Bericht: Superfish-Lücke steckt auch in anderen Apps

Die Sicherheitslücke in der Adware Superfish, die Man-in-the-Middle-Angriffe ermöglicht, steckt offenbar auch in anderen Apps. Grund dafür ist laut einem Bericht von Computerworld, dass Superfish ein SSL Decoder/Digestor genanntes Software Development Kit (SDK) verwendet, das auch von anderen Anwendungen benutzt wird. Dabei handelt es sich um die Komponente, die HTTPS-Verbindungen abfängt und entschlüsselt.

Hersteller des SDK ist die israelische Firma Komodia. Forscher hätten herausgefunden, dass das SDK auch in Software anderer Hersteller integriert ist, darunter eine von Komodia selbst vertriebene Jungendschutzsoftware, heißt es weiter in dem Bericht. All diese Programme seien ebenfalls in der Lage, per HTTPS gesicherten Datenverkehr abzufangen, indem sie ein selbst zertifiziertes Stammzertifikat ausstellten.

Computerworld verweist zudem auf von Nutzern zusammengestellte Listen mit anfälligen Programmen sowie deren Zertifikaten und privaten Schlüsseln. Demnach sind auch Produkte wie Keep My Familiy Secure, Qustodio und Kuruapira WebFilter betroffen.

„Ich glaube, man kann derzeit mit Sicherheit annehmen, dass jedes Produkt zum Abfangen von SSL, das von Komodia verkauft wird oder auf dem Komodia-SDK basiert, dieselbe Methode nutzt“, kommentiert Marc Rogers, leitender Sicherheitsforscher bei CloudFlare, in seinem Blog. „Das bedeutet, dass jeder, der mit einem Komodia-Produkt in Kontakt gekommen ist oder eine Art von Jugendschutzfilter installiert hat, prüfen sollte, ob er betroffen ist.“

Die Komodia-Website ist derzeit nicht erreichbar. Dort findet sich nur ein Hinweis, wonach die Seite nach der Berichterstattung in den Medien aufgrund von DDoS-Angriffen vom Netz genommen wurde. Grund dafür sei nicht nur die hohe Zahl der Besucher, sondern auch „tausende von Verbindungen von den gleichen IP-Adressen“.

Lenovo, das die Adware Superfish auf einigen seiner Notebooks vorinstalliert hat, warnt inzwischen selbst vor dem Programm. Betroffene Nutzer können nun zu einem von Lenovo veröffentlichten Uninstall-Tool greifen. Auch Microsofts Windows Defender löscht die Malware und entfernt auch das dazugehörige Stammzertifikat.

Zudem können Nutzer auf Filippo.io, der Seite des Sicherheitsforschers Filippo Valsorda, prüfen, ob sie vom Superfish-Problem betroffen sind oder ob irgendeine andere Software ihre SSL-Verschlüsselung manipuliert. Valsorda hat aber auch eine Anleitung veröffentlicht, wie das schädliche Superfish-Zertifikat aus Windows und auch Mozillas Browser Firefox entfernt werden kann.

Offen ist laut Computerworld, ob es eine allgemeine Lösung geben wird, die Nutzern eine manuelle Löschung von Stammzertifikaten abnimmt. Matthew Green, Kryptografie-Professor an der Johns Hopkins University, weise in seinem Blog darauf hin, dass Browseranbieter die schädlichen Zertifikate nicht einfach automatisch sperren könnten, da Superfish und andere betroffene Anwendungen weiterhin legitime Zertifikate neu signierten, was dann zu Zertifikatsfehlern führe und verhindere, dass Nutzer auf Websites zugreifen könnten.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de