Nachrichten, Gerüchte, Meldungen und Berichte aus der IT-Szene

Redaktion: Heinz Schmitz


Superfish ist nur die Spitze des Eisbergs

Die Sicherheitsexperten der G DATA SecurityLabs haben die Superfish-Adware analysiert. Dabei sind die Analysten innerhalb der Software auf eine Technologie-Komponente namens „SSL Digestor“ gestoßen. Diese nutzt ein Stammzertifikat, das schlecht gesichert ist und umfassende Rechte auf dem Computer besitzt. Der „SSL Digestor“ greift in gesicherte HTTPS-Verbindungen ein und kann diese abhören und auch manipulieren. Dadurch könnten eigentlich gesicherte Verbindungen unterwandert und angegriffen werden. Per Man-in-the-Middle-Angriff könnten Cyberkriminelle so den Datenstrom zwischen zwei Kommunikationspartnern, beispielweise einer Bank und des Kunden, ausspähen oder manipulieren, indem eine gefälschte Bank-Webseite genutzt wird. Laut Experten ist dieser Programmteil auch in anderen Software-Produkten enthalten. „Superfish ist eine fragwürdige Adware. Wirklich gefährlich wird sie erst durch den Missbrauch des schlecht gesicherten Zertifikats durch SSL Digestor“, erklärt Ralf Benzmüller, Leiter der G Data SecurityLabs. „Betroffene Anwender sollten das Zertifikat umgehend entfernen.“

 

Auf vielen Notebooks der Firma Lenovo wurde die Software „Superfish Visual Discovery“ vorinstalliert ausgeliefert. Adware ist für die meisten Anwender schon seit langer Zeit eine unliebsame Erscheinung auf PCs. Oft ist sie nicht zwingend schädlich. Der nun diskutierte „Superfish“ nimmt jedoch eine Sonderrolle ein, denn er beinhaltet eine Technologiekomponente namens „SSL Digestor“, vertrieben von der Firma Komodia. Und diese Komponente hat etwas in sich, das das eigentliche Sicherheitsproblem auslöst: ein schlecht gesichertes und zugleich sehr mächtiges Stammzertifikat.

 

Die Sicherheitsexperten haben auch zwei Such-Apps für Android-Geräte entdeckt, die auf „Superfish Visual Discovery“ setzen. Ähnlich wie auf dem PC werden hier Anwendern Anzeigen für bestimmte Werbeanfragen präsentiert. Die Apps setzen jedoch nicht auf den „SSL Digestor“ und hebeln somit nicht die HTTPS-Sicherheit aus.

 

Der „SSL Digestor“ installiert ein Zertifikat, was es den Programmen ermöglich, den Datenstrom bei HTTPS-Verbindungen zu untersuchen und zu manipulieren. Diese Komponente findet sich auch in Werbesoftware, die Nutzer unbeabsichtigt installieren, und in Software, die von IT-Sicherheitsherstellern als Trojaner eingestuft werden. Auch scheinbar legitime Programme setzen auf die Komponente.

 

Eine Schnell-Check, ob das Stammzertifikat auf dem Computer vorhanden ist:

http://quickcheck.antiviruslab.com

Weitere Informationen unter:

https://blog.gdata.de/artikel/die-macht-des-vertrauens-der-fall-superfish-wird-zum-super-gau/

Zurück