G DATA SecurityLabs analysieren fragwürdiges Sicherheitszertifikat.
Die Sicherheitsexperten der G DATA SecurityLabs haben die Superfish-Adware analysiert. Dabei sind die Analysten innerhalb der Software auf eine Technologie-Komponente namens „SSL Digestor“ gestoßen. Diese nutzt ein Stammzertifikat, das schlecht gesichert ist und umfassende Rechte auf dem Computer besitzt. Der „SSL Digestor“ greift in gesicherte HTTPS-Verbindungen ein und kann diese abhören und auch manipulieren. Dadurch könnten eigentlich gesicherte Verbindungen unterwandert und angegriffen werden. Per Man-in-the-Middle-Angriff könnten Cyberkriminelle so den Datenstrom zwischen zwei Kommunikationspartnern, beispielweise einer Bank und des Kunden, ausspähen oder manipulieren, indem eine gefälschte Bank-Webseite genutzt wird. Laut G DATA Experten ist dieser Programmteil auch in anderen Software-Produkten enthalten. G DATA Sicherheitslösungen erkennen die Software als Gen:Variant.Adware.Superfish.1 (Engine A) und Win32.Riskware.Fishbone.A (Engine B). Um das gefährliche Zertifikat von den Computern zu entfernen, muss der Nutzer jedoch selbst tätig werden.
„Superfish ist eine fragwürdige Adware. Wirklich gefährlich wird sie erst durch den Missbrauch des schlecht gesicherten Zertifikats durch SSL Digestor“, erklärt Ralf Benzmüller, Leiter der G DATA SecurityLabs. „Betroffene Anwender sollten das Zertifikat umgehend entfernen.“
Was ist Superfish?
Auf vielen Notebooks der Firma Lenovo wurde die Software „Superfish Visual Discovery“ vorinstalliert ausgeliefert. Adware ist für die meisten Anwender schon seit langer Zeit eine unliebsame Erscheinung auf PCs. Oft ist sie nicht zwingend schädlich. Der nun diskutierte „Superfish“ nimmt jedoch eine Sonderrolle ein, denn er beinhaltet eine Technologiekomponente namens „SSL Digestor“, vertrieben von der Firma Komodia. Und diese Komponente hat etwas in sich, das das eigentliche Sicherheitsproblem auslöst: ein schlecht gesichertes und zugleich sehr mächtiges Stammzertifikat.
Superfish auch bei Android-Geräten im Einsatz
Die G DATA Sicherheitsexperten haben auch zwei Such-Apps für Android-Geräte entdeckt, die auf „Superfish Visual Discovery“ setzen. Ähnlich wie auf dem PC werden hier Anwendern Anzeigen für bestimmte Werbeanfragen präsentiert. Die Apps setzen jedoch nicht auf den „SSL Digestor“ und hebeln somit nicht die HTTPS-Sicherheit aus.
Technologie untergräbt HTTPS-Sicherheit
Der „SSL Digestor“ installiert ein Zertifikat, was es den Programmen ermöglich, den Datenstrom bei HTTPS-Verbindungen zu untersuchen und zu manipulieren. Diese Komponente findet sich auch in Werbesoftware, die Nutzer unbeabsichtigt installieren, und in Software, die von IT-Sicherheitsherstellern als Trojaner eingestuft werden. Auch scheinbar legitime Programme setzen auf die Komponente.
Einen Schnell-Check, ob das Stammzertifikat auf dem Computer vorhanden ist, kann hier durchgeführt werden: http://quickcheck.antiviruslab.com
Detaillierte Informationen und Anleitungen, wie das Superfish-Zertifikat entfernt werden kann, gibt es im G DATA SecurityBlog: https://blog.gdata.de/artikel/die-macht-des-vertrauens-der-fall-superfish-wird-zum-super-gau/
Firmenkontakt und Herausgeber der Meldung:
G DATA Software AG
Königsallee 178b
44799 Bochum
Telefon: +49 (234) 9762-0
Telefax: +49 (234) 9762-299
http://www.gdata.de
Dateianlagen: