Die Sicherheitslücke, bei der auf Lenovo-Laptops vorinstallierte Adware HTTPS-Verbindungen aushebelt, kann auch auf zahlreichen anderen Rechnern klaffen. Vor allem dann, wenn ein Jugendschutz-Programm den Computer bewacht.

Benutzer eines Lenovo-Laptops sind besorgt und verärgert, seit herauskam, dass der Hersteller ein Programm namens "Superfish" vorinstalliert. Es dient dazu, beim Surfen im Browser zu Webseiten passende Werbung einzublenden. Das alleine ist schon eine Unverschämtheit. Doch wie sich herausstellte, nutzt die Software dafür eine Technologie, die die Sicherheit von verschlüsselten HTTPS-Verbindungen aushebelt. Angreifer können die Nutzer der Lenovo-Rechner so mit gefälschten Webseiten in die Falle locken, wenn sie sich im selben WLAN-Netz befinden.

Wie "Golem" berichtet, ist es dem IT-Sicherheitsforscher Robert Graham gelungen, das von Superfish verwendete Root-Zertifikat und den passenden privaten Schlüssel zu identifizieren. Dabei stellte er fest, dass dessen Passwort "komodia" identisch mit dem Namen einer Firma ist, die Internet-Filtertechnologie für verschlüsselte Verbindungen anbietet. Und: Alle Produkte, die diese Technologie einsetzen, sind ebenso gefährlich wie Superfish.

Günter Born schreibt in seinem Blog, Komodia wolle "alles, was SSL-verschlüsselt ist, überwachen, protokollieren und decodieren können". Dafür würden Webseitenanfragen des Browsers mittels eines Redirects umgeleitet. Betroffen sind der Internet Explorer, Google Chrome und eventuell auch Mozillas Firefox.

Wer Zugriff auf den Komodia-Redirector erlange, "kann mit den Daten alles machen, die Kommunikation auf Malwareseiten umleiten, die Inhalte auslesen, den Abruf bestimmter Webseiten blockieren und auch Werbung einblenden", schreibt Born. "Und der Benutzer bekommt davon nichts mit, weil der Browser die grüne https-Sicherheitsanzeige einblendet und vom Man-in-the-middle-Angriff nichts ahnt."

"Marc's Security Rambling" hat herausgefunden, dass Komodias SSL-Zertifikat nicht nur in Superfish, sondern auch in anderen Software-Produkten zum Einsatz kommt. In wie vielen genau, ist nicht sicher. Fest steht aber, dass die Jugendschutzprogramme "Keep My Family Secure" und "Qustodio" und "Kurupira WebFilter" betroffen sind. Auch die US-Sicherheitseinrichtung CERT/CC warnt vor diesen Anwendungen.

Suchen und entfernen

Besorgte Nutzer können beim "Superfish CA test" überprüfen, ob auf ihrem Rechner das gefährliche Root-Zertifikat im System sitzt. Wird Superfish gefunden, muss man es zunächst in der Systemsteuerung unter Programme deinstallieren. Im Browser wird man den lästigen Code bei Internet Explorer und Chrome gleichzeitig los, indem man im IE die Interneteinstellungen öffnet und unter Inhalte - Zertifikate den Reiter Vertrauenswürdige Stammzertifizierungsstellen ansteuert. Dort entfernt man dann den Eintrag "Superfish Inc.". Im Firefox finden sich die Zertifikate in den Einstellungen unter Erweitert. Dort klickt man auf Anzeigen und löscht alle Superfish-Einträge.

Die Gefahr durch den Komodia-Hijacker könnte sich noch ausweiten. Robert Graham berichtet in seinem Blogeintrag, das Passwort des Zertifikat-Schlüssels sei sehr einfach zu knacken gewesen. Mit diesen Informationen könne jeder den Superfish-Schlüssel nutzen, um sich beliebige andere Zertifikate auszustellen, schreibt "Heise.de". Was besonders prekär sei, "wenn sich die Gegenseite als Online-Banking-Seite ausgibt und den Anwender ausspioniert."