Adware PrivDog noch gefährlicher als Superfish

Einen Schritt zurück, Superfish! Ein anderes tückisches Werbeprogramm steht nun im Zentrum der Aufmerksamkeit. Es wird ebenfalls in eine HTTPS-Verbindung eingeschleust, doch es ist möglicherweise noch gefährlicher als Superfish, das auf neuen Lenovo-Notebooks vorinstalliert war, die Ende des Jahres 2014 hergestellt wurden.

Der Forscher Hanno Bock erklärte, dass PrivDog, wie auch Superfish, sein eigenes Zertifikat installiert und SSL-Verbindungen hackt und so eine Sicherheitslücke für „Man-in-the-Middle“-Angriffe schafft, die jeder, der möchte, ausnutzen kann und dann in der Lage ist, Traffic abzufangen. Bock sagte, dass PrivDog – obwohl es keine so klare Sicherheitslücke enthalte wie Superfish, den Anwendern höchstwahrscheinlich trotzdem mehr Probleme bereiten werde.

PrivDog wurde von dem Gründer und CEO von Comodo, Melih Abdulhayoglu, entwickelt. PrivDog kommt im Paket mit einem der Flaggschiffe von Comodo, Comodo Internet Security, allerdings nur als Browser-Erweiterung. Verwundbar ist die normale Version.

„PrivDog fängt alle Zertifikate ab und ersetzt sie durch ein Zertifikat, das mit seinem Root-Key signiert ist. Das betrifft auch ungültige Zertifikate“, erklärte Bock. „Das Programm zwingt unseren Browser, jegliches HTTPS-Zertifikat anzunehmen, egal ob es von einer Zertifikatsstelle signiert wurde oder nicht. Wir versuchen noch, Details herauszufinden, aber alles sieht sehr schlecht aus.“

Superfish, das eine Bibliothek mit der Bezeichnung Komodia SSL Digester verwendet, die das Abfangen der SSL-Verbindungen realisiert, wird bei jeder Installation mit ein und demselben digitalen Zertifikat und Chiffrierungsschlüssel geliefert. Später war Komodia Ziel einer DDoS-Attacke. Der Experte Rob Graham von Errata Security erklärte einige Stunden, nachdem die Beschreibung der Superfish-Sicherheitslücke veröffentlicht worden war, dass er den verborgenen Schlüssel, der das Zertifikat schützt, isolieren konnte.

Bock sagte, dass das Verhalten von PrivDog anders sei; die letzte Version von PrivDog, 3.0.96.0, enthält eine Sicherheitslücke und ist als separates Programm verfügbar. Bis dahin wurde das Programm nur als Browsererweiterung im Paket mit Comodo Internet Security geliefert. Diese Erweiterung ist laut Bock nicht unmittelbar verwundbar. Eine Informationsschrift über PrivDog nennt die Sicherheitslücke „einen unbedeutenden unregelmäßigen Defekt“, der nur eine „sehr geringe Zahl von Anwendern“ betrifft. Die Organisation erklärte, dass weltweit 57.000 Nutzer von der Sicherheitslücke ausgesetzt seien, 6.300 davon in den USA.

„Unter bestimmten Umständen verursachen selbstsignierte Zertifikate nicht das Anzeigen von Browserwarnungen, doch die Verschlüsselung bleibt bestehen, daher leidet die Sicherheit nicht“, heißt es in einer Mitteilung über PrivDog. Potentielle Probleme gibt es nur, wenn der Anwender auf eine Website mit selbstgemachtem Zertifikat surft. Gemäß Mitteilung wurde das Problem in der Version 3.0.105.0 beseitigt.

Das Department of Homeland Security-sponsored CERT am Software Engineering Institute an der Carnegie Mellon University unter der Ägide des Innenministeriums der Vereinigten Staaten hat eine Sicherheitswarnung über diese Sicherheitslücke herausgegeben. Das Ministerium teilt mit, dass die Möglichkeit einer MitM-Attacke von NetFilter SDK bereitgestellt wird.

„Obgleich das Root-CA-Zertifikat im Moment der Installation erstellt wird, was die Generierung unterschiedlicher Zertifikate für jede Installation zur Folge hat, nutzt PrivDog nicht die Möglichkeit zur Überprüfung des SSL-Zertifikats, das NetFilter SDK gewährleistet”, heißt es in der Mitteilung. „Das bedeutet, dass die Webbrowser beim Besuch gefälschter Websites oder Websites mit „Man-in-the-Middle“ keine Warnungen anzeigen.“

Wie auch im Fall von Superfish wurde das Problem in mehr als einem Dutzend anderer Anwendungen gefunden. Forscher aus dem IT-Security-Team von Facebook veröffentlichten einen Bericht, in dem es heißt, dass alle diese Anwendungen in der Datenbank von VirusTotal mit ihren schädlichen Komodia-Bibliotheken enthalten seien.

„Wir können nicht mit Sicherheit sagen, was die Absichten dieser Anwendungen sind, keine von ihnen erklärt, warum der SSL-Traffic abgefangen wird und was mit diesen Daten passiert“, sagte Matt Richard, Forscher bei Facebook. Richard veröffentlichte auch eine Liste der Zertifikatsherausgeber und erklärte, dass die Liste Zertifikate auf mehr als 1000 Systemen in Anwendungen umfasse, darunter Spiele und Pop-up-Generatoren.

Der CTO von Lenovo, Peter Hortensius, entschuldigte sich unterdessen in einem offenen Brief bei den Kunden des Unternehmens. Superfish wurde im vergangenen September auf Rechnern von Lenovo vorinstalliert, und umgehend begannen sich die Kunden über seine Aktivität zu beschweren. Hortensius erklärte, dass Lenovo keine weiteren Computer mit Superfish ausliefern werde. Das Unternehmen stellte innerhalb weniger Stunden nach Veröffentlichung der Sicherheitslückenbeschreibung eine manuelle Methode zur Beseitigung des Problems bereit und kurz darauf folgte ein automatisiertes Patch. Lenovo arbeitet zudem mit Microsoft und einigen Unternehmen aus dem Bereich IT-Sicherheit zusammen, um Superfish zu deaktivieren und von den Computern zu löschen.

Das hielt einige Anwender allerdings nicht von rechtlichen Schritten gegen Lenovo ab. Die New Yorker Kanzlei Rosen erklärte, dass sie eine Sammelklage gegen Lenovo vorbereite und rief jeden, der zwischen September 2014 und Januar 2015 einen Lenovo Computer gekauft hat, auf, sich mit der Kanzlei in Verbindung zu setzen und sich der potentiellen Klage anzuschließen.

Quelle:         Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.