Adware und Bloatware birgt viel öfter Sicherheitsrisiken als gedacht

Das Beispiel um die gefährliche Superfish-Adware auf Lenovo-Laptops ist kein Einzelfall. Es ist daher an der Zeit, dass Hardware-Hersteller aufhören, die Sicherheit ihrer Kunden aufs Spiel zu setzen. Unter den Begriffen Ad- und Bloatware versteht man Software, die ein Hardware-Hersteller auf seinen Laptops, Smartphones etc. vorinstalliert – die drei Probemonate für Antiviren-Software kennt wohl jeder. Diese Apps können aber nicht nur lästig, sondern auch geradezu gefährlich sein, wie der Fall Superfish auf Lenovo-Laptops zeigt. Dass Ad- bzw. Bloatware allerdings Sicherheitslücken mit sich bringt, kommt häufiger vor, als man denkt. Die daraus resultierende Gefahr für den Nutzer ist das wohl überzeugendste Argument gegen den Bloatware-Wahn der Hersteller.

Von Lenovo bis zum US-Department of Homeland Security

Entgegen des Namens ist die wenig bekannte Software Superfish gar nicht so super. Eher im Gegenteil, denn die auf aktuellen Lenovo-Laptops vorinstallierte Software nutzt SSL-Zertifikate aus, um in HTTPS-Verbindungen einzubrechen und dort Bilder zu Werbezwecken zu scannen. Das alleine ist schon schlimm genug, sollte man meinen, doch die Entwickler von Superfish setzen noch einen drauf. Die Adware installiert nämlich eigene Root-Zertifikate auf den Rechnern, mit denen sie sich in „sichere“ Verbindungen einschleichen kann. Das Vorgehen nennt man auch „Man-in-the-Middle„-Attacke. Allerdings ist die Umsetzung bei Superfisch zudem auch noch sehr schlecht – so sind z.B. alle Zertifikate mit dem gleichen Passwort verschlüsselt.

Nachdem die Superfish-Adware entdeckt wurde, musste Lenovo den Großteil der Kritik einstecken. Der Konzern hat sich zwar für das Vorinstallieren von Superfish entschuldigt und den Nutzern empfohlen, die Software und die Zertifikate von ihren Rechnern zu entfernen. Die US-Regierung hat Lenovo-Nutzer sogar aufgefordert, die Software zu entfernen, die vom Department of Homeland Security als Spyware eingestuft wird. Es scheint also alles noch viel schlimmer, als anfänglich gedacht, doch es kommt sogar noch dicker, denn es gibt ja einen dritten Beteiligten.

Wer oder was ist Komodia?

Sicherheitsforscher bei Facebook haben herausgefunden, dass Superfish ein Framework der Firma Komodia verwendet, um die Man-in-the-Middle-Attacken auszuführen. Sicherheitsforscher Robert Graham von Errata Security beschreibt in einem Blogpost, wie er das Passwort herausgefunden hat, das die Superfish-Zertifikate schützt – es lautet übrigens Komodia. Symantec hatte einen Trojaner namens Nurjax entdeckt, der die gleiche Komodia-Technologie zum Brechen von SSL-Verbindungen verwendet, wie Superfish. Dies wurde von den Facebook-Forschern hervorgehoben, um deutlich zu machen, welche Gefahr von der Technologie ausgeht. In einem Blogpost listen die Facebook-Sicherheitsforscher zudem über ein Dutzend weiterer Software-Anwendungen auf, die die Komodia-Bibliotheken nutzen. Sie alle können in der VirusTotal-Datenbank gefunden werden und keine der Anwendungen erklärt warum sie den SSL-Traffic abfangen, oder was sie mit den Daten machen.

Gegenüber Mashable wollte Komodia bisher keine Stellung zu dem Thema beziehen und die Website ist aufgrund einer angeblichen DDoS-Attacke nicht erreichbar. Doch Komodia ist auch gar nicht das einzige Problem dieser Art, Sicherheitsforscher Marc Rogers hat auf seinem Blog noch mehr Software beschrieben, die Man-in-the-Middle-Attacken ausführt, indem HTTPS-Verbindungen unterwandert werden. Bei diesen Superfish-ähnlichen Programmen handelt es sich überwiegend um Jungendschutz-Apps, Firewalls und Adware-Programme. Darunter also auch Programme, die eigentlich für mehr Sicherheit sorgen sollen. Doch das Problem ist, dass sie alle die gleichen schlecht umgesetzten SSL-Hijacker von Komodia nutzen und somit quasi jedermann erlauben, gefälschte Sicherheitszertifikate für jede verschlüsselte Verbindung zu nutzen. Dass der Prozess des Komodia Proxy Client, der die Echtheit eines Zertifikats prüfen soll, ebenfalls nicht funktioniert, macht die ganze Sache nicht besser. Ganz im Gegenteil, denn es kommt für einen Angreifer nun nicht mehr drauf an, ob ein Nutzer Superfish oder irgendeine andere Software mit Komodia-Technologie nutzt, da sie alle gleichermaßen anfällig sind.

Und nun?

So schlimm dieser Fall auch aussieht, man muss jetzt nicht gleich in Panik geraten, und das Laptop aus dem Fenster werfen. Zunächst mal gibt es an dieser Stelle ein Online-Tool, mit dem sich überprüfen lässt, ob die eigene Verbindung von Komodia-Software unterwandert wurde. Microsoft und McAffee haben bereits ihre Antiviren-Software an die Bedrohung angepasst und Lenovo bietet ein Tool samt Anleitung für die Entfernung der Superfish-Software an. Superfish betrifft dabei nur Windows-Rechner, doch wer sich jetzt bereits dabei erwischt wie er denkt: „Wusste ich es doch, Windows ist eine Virenschleuder und ich bin an meinem Mac sicher.“ verkennt das Problem und wähnt sich zudem in falscher Sicherheit. Es ist zu kurz gedacht, dass Windows schlecht ist, nur weil es dieses Problem gibt.

Das Problem liegt nicht bei Microsoft, sondern bei den Herstellern der Hardware, die es nicht sein lassen können, ihre Geräte mit Bloat- und Adware auszuliefern. Natürlich ist dies ein lukratives Geschäft, denn die Unternehmen zahlen selbstverständlich Geld, damit ihr Programm auf möglichst vielen Rechnern zu finden ist. Aber diese Einnahmen dürfen nicht auf Kosten der Sicherheit der Kunden entstehen. Wenn diese Einnahmen so wichtig sind, wäre es sinnvoller den Preis pro Gerät um ein paar Euro anzuheben, dafür aber ein sauberes System anzubieten. Bis dahin ist jedem Nutzer nur zu raten, ein neues Laptop umgehend von allem Software-Unrat zu bereinigen.


Image (adapted) „Sicherheit“ by JanBaby (CC0 Public Domain)

Daniel Kuhn

ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind. Mitglied des Netzpiloten Blogger Networks.


Artikel per E-Mail verschicken
Schlagwörter: , , , , , ,

Daniel Kuhn

ist Wahl-Berliner mit Leib und Seele und arbeitet von dort aus seit 2010 als Tech-Redakteur. Anfangs noch vollkommen Googles Android OS verfallen, geht der Quereinsteiger und notorische Autodidakt immer stärker den Fragen nach, was wir mit den schicken Mobile-Geräten warum anstellen und wie sicher unsere Daten eigentlich sind. Mitglied des Netzpiloten Blogger Networks.

?>

1 comment

  1. Das Problem soll nicht bei Microsoft, Apple und Google liegen? Jedoch kennen nahezu alle Open-Source Betriebssysteme wie z.B. Debian Linux und BSD weder Ad- noch Bloat- noch sonstige Warez. Warum also habe die dieses Problem nicht?

    In den Open Source Gemeinschaften gibt es naturgemäß ein großes allgemeines Interesse der Entwickler sowie der Anwender die Installationsquellen dieser Systeme „sauber“ zu halten. Kommerzielle Gesichtspunkte spielen hier vergleichsweise keine Rolle, Sicherheit und Stabilität jedoch eine sehr große. Und entgegen den gebetsmühlenartig hervor getragenen Bedenken der kommerziellen Hersteller gegen Open Source Betriebssysteme sind diese auch noch modern und leicht zu handhaben, i.d.R. sogar deutlich besser als sie kommerziellen Produkte der stets gekaperten US Marktführer.

    Ein weiterer Aspekt wäre die Absicherung von Computern gegen Hacker und massenhafte Ausspähung durch Geheimdienste. Die Systeme der Marktführer sind per Design und durch US Amerikansiche Gesetze stark und durchgängig geschwächt. Tatsächlich kann man Daten auf Microsoft, Apple und Google Systemen niemals seriös absichern, wohingegen Open Source Betriebssysteme über mannigfaltige Möglichkeiten Daten abzusichern verfügen.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.