Abo
  • Services:
Anzeige
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Superfish: Das Adware-Imperium von Komodia

SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

Anzeige

Sicherheitsforscher von Facebook haben Details über Software veröffentlicht, die mit der SSL-Interception-Technologie der Firma Komodia ausgestattet ist. Die Facebook-Forscher fanden über ein Dutzend Programme, die alle dieselbe Technologie einsetzen. Überwiegend handelt es sich um Werbesoftware, die Nutzer unbeabsichtigt installieren, aber auch um Software, die von Antivirenprogrammen als Trojaner eingestuft wird. Auch das US-CERT hat weitere Produkte identifiziert, die Komodia einsetzen. Eines fällt dabei besonders auf: die Software Ad-Aware Web Companion von Lavasoft.

Riskante Technologie untergräbt HTTPS-Sicherheit

Komodia ist eine Firma, die eine SSL-Interception-Technologie mit dem Namen SSL Digestor anbietet. Dabei wird im Browser ein Root-Zertifikat installiert, und fortan kann die Software, welche diese Technologie nutzt, den Datenstrom auch bei HTTPS-Verbindungen untersuchen und manipulieren. Bekannt wurde dies durch die Superfish-Adware, die von Lenovo auf zahlreichen Laptops vorinstalliert wurde. Die Komodia-Technologie ist ein großes Sicherheitsrisiko, denn sie erlaubt Angreifern nach Belieben Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen.

Im Netz findet man unzählige Klagen über Produkte mit der Komodia-Technologie. Programme mit Namen wie Colormedia, Sendori oder Wiredtools wurden bei unzähligen Anwendern unerwünscht auf den Computern installiert. Meist werden derartige Programme als Beilage zu kostenlosen anderen Programmen mitgeliefert und der Anwender installiert sie unbeabsichtigt, entweder automatisch oder wegen verwirrender Dialoge. Solche Programme werden von Antiviren-Programmen häufig als Potentially unwanted Applications (PUA) bezeichnet.

Auch Malware nutzt Komodia

Bei einigen der Produkte scheint es sich relativ eindeutig um echte Malware zu handeln. So berichtet beispielsweise Symantec über einen Trojaner namens Nurjax, der laut Facebook ebenfalls die Komodia-Technologie einsetzt.

Zu zahlreichen dieser Produkte sind inzwischen die Zertifikate und privaten Schlüssel bekannt. Ein Sicherheitsforscher mit dem Pseudonym Slipstream/Raylee hat verschiedene dieser Schlüssel extrahiert und auf Github veröffentlicht.

Trick erlaubt Angriff ohne privaten Schlüssel

Doch für einen Angriff auf HTTPS-Verbindungen sind diese Schlüssel häufig überhaupt nicht notwendig. Wie der Cloudflare-Mitarbeiter Filippo Valsorda herausgefunden hat, gibt es einen Trick, mit dem ein Zertifikat erstellt werden kann, das von fast allen Komodia-Produkten akzeptiert wird. Wenn die Komodia-Technologie ein ungültiges Zertifikat auf einer Webseite erkennt, beispielsweise ein selbstsigniertes Zertifikat, dann wird dieses Zertifikat ebenfalls ersetzt; allerdings ersetzt die Software dabei auch den Hostnamen. Somit bleibt das Zertifikat für den Browser ungültig. Allerdings ersetzt die Software dabei nur den sogenannten Common-Name und nicht den Hostnamen in der Erweiterung Subject-Alt-Name (SAN).

Der Hintergrund: Ursprünglich erlaubten TLS-Zertifikate nur einen Hostnamen, mit der SAN-Erweiterung sind mehrere Hostnamen in einem Zertifikat möglich. Dieses Verhalten von Komodia ermöglicht es nun, ein selbstsigniertes Zertifikat zu erstellen, das im Common-Name einen beliebigen Wert enthält und im Subject-Alt-Name den korrekten Domain-Namen. In unseren eigenen Tests funktionierte das mit den meisten Komodia-Programmen, aber nicht in allen.

Anti-AdWare nutzt AdWare-Technologie

Auch scheinbar legitime Programme setzen die Komodia-Technologie ein. Die Software Ad-Aware Web Companion der Firma Lavasoft soll eigentlich dazu dienen, unerwünschte Adware von Computern zu entfernen. Doch auch diese Software nutzt die gefährliche Komodia-Technologie. Von der Herstellerfirma gibt es inzwischen ein Statement auf Facebook. Darin heißt es, dass man sich bereits vor dem Superfish-Vorfall entschlossen hätte, die Komodia-Technologie zu entfernen.

"Lavasofts jüngstes Release Ad-Adware Web Companion (veröffentlicht am 18. Februar 2015) enthält diese Eigenschaft nicht, allerdings können wir noch nicht mit Sicherheit bestätigen, dass die kompromittierten Komponenten des Komodia SSL Digestors entfernt wurden", heißt es in der Stellungname. Lavasoft weiß also offenbar nicht, welche Technologien in der eigenen Software eingesetzt werden. Ein kurzer Test von Golem.de gab Aufschluss: Auch die jüngste Version 1.1.885.1766 ist nach einer frischen Installation betroffen und installiert ein Root-Zertifikat in den Browser, das den Anwender gefährdet.

Deinstallieren und Zertifikat entfernen

Für die Superfish-Adware gibt es inzwischen ein Deinstallations-Tool von Lenovo. Doch Nutzer der diversen anderen betroffenen Produkte müssen selbst handeln. Zunächst sollte man die Software deinstallieren, anschließend müssen die Zertifikate im Zertifikatsmanager von Windows entfernt werden. Mozilla liefert seinen eigenen Zertifikatsmanager, dort müssen die Zertifikate ebenfalls manuell gelöscht werden.

Antiviren-Programme helfen nur wenig weiter. Bei Tests auf der Plattform Virustotal wurden einige der betroffenen Produkte von keinem einzigen Antiviren-Programm erkannt.

Der Autor dieses Texts hat einen Online-Test mit allen bisher bekannten Zertifikaten und Schlüsseln erstellt. Auch der generische Zertifikats-Trick wird dabei geprüft, außerdem wird bei Browsern, die dies unterstützen, mittels HTTP Public Key Pinning generisch auf SSL-Man-in-the-Middle-Technologien geprüft.


eye home zur Startseite
egal 24. Feb 2015

Get a Brain und das schreibe ich obwohl ich sogar selbst einen Mac habe

matok 23. Feb 2015

Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu...

SoniX 23. Feb 2015

Ich bin kein Programmierer und verstehe nichtmal richtig die heutige Technologie. Aber...

GaliMali 22. Feb 2015

Ich erinnere nur an Antiviren-Scanner, die komplett HTTPS auf diese weise analyiseren...



Anzeige

Stellenmarkt
  1. mobileX AG, München
  2. über JobLeads GmbH, Frankfurt am Main
  3. über Ratbacher GmbH, Solingen
  4. Schaeffler Automotive Aftermarket GmbH & Co. KG, Langen


Anzeige
Top-Angebote
  1. (u. a. John Wick, Bastille Day, Sicario, Leon der Profi)
  2. 556,03€
  3. (u. a. Technikprodukte & Gadgets von Start-ups reduziert, Sport & Outdoor-Produkte günstiger)

Folgen Sie uns
       


  1. Samsung

    Chip-Sparte bringt Gewinnanstieg

  2. Mario Kart 8 Deluxe im Test

    Ehrenrunde mit Ballon-Knaller, HD Rumble und Super-Turbo

  3. Google Global Cache

    Googles Server für Kuba sind online

  4. Snap Spectacles im Test

    Das Brillen-Spektakel für Snapchat-Fans

  5. Hybridkonsole

    Nintendo verkauft im ersten Monat 2,74 Millionen Switch

  6. Windows 10

    Fehler unterbricht Verteilung des Creators Update teilweise

  7. Noonee

    Exoskelett ermöglicht Sitzen ohne Stuhl

  8. Atom C2000 & Kaby Lake

    Updates beheben Defekt respektive fehlendes HDCP 2.2

  9. Netzausrüster

    Nokia macht weiter hohen Verlust

  10. Alien Covenant In Utero

    Neomorph im VR-Brustkasten



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Hate-Speech-Gesetz: Regierung kennt keine einzige strafbare Falschnachricht
Hate-Speech-Gesetz
Regierung kennt keine einzige strafbare Falschnachricht
  1. Neurowissenschaft Facebook erforscht Gedanken-Postings
  2. Rundumvideo Facebooks 360-Grad-Ballkamera nimmt Tiefeninformationen auf
  3. Spaces Facebook stellt Beta seiner Virtual-Reality-Welt vor

Quantenphysik: Im Kleinen spielt das Universum verrückt
Quantenphysik
Im Kleinen spielt das Universum verrückt

OWASP Top 10: Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
OWASP Top 10
Die zehn wichtigsten Sicherheitsrisiken bekommen ein Update
  1. Malware Schadsoftware bei 1.200 Holiday-Inn- und Crowne-Plaza-Hotels
  2. Zero Day Exploit Magento-Onlineshops sind wieder gefährdet
  3. Staatstrojaner Office 0-Day zur Verbreitung von Finfisher-Trojaner genutzt

  1. Re: Stadtautos verbieten

    Berner Rösti | 15:08

  2. Re: Noch zwei Monate

    Kunze | 15:07

  3. Re: Also wird der Uploaded.net Premium weiter...

    Neuro-Chef | 15:07

  4. Re: Ihr seid die Besten! Vom leicht...

    Muhaha | 15:06

  5. Re: zudem könnte so mancher ungehalten reagieren...

    Niaxa | 15:06


  1. 14:55

  2. 14:00

  3. 12:42

  4. 12:04

  5. 12:02

  6. 11:54

  7. 11:49

  8. 11:35


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel