Abo
  • Services:

Komodia-Filter: Superfish-Affäre weitet sich aus

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Artikel veröffentlicht am , Hanno Böck
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko.
"Ihre Sicherheit im digitalen Dschungel" verspricht diese Software - dabei ist sie selbst ein Sicherheitsrisiko. (Bild: Kurupira/Screenshot: Golem.de)

Eine Filtertechnologie von einer Firma namens Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Zertifikat untergräbt Sicherheit von HTTPS

Stellenmarkt
  1. SEG Automotive Germany GmbH, Stuttgart-Weilimdorf
  2. Personalwerk Holding GmbH, Wiesbaden

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Webseiten Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein riesiges Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Midde-Attacke gefälschte verschlüsselte Webseiten unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Cafe-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es gestern gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Graham stellte dabei fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautete. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Der Komodia-Filter kommt vor allem in Jugendschutzprodukten zum Einsatz. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden inzwischen die privaten Schlüssel ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt. Das CERT-CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem: Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Webseite von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkentnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Webseiten weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Der Umgang von Lenovo mit dem Vorfall ist unterdessen alles andere als glücklich. Gestern Abend erreichte uns eine Stellungnahme des Konzerns. "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen", heißt es darin. Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte heute gegenüber der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren, so Lenovo. Inzwischen gibt es auch auf der Lenovo-Webseite eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.

Risiko von Filtertechnologien

Generell dürfte der Vorfall eine Debatte um riskante Filtertechnologien befördern. Viele Programme, die den Datenverkehr von Browsern beeinflussen möchten, nutzen dafür Methoden, die die Sicherheit des Nutzers gefährden können. Die Komodia-Technologie ist hierfür ein Extrembeispiel, weil alle Installationen eines Produkts denselben privaten Schlüssel einsetzen und somit sehr leicht angreifbar sind. Aber auch generell hebeln derartige Filtertechnologien oft bestehende Sicherheitsmechanismen aus, etwa das inzwischen von einigen Browsern unterstützte Verfahren HTTP Public Key Pinning.

"Das war eine schmerzhafte Art, das zu lernen", schreibt dazu der IT-Sicherheitsspezialist Filippo Valsorda von der Firma Cloudflare auf Twitter. Er hoffe, so Valsorda, dass nun alle lernen, dass die Unterstützung für derartige Technologien die Sicherheit von allen gefährde.

Wer testen möchte, ob er von Superfish betroffen ist, kann dies hier tun. Ein ähnlicher Test für die anderen betroffenen Produkte ist zurzeit noch nicht verfügbar, wir rechnen aber damit, dass dies innerhalb der nächsten Stunden passieren wird.



Anzeige
Blu-ray-Angebote
  1. (u. a. Game Night 5,98€, Maze Runner 6,98€, Coco 5,98€)

stuempel 22. Feb 2015

Was du bzw. ihr sucht, gibt es und nennt sich Windows Signature Edition. Von Microsoft...

Vanger 21. Feb 2015

Sofern es sich endlich mal verbreiten würde...

crash 20. Feb 2015

Ich frage mich ja, ob ich gegen solche Software als Seitenbetreiber vorgehen kann...

millionär 20. Feb 2015

kwt

millionär 20. Feb 2015

Kwt


Folgen Sie uns
       


3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti)

Wir haben die Raytracing Demo von 3D Mark auf Nvidias neuer Geforce RTX 2080 Ti und der älteren Geforce GTX 1080 Ti abspielen lassen.

3D Mark Raytracing Demo (RTX 2080 Ti vs. GTX 1080 Ti) Video aufrufen
Passwörter: Eine vernünftige Maßnahme gegen den IoT-Irrsinn
Passwörter
Eine vernünftige Maßnahme gegen den IoT-Irrsinn

Kalifornien verabschiedet ein Gesetz, das Standardpasswörter verbietet. Das ist ein Schritt in die richtige Richtung, denn es setzt beim größten Problem von IoT-Geräten an und ist leicht umsetzbar.
Ein IMHO von Hanno Böck

  1. Retrogaming Maximal unnötige Minis
  2. Streaming Heilloses Durcheinander bei Netflix und Amazon Prime
  3. Sicherheit Ein Lob für Twitter und Github

Desktops: Unnötige Sicherheitsrisiken mit Linux
Desktops
Unnötige Sicherheitsrisiken mit Linux

Um Vorschaubilder von obskuren Datenformaten anzeigen zu lassen, gehen Entwickler von Linux-Desktops enorme Sicherheitsrisiken ein. Das ist ärgerlich und wäre nicht nötig.
Ein IMHO von Hanno Böck

  1. Red Hat Stratis 1.0 bringt XFS etwas näher an Btrfs und ZFS
  2. Nettools Systemd-Entwickler zeigen Werkzeuge zur Netzkonfiguration
  3. Panfrost Freier Linux-GPU-Treiber läuft auf modernen Mali-GPUs

WLAN-Standards umbenannt: Ein Schritt nach vorn ist nicht weit genug
WLAN-Standards umbenannt
Ein Schritt nach vorn ist nicht weit genug

Endlich weichen die nervigen Bezeichnungen für WLANs chronologisch sinnvollen. Doch die Wi-Fi Alliance sollte noch einen Schritt weiter gehen.
Ein IMHO von Oliver Nickel

  1. Wi-Fi 6 WLAN-Standards werden für besseres Verständnis umbenannt
  2. Wifi4EU Fast 19.000 Kommunen wollen kostenloses EU-WLAN
  3. Berlin Bund der Steuerzahler gegen freies WLAN

    •  /