image

Adware op Lenovo-laptops brengt SSL-verbinding in gevaar

donderdag 19 februari 2015, 10:23 door Redactie, 25 reacties
Laatst bijgewerkt: 19-02-2015, 16:43

De Chinese computerfabrikant Lenovo installeert standaard zeer agressieve adware op de laptops die aan het klanten verkoopt, waardoor alle SSL-verbindingen die gebruikers opzetten risico lopen. Het was al enige tijd bekend dat Lenovo de Superfish-adware op laptops installeert, alleen nu blijkt de impact ervan veel groter te zijn dan in eerste instantie werd aangenomen.

Volgens onderzoeker Marc Rogers voert de adware een "Man-in-the-middle-aanval" uit om toegang tot gevoelige gegevens te krijgen die via SSL-verbindingen lopen en advertenties te injecteren. Daarnaast installeert Lenovo ook een zwak certificaat op het systeem, waardoor gebruikers geen enkele SSL-verbinding die ze opzetten meer kunnen vertrouwen.

Het probleem was op 21 januari al door een gebruiker op het Lenovo-forum gemeld. Volgens de gebruiker kaapt Superfish, ook bekend als VisualDiscovery en Similarproducts, alle SSL/TLS-verbindingen via een zelf gesigneerde root certificaatautoriteit die door de browser wordt vertrouwd. De gebruiker in kwestie heeft zijn laptop teruggestuurd en zijn geld teruggevraagd.

Certificaat

Via Superfish worden advertenties op de computer getoond. Rogers noemt het een berucht stukje adware dat legitieme verbindingen kaapt, gebruikersactiviteit monitort, persoonlijke informatie verzamelt en naar servers uploadt, pop-ups met advertentiesoftware toont en ook nog eens de SSL-verbindingen van gebruikers aanvalt en een zelf gesigneerd certificaat gebruikt. Superfish gebruikt ook nog eens een zwak SHA1-certificaat. SHA-1 is echter vervangen door SHA-256, omdat aanvallen op SHA-1 nu met standaard computers kunnen worden uitgevoerd. Verder blijkt dat er een 1024-bit RSA-sleutel wordt gebruikt die te kraken is.

De onderzoeker stelt dat Lenovo dan ook onwetend en roekeloos bezig is. "Het is misschien wel het ergste dat ik een leverancier klanten heb zien aandoen." In een reactie stelt Lenovo dat Superfish tijdelijk van de laptops is verwijderd. Daarnaast merkt de fabrikant op dat de plug-in geen kwaad kan.

Of de plug-in alleen op nieuwe laptops is verwijderd of dat Lenovo dit ook op bestaande computers kan doen is onduidelijk. Ook is onduidelijk of in dit geval ook de zelf gesigneerde root certificaatautoriteit wordt verwijderd. The Next Web meldt dat Firefoxgebruikers geen risico lopen, omdat de opensourcebrowser een eigen certificaatstore gebruikt. Verder zouden virusscanners Superfish als adware detecteren en adviseren om te verwijderen.

Update 12:42

Lenovo stelt in een verklaring aan Security.NL dat Superfish vanaf januari 2015 niet meer op nieuwe systemen is geïnstalleerd. Verder zou Superfish op al verkochte Lenovo-machines zijn uitgeschakeld. Volgens de fabrikant was de adware op alleen een "select aantal" consumentenmodellen geïnstalleerd .

Update 13:42

Beveiligingsonderzoeker Conrad Longmore heeft een overzicht van IP-adressen en domeinnamen gepubliceerd die door Superfish worden gebruikt. Hij merkt op dat de informatie naar Amerikaanse IP-adressen wordt gestuurd. Superfish zelf is Israëlisch. "Wat een populaire plek lijkt om adware te ontwikkelen", merkt hij op.

Update 14:18

Eigenaren van een Lenovo-laptop kunnen via deze pagina controleren of de Superfish Certificaatautoriteit door hun browser wordt vertrouwd en ze dus risico lopen.

Update 16:11

Verschillende onderzoekers zijn er inmiddels in geslaagd om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikte. Het wachtwoord bleek "komodia" te zijn, zo blijkt uit een analyse van onderzoeker Robert Graham. In theorie zou het daarmee mogelijk zijn om Man-in-the-Middle-aanvallen uit te voeren en versleuteld verkeer van Lenovo-gebruikers te onderscheppen. Hiervoor zou een aanvaller zich wel tussen de gebruiker en het internet moeten plaatsen. Verder meldt onderzoeker Erik Loman dat in tegenstelling tot wat er eerst werd gemeld Firefoxgebruikers wel kwetsbaar zijn.

Lenovo liet eerder al aan Security.NL weten dat Superfish niet meer op nieuwe laptops wordt geïnstalleerd en bestaande installaties waren uitgeschakeld. Of hierbij ook het zelf gesigneerde certificaat is verwijderd is onduidelijk. Security.NL heeft Lenovo om opheldering gevraagd maar nog geen antwoord ontvangen.

Update 16:43

Lenovo laat aan Security.NL weten dat het helemaal stopt met Superfish en de software niet meer op machines zal installeren. Daarnaast is de software in januari van dit jaar aan de serverkant van Lenovo uitgeschakeld. Daardoor zou Superfish niet meer actief zijn. Of gebruikers zelf het zelf gesigneerde certificaat moeten verwijderen is echter onduidelijk. Deze vraag staat nog bij Lenovo open.

De computerfabrikant verklaart verder dat het de technologie uitgebreid heeft onderzocht, maar geen aanwijzingen heeft gevonden die de ontstane veiligheidszorgen rechtvaardigen. "Maar we weten dat gebruikers over dit probleem bezorgd zijn zijn en hebben daarom direct actie ondernomen door producten met deze software niet meer te leveren.

Reacties (25)
19-02-2015, 10:29 door Anoniem
Het standaard meeleveren van adware is al een ramp op de meeste pc's. Bij iedereen die een systeem aan mij voorlegt, ben ik de nodige tijd kwijt om die te verwijderen. Dit gaat het makkelijkst bij een nog ongebruikt systeem, omdat je dan zelf kunt beoordelen dat het eraf kan. Maar wanneer mensen al een tijdje hebben zitten spelen met zo'n ding, moet je ook nog eens controleren of ze het er bewust op hebben gezet.

Maar wanneer adware zich gedraagt als hier beschreven, dan vind ik het wenselijk om mensen voortaan te adviseren om geen Lenovo meer te kopen.
19-02-2015, 10:47 door PietdeVries
Niet alleen de Lenovo bloatware doet dit - ik zag ook dat Avast zich lekker nestelde tussen browser en bank site met een eigen certificaat. Ongetwijfeld om ook mijn HTTPS verbindingen te 'beveiligen', maar helemaal lekker voelt het niet.

Overigens zie je dit probleem vaker: encryptie bijt nogal eens met security. We zijn allemaal erg blij met onze ssh tunnel omdat het zoveel veiliger is dan telnet. Maar een boefje dat ook zo'n ssh tunnel gebruikt om de proxy te omzeilen valt dan natuurlijk niet meer op!
19-02-2015, 11:04 door Erik van Straten
Zie ook https://www.security.nl/posting/417733/Lenovo+superfish+adware waarin een security.nl bezoeker de Superfish malware op een nieuwe Lenovo laptop ontdekte - doordat de verbinding naar de ING website niet beveiligd bleek.
19-02-2015, 13:29 door gogonal
Aansluitende vraag op deze bloatware ramp: hoe kan ik checken of alle certificaten op mijn machine, daar ook echt horen te zijn? En dat er dus niet een ongewenst certificaat tussen zit en/of komt? Vraagt Windows altijd om toestemming als er een certifcaat bij wordt geplaatst? Of kunnen er op allerlei dubiezue manieren ongemerkt certificaten worden toegevoegd ?
19-02-2015, 14:49 door Anoniem
https://twitter.com/ydklijnsma/status/568390533749604352
19-02-2015, 15:47 door Anoniem
Certificaat is al gekraakt. Iedereen kan nu lekker MiTM spelen.

http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
19-02-2015, 15:49 door Erik van Straten
19-02-2015, Update 14:18 door Redactie: Eigenaren van een Lenovo-laptop kunnen via deze pagina (https://filippo.io/Badfish/) controleren of de Superfish Certificaatautoriteit door hun browser wordt vertrouwd en ze dus risico lopen.
Ik kan bevestigen dat die test werkt.

Nb. ik heb dat getest door uit https://gist.github.com/nekoruri/a41657d4479b0301be38 het bovenste certificaat op te slaan als Superfish_Root.cer en deze te importeren in de Windows "Trusted Root Certification Authorities" store, en de testsite met MSIE te bezoeken. Nb. Javascript (Active Scripting) moet wel aan staan voor deze test, in elk geval in Firefox om de tekst "No, you are probably safe" te laten verschijnen (Firefox is niet kwetsbaar omdat deze een eigen root certificate store heeft, dus niet die van Windows gebruikt).

Dat deze test werkt betekent hoogstwaarschijnlijk dat de malware geen uniek keypair genereert op elke computer, d.w.z. dat de private key op alle computers dezelfde is en deze dus op straat ligt, en dat het rootcertificaat op alle "gehackte" computers identiek is.

http://www.heise.de/security/meldung/Gefahr-fuer-Lenovo-Laptops-durch-vorinstallierte-Adware-2554455.html vermeldt dat de uninstaller van de Superfish malware het rootcertificaat (getiteld "Superfish, Inc.") niet verwijdert uit de Windows certificate store. Mocht je vermoeden dat de Superfish malware op je PC gestaan heeft, dan kun je op bovengenoemde site testen of het certificaat nog aanwezig is: gebruik daar MSIE voor!

Als je PC kwetsbaar is raad ik dringend aan het root certificaat "Superfish, Inc." te verwijderen.
19-02-2015, 15:55 door Erik van Straten
Erik Loman meldt zojuist in https://twitter.com/erikloman/status/568421667330002944 dat met de Superfish malware actief op je PC, ook Firefox SSL verbindingen worden gekaapt.

De Superfish malware gaat dus verder dan alleen het installeren van een root certificaat in de Windows Certificate Store.

Meer info over hoe de private key verkregen is, lees je hier: http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html.
19-02-2015, 16:40 door Anoniem
Door PietdeVries: Niet alleen de Lenovo bloatware doet dit - ik zag ook dat Avast zich lekker nestelde tussen browser en bank site met een eigen certificaat. Ongetwijfeld om ook mijn HTTPS verbindingen te 'beveiligen', maar helemaal lekker voelt het niet.

Overigens zie je dit probleem vaker: encryptie bijt nogal eens met security. We zijn allemaal erg blij met onze ssh tunnel omdat het zoveel veiliger is dan telnet. Maar een boefje dat ook zo'n ssh tunnel gebruikt om de proxy te omzeilen valt dan natuurlijk niet meer op!
Dit doen inderdaad wel meer AV's. Toen ik een tijd geleden met Avast heb gescanned liet het ook gewoon een verbinding toe met een ingetrokken certificaat, terwijl de browser zonder Avast een grote in-your-face waarschuwing geeft of je zelfs helemaal niet verder laat gaan. Bij Avast kan in de instelling bij webshield HTTPS/SSL scanning uitzetten en dan zit Avast er niet meer tussen met zijn certificaat.
19-02-2015, 16:59 door Anoniem
Geld dit ook voor de Medion modellen ?
19-02-2015, 17:26 door Anoniem
Hoewel Lenovo beweert dat Superfish is uitgeschakeld (op server-niveau) en niet meer op nieuwe laptops wordt meegeleverd, zegt ze niets over de uitschakeling c.q. verwijdering van het malafide certificaat dat op je systeem staat. Maar uitschakeling is nog geen verwijdering.

Wie uitleg kan geven hoe dit kwaadaardige certificaat te verwijderen, graag een reactie please.
19-02-2015, 17:28 door Anoniem
Nu maar hopen dat Lenovo (Ibm) ontzettende claims gaat krijgen en binnen een half jaar failliet is, dat je dit bewust doet, onvergeeflijk.
Wij hadden helaas ook Lenovo laptops draaien, die al slecht waren : I7chipset en touchpadproblemen, na de fijne updates van Windows8 liepen ze zoiezo vast.
De Ict-desk had ze toen al allemaal ingenomen en ze staan nu al 2 jaar in het magazijn te verstoffen !
Achteraf was die ' perfecte' update van Windows onze redding als organisatie.(kunnen we een x windows dankbaar zijn.)
Maar ik begrijp nu nooit meer Lenovo en hoop dat velen dat met ons doen.

En als je even verder kijkt : http://nl.wikipedia.org/wiki/Lenovo
Ze hebben ook banden met Medion / Motorola ?
Gaat nog een aardig verhaal opleveren.
Misschien kan FoxIt deze bende even doorlichten ?
Rtl nieuws al op de hoogte ?
19-02-2015, 17:41 door Anoniem
Goede reputatieschade voor Lenovo, nooit of te nimmer een Lenovo device in huis nemen dus.
19-02-2015, 19:03 door Anoniem
Hier is een interessant artikel over dit issue
http://www.forbes.com/sites/thomasbrewster/2015/02/19/superfish-need-to-know/

Blijkt, dat deze software van een firma met een spionage achtergrond afkomstig is.

"It appears Lenovo laptops manufactured in the last two years have Superfish running on them, which means millions are likely affected across the globe, given the manufacturer shipped 113 million PCs over that period. Chrome and Internet Explorer are affected, as they use Microsoft’s Windows store of trusted certificates. Though Firefox has its own list of certificate providers, the Electronic Frontier Foundation found as many as 44,000 Superfish certificates run at some point by users of Mozilla’s browser."

Dit is de EFF Link :
https://www.eff.org/deeplinks/2015/02/further-evidence-lenovo-breaking-https-security-its-laptops

"There's been some discussion about whether all copies of Superfish use the same root key to perform the MITM attacks. We can report that the Decentralized SSL Observatory has seen 44,000 Superfish MITM certificates, all of which have been signed by the same Superfish root cert.2 The fact that there are significant numbers of Firefox victims somewhat contradicts the speculation that Firefox is safe because it doesn't use the Windows root store. This either indicates that Superfish also injects its certificate into the Firefox root store, or that on a large number of occasions Firefox users have been clicking through certificate warnings caused by Superfish MITM attacks.

Lenovo has not just injected ads in a wildly inappropriate manner, but engineered a massive security catastrophe for its users. The use of a single certificate for all of the MITM attacks means that all HTTPS security for at least Internet Explorer, Chrome, and Safari for Windows, on all of these Lenovo laptops, is now broken. If you access your webmail from such a laptop, any network attacker can read your mail as well or steal your password. If you log into your online banking account, any network attacker can pilfer your credentials. All an attacker needs in order to perform these attacks is a copy of the Superfish MITM private key. There is (apparently) a copy of that key inside every Superfish install on every affected Lenovo laptop, which has now been extracted and posted online."
19-02-2015, 19:41 door Anoniem
Wat een storm in een glas water...

Lenovo's worden vrijwel uitsluitend bedrijfsmatig gebruikt en een beetje IT afdeling zet daar zijn eigen image op, al dan niet verplicht door de licentie structuur van Microsoft.
Geen enkel bedrijf wil een 4 jaar oude versie van Norton Antivirus of reclame tools op hun zakelijke laptop.

Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...
19-02-2015, 20:25 door [Account Verwijderd] - Bijgewerkt: 19-02-2015, 21:36
[Verwijderd]
19-02-2015, 20:28 door Anoniem
Door Anoniem: Wat een storm in een glas water...
[...]
Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...
Alleen gaat het om de *consumenten*laptops van Levono, niet om de zakelijke. Het stormde kennelijk te hard in je glas water om het artikel nog goed te kunnen lezen.
19-02-2015, 20:46 door yobi
Lenovo wordt ook veel aan particulieren verkocht. Deze zullen dus niet altijd een image voor handen hebben. Er zijn verschillende berichten, dat het certificaat achterblijft na installatie. Deze moet dus dan nog handmatig worden verwijderd. Microsoft heeft eventueel herstelmedia beschikbaar. Dus als men het helemaal niet vertrouwd:
http://windows.microsoft.com/nl-nl/windows-8/create-reset-refresh-media

En opnieuw beginnen maar weer.
19-02-2015, 21:55 door Anoniem
Door Forester:
Door Anoniem: Wat een storm in een glas water...Volgende komkommer graag...
Noem een MitM-aanval tussen jou en je banksite maar een storm in een glas water.

Ik vind het erger dat de NSA en GCHQ mijn simkaarten hebben gehacked dan een potentieel probleem wat in mijn geval al nooit had plaats kunnen vinden. Lenovo mag van mij malware installeren op mijn laptop... Daar heeft Centos echt geen probleem mee.
19-02-2015, 22:31 door Anoniem
Door Anoniem: Hoewel Lenovo beweert dat Superfish is uitgeschakeld (op server-niveau) en niet meer op nieuwe laptops wordt meegeleverd, zegt ze niets over de uitschakeling c.q. verwijdering van het malafide certificaat dat op je systeem staat. Maar uitschakeling is nog geen verwijdering.

Wie uitleg kan geven hoe dit kwaadaardige certificaat te verwijderen, graag een reactie please.

Mankeer je iets aan je handen of zo of heb je nooit van een zoekmachine gehoord?

Voor deze keer dan:

1) Ga naar het startmenu via de Windows key.
2) Type: "certmgr.msc" om de certificate manager te openen.
3) Navigeer naar Trusted Root Certification Authorities (links) -> Certificates (rechts}.
4) Kijk of je daar "Superfish Inc" ziet staan.
5) Zo ja, klik er dan met de rechter rmuistoets op en Kies "Delete".
6) Ga over op Firefox.

Chantal.
20-02-2015, 00:43 door Anoniem
Door yobi: Lenovo wordt ook veel aan particulieren verkocht. Deze zullen dus niet altijd een image voor handen hebben. Er zijn verschillende berichten, dat het certificaat achterblijft na installatie. Deze moet dus dan nog handmatig worden verwijderd. Microsoft heeft eventueel herstelmedia beschikbaar. Dus als men het helemaal niet vertrouwd:
http://windows.microsoft.com/nl-nl/windows-8/create-reset-refresh-media

En opnieuw beginnen maar weer.
De pc fabrikant heeft hier schuld en diezelfde fabrikant (Lenovo) moet dit probleem verhelpen middels een update ,of een verwijdering bij een pc reparateur op HUN kosten,of een nieuwe,wel veilige (Lenovo) pc leveren!
20-02-2015, 01:18 door Anoniem
Het groepje misschien betrouwbare grote hardware leveranciers wordt al kleiner;
EXIT:
Sony; rootkit
Samsung; not so smart spy TV
Lenovo/IBM: Superfish
Seagate/Western Digital/Hitachi/etc: (Equation group HD firmware sector infection)
Nou nog even wachten op een virus in de inkt van m'n gewone pen,...
Lood van m'n potlood was altijd giftig,..
20-02-2015, 02:09 door Erik van Straten
19-02-2015, 22:31 door Anoniem/Chantal:
Door Anoniem: Wie uitleg kan geven hoe dit kwaadaardige certificaat te verwijderen, graag een reactie please.
6) Ga over op Firefox.
Als je al Firefox en/of Opera draaide toen Superfish actief was op je systeem, zul je ook daarin het geïnjecteerde "Superfish, Inc." rootcertificaat moeten verwijderen om veilig(er) te kunnen surfen.
20-02-2015, 10:14 door Anoniem
Door Anoniem: Wat een storm in een glas water...

Lenovo's worden vrijwel uitsluitend bedrijfsmatig gebruikt en een beetje IT afdeling zet daar zijn eigen image op, al dan niet verplicht door de licentie structuur van Microsoft.
Geen enkel bedrijf wil een 4 jaar oude versie van Norton Antivirus of reclame tools op hun zakelijke laptop.

Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...

Mooie sugarcoat reactie...bedrijf levert malware, jij gaat er van uit dat die toch wel overschreven wordt door een bedrijfs eigen image.
Volgens mij ontgaat je het feit dat het bedrijf iets malafide op jouw laptop uitvoert zonder jouw medeweten in de eerste plaats..
20-02-2015, 13:34 door [Account Verwijderd] - Bijgewerkt: 20-02-2015, 13:34
[Verwijderd]
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.