Superfish: vorinstallierte Adware auf Lenovo-Laptops

Lenovo-Laptops wurden mit vorinstallierter Adware namens Superfish ausgeliefert. Diese könnte auch verschlüsselte Verbindungen abhören.

Am 19. Februar wurde bekannt, dass Lenovo-Laptops mit einer vorinstallierten Adware namens Superfish ausgeliefert wurden. Das bringt zwei Probleme mit sich.

Das erste Problem ist, dass der Hardware-Hersteller überhaupt mehrere Monate lang Laptops mit einer vorinstallieren Adware ausgeliefert hat – seit September 2014 und bis Februar 2015.

Das zweite Problem hat mit dem Verhalten der Adware Superfish zu tun: Dessen Fähigkeit, selbstsignierte Zertifikate auszustellen, erlaubt es Dritten, die SSL/TLS-Verbindungen abzufangen, also Browser-Sessions mit https-Links.

Lassen Sie uns das zweite Problem näher betrachten, indem wir uns das Verhalten von Superfish ansehen: Unten sehen Sie einen Screenshot einer Online-Banking-Seite, die auf einem sauberen PC, auf dem die Adware nicht installiert ist, im Internet Explorer geöffnet wurde. Wenn man das Vorhängeschloss anklickt, werden die Informationen des SSL-Zertifikats angezeigt:

2Das SSL-Zertifikat wurde von einer so genannten Certificate Authority (CA) ausgestellt, um den Eigentümer der Webseite zu verifizieren. In diesem Fall ist VeriSign der Aussteller des Zertifikats, der die Identität der „Japan xxxx BANK Co, Ltd“ garantiert. Das Zertifikat wird auch verwendet, um die Nutzer-ID und das Passwort des Anwenders bei einer verschlüsselten Verbindung zu verschlüsseln. Damit wird die Sicherheit einer Verbindung garantiert.

Der folgende Screenshot zeigt die gleiche Seite, allerdings wurde sie diesmal mit dem Internet Exploerer auf einem mit Superfish infizierten PC geöffnet. Das SSL-Zertifikat zeigt statt „VeriSign“ nun „Superfish“ als Ausgabestelle.

3Was ist der Grund für diese Änderung? Superfish hat seine eigene CA in seiner Software. Damit wird es möglich, die Webseitenaufrufe der Anwender abzufangen, ein selbstsigniertes Zertifikat zu generieren und damit eine SSL-Verbindung aufzubauen. Leider behandeln Web-Browser das von Superfish generierte Zertifikat wie ein legitimes Zertifikat. Damit wird Superfish statt VeriSign zur CA.

Das schlimmste denkbare Szenario ist der Datendiebstahl aus einer Web-Session mit einer Online-Banking-Seite.

Zudem ist für die Generierung eines Zertifikats ein privater Schlüssel in der Software enthalten und steht für jeden zur Verfügung, der ihn haben möchte. Das Passwort des Schlüssels wurde bereits im Internet veröffentlicht. Mit dem Schlüssel und dem Passwort können Cyberkriminelle die über verschlüsselte Verbindungen übertragenen Daten abhören oder schädlichen Code einschleusen. Das schlimmste denkbare Szenario ist der Datendiebstahl aus einer Web-Session mit einer Online-Banking-Seite.

Lenovo-Nutzer, deren Laptop mit Superfish infiziert ist, wird empfohlen, die Software mit dem Namen „Superfish Inc. Visual Discovery“ (in der Windows-Systemsteuerung) sowie das Superfish-Zertifikat (von der Liste der Trusted Root Certification Authorities) zu löschen.

Die Kaspersky-Produkte helfen Ihnen dabei, herauszufinden, ob Ihr Laptop betroffen ist: Sie entdecken die Adware als Not-a-virus:AdWare.Win32.Superfish.b.

Lenovo bietet zudem ein automatisches Removal-Tool für Superfish in ihrem Security Advisory (LEN-2015-101).

Tipps

Mehr Sicherheit für Privatanwender

Sicherheitsunternehmen bieten intelligente Technologien – in erster Linie Kameras – an, um dein Zuhause vor Einbruch, Feuer und anderen Zwischenfällen zu schützen. Aber wie wäre es, diese Sicherheitssysteme selbst vor Eindringlingen zu schützen? Das ist eine Lücke, die wir füllen.

Abonnieren Sie uns und bleiben Sie auf dem neuesten Stand mit unseren Beiträgen
  • Für alle anderen Länder