Kaspersky Lab hat sich kritisch zum Anti-Diebstahl-Tool Computrace von Absolute Software geäußert. In einer jetzt veröffentlichten Analyse wirft es Notebook-Herstellern, die die Lösung auf ihren Geräten vorinstallieren, eine unsaubere Implementierung vor. Den Sicherheitsexperten zufolge lässt sich dadurch das „eigentlich nützliche Sicherheitswerkzeug in eine leistungsstarke Plattform für Cyberattacken“ verwandeln. Angreifer könnten sich mit seiner Hilfe Zugriff auf Millionen Computer verschaffen. Absolute Software hat noch keine Stellungnahme dazu abgegeben. (Ein Update findet sich am Ende des Beitrags).
Das Problem steckt laut Kaspersky im Absolute Computrace Agenten, der in der Firmware oder im BIOS-ROM zahlreicher Notebooks integriert ist. Das russische Sicherheitsunternehmen hatte die Software näher unter die Lupe genommen, weil der Computrace Agent auf mehreren privaten Computern der Kaspersky-Experten sowie auf Firmenrechnern ohne vorherige Autorisierung aktiviert war.
Die Sicherheitsforscher bezeichnen Computrace als „legitimes Produkt von Absolute Software“, geben jedoch zu bedenken, dass einige Anwender sich wundern, weil sie die Software weder installiert noch aktiviert oder überhaupt Kenntnis von deren Existenz auf ihrem Rechner gehabt hätten. Ab Werk findet sich das Tool zum Beispiel auf Systemen von Acer, Asus, Dell, Fujitsu, Hewlett-Packard, Lenovo, Samsung und Toshiba. Allerdings wird es von den Herstellern nur teilweise als Sicherheitsmerkmal deutlich beworben.
Im Gegensatz zur meisten anderen vorinstallierten Software kann Computrace nicht ohne Weiteres deaktiviert oder deinstalliert werden. Laut Kaspersky ist es gar in der Lage, professionelle Systemsäuberungen und einen Festplattenwechsel zu überstehen. Das liegt an der Aufgabe der Software: Schließlich soll sie nach dem Diebstahl des Geräts helfen, dessen Aufenthaltsort festzustellen und je nach Konfiguration sogar dafür sorgen, dass der Rechner gesperrt oder gelöscht wird. Diebe sollten daher Computrace nicht einfach vom Rechner entfernen können.
„Anwender könnten bei Computrace den Eindruck erlangen, dass es sich um schädliche Software handelt, weil diese ein ähnliches Verhalten wie moderne Malware aufweist: Anti-Debugging und Anti-Reverse, automatisches Ablegen von Dateien in Systemordnern, Einrichtung einer versteckten Kommunikation, das Patchen von Systemdateien auf der Festplatte, Verschlüsseln von Konfigurationsdateien und ungewöhnliche Rechteverwaltung“, erklärt Kaspersky in einer Pressemitteilung.
Angreifer könnten möglicherweise Computer kapern, auf denen Absolute Computrace läuft und mit der Software dann Spyware platzieren. „Wir gehen davon aus, dass Absolute Computrace auf Millionen Computern läuft und zahllose Anwender nicht wissen, dass diese Software bei ihnen aktiv ist. Doch wer könnte ein Interesse daran haben, Computrace auf all diesen Rechnern zu aktivieren? Werden diese von einem unbekannten Akteur beobachtet? Dieses Rätsel muss erst noch gelöst werden“, sagt Vitaly Kamluk, Leiter des Analysten-Teams bei Kaspersky Lab.
Das von Computrace Small Agent genutzte Netzwerkprotokoll bietet laut Kaspersky Lab Basisfunktionen, um Code aus der Ferne auszuführen. „Das Protokoll erfordert keinen Einsatz von Verschlüsselung oder Authentifizierung des Remote-Servers, was zahlreiche Möglichkeiten für Remote-Attacken in einer feindlichen Netzwerkumgebung bietet.“ Allerdings gibt es derzeit keine Belege dafür, dass Absolute Computrace als Plattform für Attacken benutzt wird. Kaspersky spricht jedoch von „einigen alarmierenden und unerklärlichen Vorfällen von unautorisierten Computrace-Aktivierungen“, die diese Vermutung „zunehmend realistisch erscheinen“ ließen.
„Derart leistungsstarke Werkzeuge wie die Software von Absolute Computrace müssen Authentifizierungs- und Verschlüsselungsmechanismen verwenden, um dem Gemeinwohl weiterhin zu nutzen. Wenn auf zahlreichen Computern Computrace Agenten laufen, liegt es in der Verantwortung des Herstellers – also hier Absolute Software -, die Nutzer darauf aufmerksam zu machen und zu erklären, wie sie die Software deaktivieren und entfernen können“, fordert Vitaly Kamluk. „Sonst werden diese verwaisten Agenten unbemerkt weiter laufen und sind potenziell für den Missbrauch per Fernsteuerung bereit.“
Die Kritik an der als Diebstahlsicherung gedachten Software ist nicht ganz neu. Bereits 2009 hat die Firma Core Security Technologies vor Gefahren der für Computrace verwendeten Technologie gewarnt und gezeigt, wie Angreifer die System-Registry modifizieren können, um die Rückmeldungen von Computrace abzufangen. Außerdem wurde die Software von Microsoft bereits einmal fälschlicherweise als „VirTool:Win32/BeeInject“ identifiziert. Die Einstufung als Malware haben Microsoft und Anbieter von Sicherheitssoftware, die sie übernommen hatten, inzwischen allerdings revidiert. Bei den meisten stehen ausführbare Dateien von Computrace aktuell auf der Whitelist – was sie als Ziel für Angreifer noch attraktiver macht.
Update vom 13. Februar um 12 Uhr: Auf Anfrage hat Absolute Software inzwischen mitgeteilt, dass man sich darüber wundere, dass Kaspersky Lab diese Geschichte jetzt hervorzerre – sei das Thema doch schon vor fünf Jahren diskutiert worden. Bereits damals habe Absolute Software die Vorwürfe, eine Schwachstelle im BIOS zu sein, umfassend zurückgewiesen.
Außerdem zeigt sich Absolute Software darüber erstaunt, dass Kaspersky Lab seine Bedenken und den gesamten Untersuchungsbericht ihm nicht vor der Veröffentlichung übermittelt habe. „Das hätte Absolute erlaubt, sie [d.h. Kaspersky Lab, die Red.] mit Details zur Funktionsweise der Computrace Technologie zu versorgen, so dass sie Gelegenheit gehabt hätten, sicherzustellen, dass ihre Erkenntnisse technisch korrekt sind.“ Weiter teilt Absolute Software in seiner Stellungnahme mit: „Alle wichtigen Anbieter von Antimalware-Software erkennen den Absolute Client als sichere, berechtigte Technologie, die dazu beiträgt, die Sicherheit des Endgeräts zu erhöhen. Daher auch unser Status als Anbieter auf deren Whitelist.“
[mit Material von Peter Marwan, ITespresso.de]
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.
Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…
Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…
Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.
In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…
Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.