Superfish-Sicherheitslücke findet sich angeblich in zahlreichen Apps

BrowserSicherheitVirusWorkspace
Adware Shutterstock (Bild: Shutterstock)

Die auf Lenovo-Notebooks vorinstallierte Adware verwendet ein Software Development Kit (SDK) eines israelischen Unternehmens. Das SDK namens SSL Decoder/Digestor findet sich wiederum in anderen Programmen. Unter anderem zählen hierzu einem Bericht von Computerworld auch mehrere Jugendschutzfilter.

Die Sicherheitslücke in der auf Lenovo-Notebooks vorinstallierten Adware Superfish, die Man-in-the-Middle-Attacken möglicht macht, findet sich offenbar auch in anderen Apps. Grund dafür ist einem Bericht von Computerworld zufolge, dass Superfish ein SSL Decoder/Digestor genanntes Software Development Kit verwendet, das auch von anderen Anwendungen eingesetzt wird. Hierbei handelt es sich um die Komponente, die HTTPS-Verbindungen abfängt und entschlüsselt.

Superfish-Sicherheitslücke findet sich angeblich in zahlreichen Apps (Bild: Shutterstock)

Anbieter des SDK ist das israelische Unternehmen Komodia. Forscher hätten entdeckt, dass das SDK auch in Software anderer Hersteller implementiert ist. Demnach findet es sich etwa in einer von Komodia selbst vertriebenen Jugendschutzsoftware. All diese Programme seien gleichermaßen in der Lage, per HTTPS geschützten Datenverkehr abzufangen, indem sie ein selbst signiertes Root-Zertifikat ausstellen.

Computerworld weist auch auf von Anwendern zusammengestellte Listen mit anfälligen Programmen sowie mit deren Zertifikaten und privaten Schlüsseln hin. Demnach sind auch Produkte wie Keep My Familiy Secure, Qustodio und der Kuruapira WebFilter von der Schwachstelle betroffen.

“Ich glaube, man kann derzeit mit Sicherheit annehmen, dass jedes Produkt zum Abfangen von SSL, das von Komodia verkauft wird oder auf dem Komodia-SDK basiert, dieselbe Methode nutzt”, kommentiert Marc Rogers, leitender Sicherheitsforscher bei CloudFlare, in einem Eintrag seines Blogs. “Das bedeutet, dass jeder, der mit einem Komodia-Produkt in Kontakt gekommen ist oder eine Art von Jugendschutzfilter installiert hat, prüfen sollte, ob er betroffen ist.”

Die Komodia-Website ist gegenwärtig nicht erreichbar. Dort findet sich lediglich der Hinweis, dass die Seite nach der Berichterstattung in den Medien infolge von DDoS-Angriffen vom Netz genommen wurde. Grund dafür sei nicht nur die hohe Zahl der Besucher, sondern auch “tausende von Verbindungen von den gleichen IP-Adressen”.

Lenovo, das Superfish auf einigen seiner Notebooks vorinstalliert hat, warnt mittlerweile selbst vor der Software. Betroffene Anwender können jetzt zudem auf ein von Lenovo herausgegebenes Uninstall-Werkzeug zurückgreifen. Auch Microsofts Windows Defender ist inzwischen in der Lage, die Adware zu entfernen und ebenso das entsprechende Stammzertifikat zu löschen.

Darüber hinaus können Nutzer auf Filippo.io, der Website des Sicherheitsforschers Filippo Valsorda, überprüfen, ob sie von der Superfish-Lücke betroffen sind oder ob in dem Zusammenhang irgendein Programm ihre SSL-Verschlüsselung manipuliert. Valsorda hat auch eine Anleitung publiziert, wie sich das kritische Superfish-Zertifikat aus dem Windows-Zertifikatsspeicher und aus Firefox löschen lässt.

Offen ist Computerworld zufolge, ob es eine Generallösung geben wird, die Anwendern eine manuelle Entfernung von Root-Zertifikaten abnimmt. Matthew Green, Kryptografie-Professor an der Johns Hopkins University, verweist darauf, dass Browserhersteller die schädlichen Zertifikate nicht einfach automatisch sperren könnten, da Superfish und andere betroffene Applikationen weiterhin legitime Zertifikate neu signierten, was dann zu Zertifikatsfehlern führe und verhindere, dass Anwender auf Websites zugreifen könnten.

[mit Material von Stefan Beiersmann, ZDNet.de]

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen