Macht's gut und danke für den Superfish

Macht's gut und danke für den Superfish

Stefan Friedli
von Stefan Friedli
Lesezeit: 8 Minuten

Lenovo Thinkpads werden mit einer Software namens Superfish ausgeliefert, die es Angreifern erlaubt, sämtliche Kommunikation mit einfachsten Man-in-the-Middle-Attacken abzuhören. Eine kurze Chronik.

Eines der robustesten Geräte, die ich jemals besessen habe, war das IBM Thinkpad T42. Über das Neptun-Projekt einigermassen erschwinglich, aber immer noch zu einem stolzen Preis bezogen, leistete das Notebook über Jahre hinweg gute Dienste. Bis es dann vor einigen Jahren – vermutlich als Nebeneffekt der Dauernutzung – in den wohlverdienten Ruhestand ging.

Wer heute ein neues Thinkpad kauft, der landet beim chinesischen Hersteller Lenovo. Der hat mit der Übernahme von IBMs Laptop-Sparte zwar grundsätzlich einen Erfolg verbucht. Die Reputation des chinesischen Konzerns bei IBM Veteranen litt aber weitgehend durch die fortwährende Abnahme der Materialqualität, die man so zu schätzen gelernt hatte. Trotzdem konnten sich die Geräte, vor allem im akademischen und professionellen Bereich, gut etablieren.

Unerwünschte Standardsoftware

Zeitsprung: Wer zwischen September 2014 und Januar 2015 einen Lenovo Rechner gekauft hat, sieht sich aber mit ganz anderen Problemen als der Absenz eines Magnesium-gefertigten Deckels konfrontiert. Neben dem mitgelieferten Betriebssystem und verschiedenen Utilities, über deren Nutzwert sich streiten lässt, lieferte Lenovo in diesem Zeitraum nahezu alle seine Geräte mit einer Adware-Applikation namens Superfish aus.

Sucht basierend auf Bildern und ist Malware

Superfish-CEO Adi Pinhas beschreibt den Zweck der Applikation auf seinem LinkedIn-Profil wie folgt:

Superfish is a pioneering visual search company. Through cutting-edge, patented technology we have developed a visual search engine that analyzes images algorithmically and transforms the way images are searched, seen, utilized and shared over the web. Quite Simply, we are opening up a new way to search.

Kurz zusammengefasst: Superfish analysiert die Bilder auf einer Webseite mittels verschiedenen Algorithmen und bindet dann relevante Suchergebnisse, in die Seite ein. Es dürfte niemanden überraschen, dass es sich bei den besagten Suchergebnissen ausschliesslich um Werbung handelt. Und das Konzept scheint aufzugehen, immerhin hat Pinhas seit dem Launch seiner Firma in 2006 über 20 Millionen US-Dollar von Investoren erringen können.

Markante Eingriffe in die Systemintegrität

Während die Technologie, die Superfish einsetzt, durchaus interessant ist, dürfte schon der Einsatz in der oben beschriebenen Form für die meisten Benutzer bestenfalls ein unerwünschtes Feature darstellen. Man mag auch diskutieren, ob die Installation von Adware auf, zum Vollpreis erworben, Endgeräten durch den Hersteller ethisch tragbar ist. Aber die Geschichte um Superfish ist noch nicht zu Ende und weitaus problematischer.

Die fortschreitende Adoptierung von SSL-verschlüsselten Verbindungen für alltägliche Anwendungen stellt für Superfish ein Problem dar. So hat Google vor einigen Jahren bereits den Wechsel auf SSL-by-default vollzogen. End-zu-End-verschlüsselte Verbindungen verhindern aber zumindest teilweise das Injizieren von Werbung in die ausgelieferte Webseite.

Ein Hindernis stellte das für Pinhas aber nicht dar. Seine Firma implementierte kurzerhand eine pragmatische Lösung für das Problem: Zusätzlich zur Adware installiert Superfish eine neue Root-CA auf dem Zielsystem und erlaubt somit grundsätzlich das Abfangen und Manipulieren sämtlichen Traffics zu sämtlichen Endpunkten.

In einem Interview wurde Pinhas zu den Unterschieden seiner Heimat Tel Aviv zum Silicon Valley, wo Superfish nun ansässig ist gefragt. Seine Antwort:

The way we work, for example, is very different. We work a lot faster. We have fewer meetings, less formality. We are not saying “Sorry;” we are saying straight to your face, “This is a stupid idea.”

Im Anbetracht dessen, dass Superfish eine Userzahl in den zweistelligen Millionen aufweist – ein substantieller Teil davon aus dem Lenovo-Deal – ist es bedauerlich dass niemand den Satz This is a stupid idea. in die Diskussion zur heimlichen Installation einer Root-CA ausgesprochen hat. Denn eine dumme Idee ist es in der Tat, wenn eine Institution die weder über die Reputation, die Vertrauenswürdigkeit, noch die Infrastruktur besitzt, verfügt eine solche zu betreiben, es trotzdem versucht. Der Eingriff in die Integrität des Systems ist signifikant und grenzt gefährlich nahe an die Kategorisierung von Superfish als Malware.

Nachdem Benutzer in den Foren von Lenovo über die potenzielle Problematik diskutierten, meldete sich Lenovo bald darauf zu Wort und versuchte abzuwiegeln: Es handle sich bei Superfish um ein Feature, die dem Nutzer helfen soll und abgesehen davon könne man die Terms of User (sic) ablehnen und auf die Nutzung von Superfish verzichten.

Unschön ist nur, dass die genannte Ablehnung der Bedingungen zwar dazu führt, dass Superfish nicht ausgeführt wird – auf die Installation der Root CA hat dies aber keinen Einfluss. Benutzer sind dem Risiko also so oder so ausgesetzt, auch wenn sie im richtigen Moment, konfrontiert mit einer massiven Textwand, den richtigen Knopf drücken.

H4. PR-Desaster und greifbare Risiken

Nachdem Lenovo initial mit mehr oder minder deeskalierender Sprache darauf pochte, es gäbe keine Implikationen für die Sicherheit des Systems, meldete sich Peter Hortensius, seines Zeichens CTO von Lenovo, in einem Interview mit dem Wall Street Journals zu Wort. Man arbeite daran, Superfish zu entfernen aber es handle sich bei den Sicherheitsbedenken um eine rein theoretische Sache.

Wie frappant falsch diese Aussage ist benötigt eigentlich keiner Erklärung, aber “Robert Graham von Errata Security lieferte sie nichtsdestotrotz: In einem Blogpost zeigte er auf, wie sich das Zertifikat inklusive Passwort problemlos und mit kleinem Aufwand extrahieren lässt. Mit dem Zertifikat und dem dazugehörigen Passwort, das übrigens komodia lautet, kann ein Angreifer ganz untheoretisch Man-in-the-Middle Attacken gegen sämtliche betroffenen Geräte realisieren.

Pikantes Detail: komodia ist nicht nur ganz generell ein schlechtes Passwort sondern weist auch auf die gleichnamige Firma Komodia hin, die entsprechende SSL Redirector Software anbietet, vermarktet mit dem Nutzen die eigenen Kinder zu überwachen. Die Seite des Herstellers ist zur Zeit der Verfassung dieses Artikels wegen hoher Medienaufmerksamkeit nicht verfügbar.

Man würde hoffen, dass die Tragödie nach diesem Proof-of-Concept ein Ende nehmen würde, doch die Realität sieht leider aus. Lenovo veröffentlichte zwar eine Anleitung zur Deinstallation der Software, beschränkte sich dabei aber auf unvollständige Anweisungen bei denen das Zertifikat in Firefox nach wie vor installiert blieb.

Nicht nur darum ist Superfish eine kleine Katastrophe: Während die schiere Inkompetenz im Hinblick auf die Kommunikation und die Behebung des Problems auf Seiten des Herstellers Anlass zu Bedenken geben sollte, handelt es sich bei den betroffenen Geräten um Millionen von Consumer Geräten, die klassischerweise nur selten gewissenhaft gewartet werden. Sogar wenn Lenovo einen automatisierten und funktionierenden Fix veröffentlicht, werden viele Benutzer lange verwundbar bleiben.

Was zu hoffen bleibt ist einmal mehr, dass Superfish ein Argument dafür wird, Neugeräte ohne Bloatware und _Added Functionality_-Software anzubieten und dass diese Option sich zunehmend als Kaufgrund für Endkunden etabliert. Wer einen Computer kauft, der soll erwarten dürfen, dass dieser nicht bereits von Tag 0 mit Malware verseucht ist – weder mit Superfish, noch sonstiger.

Über den Autor

Stefan Friedli

Stefan Friedli gehört zu den bekannten Gesichtern der Infosec Community. Als Referent an internationalen Konferenzen, Mitbegründer des Penetration Testing Execution Standard (PTES) und Vorstandsmitglied des Schweizer DEFCON Group Chapters trägt er aktiv zum Fortschritt des Segmentes bei.

Links

Sie suchen Interviewpartner?

Unsere Spezialisten kontaktieren Sie gern!

×
Active Directory-Zertifikatsdienste

Active Directory-Zertifikatsdienste

Eric Maurer

Konkrete Kritik an CVSS4

Konkrete Kritik an CVSS4

Marc Ruef

Das neue NIST Cybersecurity Framework

Das neue NIST Cybersecurity Framework

Tomaso Vasella

Angriffsmöglichkeiten gegen Generative AI

Angriffsmöglichkeiten gegen Generative AI

Andrea Hauser

Sie wollen mehr?

Weitere Artikel im Archiv

Sie brauchen Unterstützung bei einem solchen Projekt?

Unsere Spezialisten kontaktieren Sie gern!

Sie wollen mehr?

Weitere Artikel im Archiv