Adware på Lenovo-maskiner kan misbruges af hackere til man-in-the-middle angreb

Superfish-adwaren, der har været præinstalleret på Lenovo-computere, laver reelt set et man-in-the-middle angreb for at indsætte reklamer på ellers betroede sider. Lenovo afviser sikkerhedsproblem.

Ikke alene har Lenovo i en periode leveret computere præinstalleret med, hvad der reelt set er adware, som tidligere omtalt på Version2. Den uønskede software, Superfish, fungerer på en måde, der gør computeren usikker i flere sammenhænge, og som reelt set sætter reklamer ind på hjemmesider via et man-in-the-middle angreb.

Det fortæller blandt andet sikkerhedseksperten Graham Cluely om på bloggen The State of Security.

I en kort pressemeddelelse skriver Lenovo, at selskabets egen undersøgelse af Superfish ikke har afsløret, at softwaren skulle være et sikkerhedsproblem. Lenovo svarer dog ikke direkte på det indirekte problem, som flere sikkerhedseksperter har påpeget, at Superfish efterlader i form af et usikkert certifikat.

Superfish fungerer ved at installere et selvsigneret rodcertifikat, som bruges til at opfange HTTPS-krypteret trafik. Således kan Superfish opfange den ellers krypterede trafik og indsætte reklamer i også krypteret kommunikation, når denne bliver vist i browseren.

Udover at Superfish altså opsnapper forbindelser, der skulle være sikre, så der kan sættes reklamer ind, inden forbindelsen sendes videre til browseren, så er nøglen bag selv-signerede Rodcertifikat på Lenovo-computeren af en svag karakter.

Der er tale om en RSA1024-bit nøgle, der brugt til at signere alle Superfish-certifikaterne, på de berørte computere.

Amerikanske PC World fortæller, at en sådan nøgle i dag anses for at være kryptografisk usikker. PC World fortæller endvidere, at hvis det lykkes at finde frem til den private RSA-nøgle for rodcertifikatet, så vil man være i stand til at lave et man-in-the-middle angreb mod alle brugere, der har den sårbare software installeret.

Det skyldes, at det med RSA-nøglen vil være muligt for et website at udgive sig for at være et andet - eksempelvis en netbank - ved at præsentere sårbare systemer for et certifikat, som er underskrevet med rodcertifikatet.

»Det betyder, at Superfish kan generere et gyldigt (fra en browsers synspunkt) krypterings-certifikat for Facebook eller Google eller hvilket som helst andet site, der bruger HTTPS,« fortæller sikkerhedsekspert Andreas Lindh til finanspublikationen Forbes.

Det lader til at være mere end en teoretisk trussel. En bruger på Twitter, der kalder sig Yonathan Klijnsma, har netop lagt, hvad der ligger den private nøgle til Superfish-certifikatet ud.

For at komme af med rod-certifikatet er det ifølge Graham Cluely ikke nok at afinstallere Superfish. Certifikatet skal fjernes manuelt også. Microsoft har lavet en guide til fjernelse af rod-certifikater.

Og her er en liste over de officielle rodcertifikater i Windows.

Lenovo-computere kommer siden januar 2015 ikke længere med Superfish. Det er uvist, hvor mange enheder der er derude, der indeholder Superfish.

De første meldinger om Superfish dukkede op i Lenovos supportforummer i september 2014, men det er først nu, sikkerhedseksperter har belyst problematikken.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (6)
Thue Kristensen

Siden det er MitM som dynamisk opretter nye certifikater på brugerens laptop, så følger det at privatnøglen til rodcertificatet nødvendigvis må befinde sig ukrypteret på laptoppen. Krypteret når programmet ikke kører, men nødvendigvis ukrypteret på et tidspunkt under programkørslen.

http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html

Henrik Madsen

Dejligt med en link til en knowledge base artikel som sidst er ændret i 2007 og omhandler fjernelse af rodcertifikater på IE 4, 5 og 5.5

Skal vi gætte på at det vil hjælpe sådan ca 0.0% af V2's læsere.

Log ind eller Opret konto for at kommentere
Pressemeddelelser

Welcome to the Cloud Integration Enablement Day (Bring your own laptop)

On this track, we will give you the chance to become a "Cloud First" data integration specialist.
15. nov 2017

Silicom i Søborg har fået stærk vind i sejlene…

Silicom Denmark arbejder med cutting-edge teknologier og er helt fremme hvad angår FPGA teknologien, som har eksisteret i over 20 år.
22. sep 2017

Conference: How AI and Machine Learning can accelerate your business growth

Can Artificial Intelligence (AI) and Machine Learning bring actual value to your business? Will it supercharge growth? How do other businesses leverage AI and Machine Learning?
13. sep 2017