Golem.de hat sich mit Jess und Soph durch einen Zeppelin über dem belagerten Paris gekämpft.
    Von Peter Steinlechner


        •  /