Superfish: Das Adware-Imperium von Komodia

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

Artikel veröffentlicht am , Hanno Böck
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt.
SSL Digestor - eine gefährliche Technologie, die in vielen Programmen zum Einsatz kommt. (Bild: Komodia / Screenshot)

Sicherheitsforscher von Facebook haben Details über Software veröffentlicht, die mit der SSL-Interception-Technologie der Firma Komodia ausgestattet ist. Die Facebook-Forscher fanden über ein Dutzend Programme, die alle dieselbe Technologie einsetzen. Überwiegend handelt es sich um Werbesoftware, die Nutzer unbeabsichtigt installieren, aber auch um Software, die von Antivirenprogrammen als Trojaner eingestuft wird. Auch das US-CERT hat weitere Produkte identifiziert, die Komodia einsetzen. Eines fällt dabei besonders auf: die Software Ad-Aware Web Companion von Lavasoft.

Riskante Technologie untergräbt HTTPS-Sicherheit

Stellenmarkt
  1. Software Developer (w/m/d)
    Intrum Hanseatische Inkasso-Treuhand GmbH, Hamburg
  2. Business Intelligence Developer (m/w/d)
    Christian Funk Holding GmbH & Co. KG, Offenburg
Detailsuche

Komodia ist eine Firma, die eine SSL-Interception-Technologie mit dem Namen SSL Digestor anbietet. Dabei wird im Browser ein Root-Zertifikat installiert, und fortan kann die Software, welche diese Technologie nutzt, den Datenstrom auch bei HTTPS-Verbindungen untersuchen und manipulieren. Bekannt wurde dies durch die Superfish-Adware, die von Lenovo auf zahlreichen Laptops vorinstalliert wurde. Die Komodia-Technologie ist ein großes Sicherheitsrisiko, denn sie erlaubt Angreifern nach Belieben Man-in-the-Middle-Angriffe auf verschlüsselte HTTPS-Verbindungen.

Im Netz findet man unzählige Klagen über Produkte mit der Komodia-Technologie. Programme mit Namen wie Colormedia, Sendori oder Wiredtools wurden bei unzähligen Anwendern unerwünscht auf den Computern installiert. Meist werden derartige Programme als Beilage zu kostenlosen anderen Programmen mitgeliefert und der Anwender installiert sie unbeabsichtigt, entweder automatisch oder wegen verwirrender Dialoge. Solche Programme werden von Antiviren-Programmen häufig als Potentially unwanted Applications (PUA) bezeichnet.

Auch Malware nutzt Komodia

Bei einigen der Produkte scheint es sich relativ eindeutig um echte Malware zu handeln. So berichtet beispielsweise Symantec über einen Trojaner namens Nurjax, der laut Facebook ebenfalls die Komodia-Technologie einsetzt.

Golem Akademie
  1. Adobe Photoshop Grundkurs: virtueller Drei-Tage-Workshop
    23.-25.05.2022, Virtuell
  2. Microsoft 365 Security: virtueller Drei-Tage-Workshop
    29.06.-01.07.2022, Virtuell
Weitere IT-Trainings

Zu zahlreichen dieser Produkte sind inzwischen die Zertifikate und privaten Schlüssel bekannt. Ein Sicherheitsforscher mit dem Pseudonym Slipstream/Raylee hat verschiedene dieser Schlüssel extrahiert und auf Github veröffentlicht.

Trick erlaubt Angriff ohne privaten Schlüssel

Doch für einen Angriff auf HTTPS-Verbindungen sind diese Schlüssel häufig überhaupt nicht notwendig. Wie der Cloudflare-Mitarbeiter Filippo Valsorda herausgefunden hat, gibt es einen Trick, mit dem ein Zertifikat erstellt werden kann, das von fast allen Komodia-Produkten akzeptiert wird. Wenn die Komodia-Technologie ein ungültiges Zertifikat auf einer Webseite erkennt, beispielsweise ein selbstsigniertes Zertifikat, dann wird dieses Zertifikat ebenfalls ersetzt; allerdings ersetzt die Software dabei auch den Hostnamen. Somit bleibt das Zertifikat für den Browser ungültig. Allerdings ersetzt die Software dabei nur den sogenannten Common-Name und nicht den Hostnamen in der Erweiterung Subject-Alt-Name (SAN).

Der Hintergrund: Ursprünglich erlaubten TLS-Zertifikate nur einen Hostnamen, mit der SAN-Erweiterung sind mehrere Hostnamen in einem Zertifikat möglich. Dieses Verhalten von Komodia ermöglicht es nun, ein selbstsigniertes Zertifikat zu erstellen, das im Common-Name einen beliebigen Wert enthält und im Subject-Alt-Name den korrekten Domain-Namen. In unseren eigenen Tests funktionierte das mit den meisten Komodia-Programmen, aber nicht in allen.

Anti-AdWare nutzt AdWare-Technologie

Auch scheinbar legitime Programme setzen die Komodia-Technologie ein. Die Software Ad-Aware Web Companion der Firma Lavasoft soll eigentlich dazu dienen, unerwünschte Adware von Computern zu entfernen. Doch auch diese Software nutzt die gefährliche Komodia-Technologie. Von der Herstellerfirma gibt es inzwischen ein Statement auf Facebook. Darin heißt es, dass man sich bereits vor dem Superfish-Vorfall entschlossen hätte, die Komodia-Technologie zu entfernen.

"Lavasofts jüngstes Release Ad-Adware Web Companion (veröffentlicht am 18. Februar 2015) enthält diese Eigenschaft nicht, allerdings können wir noch nicht mit Sicherheit bestätigen, dass die kompromittierten Komponenten des Komodia SSL Digestors entfernt wurden", heißt es in der Stellungname. Lavasoft weiß also offenbar nicht, welche Technologien in der eigenen Software eingesetzt werden. Ein kurzer Test von Golem.de gab Aufschluss: Auch die jüngste Version 1.1.885.1766 ist nach einer frischen Installation betroffen und installiert ein Root-Zertifikat in den Browser, das den Anwender gefährdet.

Deinstallieren und Zertifikat entfernen

Für die Superfish-Adware gibt es inzwischen ein Deinstallations-Tool von Lenovo. Doch Nutzer der diversen anderen betroffenen Produkte müssen selbst handeln. Zunächst sollte man die Software deinstallieren, anschließend müssen die Zertifikate im Zertifikatsmanager von Windows entfernt werden. Mozilla liefert seinen eigenen Zertifikatsmanager, dort müssen die Zertifikate ebenfalls manuell gelöscht werden.

Antiviren-Programme helfen nur wenig weiter. Bei Tests auf der Plattform Virustotal wurden einige der betroffenen Produkte von keinem einzigen Antiviren-Programm erkannt.

Der Autor dieses Texts hat einen Online-Test mit allen bisher bekannten Zertifikaten und Schlüsseln erstellt. Auch der generische Zertifikats-Trick wird dabei geprüft, außerdem wird bei Browsern, die dies unterstützen, mittels HTTP Public Key Pinning generisch auf SSL-Man-in-the-Middle-Technologien geprüft.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed


egal 24. Feb 2015

Get a Brain und das schreibe ich obwohl ich sogar selbst einen Mac habe

matok 23. Feb 2015

Richtig, manueller Schlüsseltausch ist eine gute Sache. Nur ist das vielem Menschen zu...

SoniX 23. Feb 2015

Ich bin kein Programmierer und verstehe nichtmal richtig die heutige Technologie. Aber...

GaliMali 22. Feb 2015

Ich erinnere nur an Antiviren-Scanner, die komplett HTTPS auf diese weise analyiseren...



Aktuell auf der Startseite von Golem.de
LG HU915QE
Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung

LG hat einen Kurzdistanzprojektor mit Lasertechnik vorgestellt. Der HU915QE erzeugt ein riesiges Bild und steht dabei fast an der Wand.

LG HU915QE: Laserprojektor erzeugt 90-Zoll-Bild aus 5,6 cm Entfernung
Artikel
  1. Streaming: Netflix zahlt Steuerschulden von knapp 56 Millionen Euro
    Streaming
    Netflix zahlt Steuerschulden von knapp 56 Millionen Euro

    Netflix hat sich mit der zuständigen Staatsanwaltschaft geeinigt, in Italien auch für die Zeit von 2015 bis 2019 Steuern zu zahlen.

  2. Verkaufsstart des 9-Euro-Tickets: Was Fahrgäste wissen müssen
    Verkaufsstart des 9-Euro-Tickets
    Was Fahrgäste wissen müssen

    Das 9-Euro-Ticket für den ÖPNV ist beschlossene Sache, Verkehrsverbünde und -unternehmen sehen sich auf den Verkaufsstart in diesen Tagen gut vorbereitet. Doch es gibt viele offene Fragen.

  3. LTE-Patent: Ford droht Verkaufs- und Produktionsverbot in Deutschland
    LTE-Patent
    Ford droht Verkaufs- und Produktionsverbot in Deutschland

    Ford fehlen Mobilfunk-Patentlizenzen, weshalb das Landgericht München eine drastische Entscheidung gefällt hat. Autos droht sogar die Vernichtung.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Zur Akademie
Zum Coaching
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Acer Predator X38S (UWQHD, 175 Hz OC) 1.499€ • MindStar (u. a. AMD Ryzen 7 5700X 268€ und PowerColor RX 6750 XT Red Devil 609€ und RX 6900 XT Red Devil Ultimate 949€) • Alternate (u. a. Cooler Master Caliber R1 159,89€) • SanDisk Portable SSD 1 TB 81€ • Motorola Moto G60s 149€ [Werbung]
    •  /