Een Nederlandse beveiligingsonderzoeker heeft een manier gevonden om de malware die Lenovo op zijn laptops meeleverde te gebruiken om beveiligd internetverkeer af te luisteren. Onderzoeker Yonathan Klijnsma van Fox-IT schrijft op Twitter dat hij de privésleutel van het ssl-certificaat van de malware Superfish in handen heeft. Met zo’n privésleutel kan een beveiligde verbinding, die wordt opgezet met een ssl-certificaat, ontsleuteld worden. Daardoor wordt het internetverkeer inzichtelijk.
Donderdag bleek dat Lenovo lange tijd een stuk adware op zijn laptops installeerde, waardoor bijvoorbeeld extra advertenties op webpagina’s konden worden getoond. Lenovo zegt de malware sinds januari niet meer mee te leveren op laptops. De adware bleek niet alleen advertenties te tonen, maar ook beveiligde https-verbindingen, bijvoorbeeld met bankenwebsites, te ‘kapen’ door het beveiligingscertificaat van de bank te vervangen door een eigen certificaat.
Hey @lenovo I'm enjoying the #SuperFish private key! Look at me ma' I'm a CA! http://t.co/GGkX4xJ9mQ pic.twitter.com/va4cFc0y7T
— Yonathan Klijnsma (@ydklijnsma) February 19, 2015
Afluisteren
Dat heeft tot gevolg dat de software kan afluisteren op pagina’s waar dat eigenlijk niet de bedoeling is. Omdat Klijnsma nu ook de privésleutel van het certificaat in handen heeft, kan hij zelf beveiligd verkeer van Lenovo-laptops aflezen en manipuleren.
Voordat Klijnsma de sleutel in handen kon krijgen, moest hij wel de mogelijkheid hebben om internetverkeer te onderscheppen. Dat zou bijvoorbeeld kunnen met een eigen wifi-hotspot waar de laptop verbinding mee maakt. Een hacker zou op deze manier wachtwoorden en andere privéinformatie kunnen stelen of browsersessies kunnen kapen.
Tegenover Tweakers stelt Klijnsma dat hij met “een beetje klooien” toegang wist te krijgen tot de privésleutel.
Firefox
Lenovo heeft erkend dat de Superfish-malware werd meegeleverd op verschillende consumentenlaptops. Het bedrijf zegt de software inmiddels te hebben gedeactiveerd, maar laat in een reactie ook weten “geen bewijs te hebben gevonden die zorgen over de beveiliging onderbouwen”. De ceo van Superfish sluit zich bij dit statement aan.
Lenovo gaat niet specifiek in op de constateringen van beveiligingsonderzoekers. Wel zegt het bedrijf dat het meeleveren van Superfish “niet financieel significant” was, maar dat het ging om het verbeteren van de gebruikservaring. Dat bleek volgens het bedrijf niet het geval. Consumenten hebben volgens Lenovo negatief gereageerd op Superfish en daarom is gekozen voor deactivatie en het stoppen van de levering van de software.
Dat betekent echter nog niet dat het kwaadaardige ssl-certificaat zelf is verwijderd van computers die eerder Superfish bevatten. Als dat niet het geval is, blijven Chrome en Internet Explorer kwetsbaar. Firefox leek anders om te gaan met ssl-certificaten, beveiligingsexperts kwamen er achter dat die browser echter ook vatbaar is voor de malware.
For those who think Firefox is unaffected by the MitM attack of #SuperFish, guess again #kernelredirection pic.twitter.com/QbWBiUo7VA
— Erik Loman (@erikloman) February 19, 2015
Superfish verwijderen
De normale deïnstallatie van Superfish zorgt er niet voor dat het ssl-certificaat verdwijnt. Er is aan Lenovo gevraagd of het ssl-certificaat op zijn laptops ook is gedeactiveerd, of dat hier nog plannen voor zijn. Het bedrijf liet donderdagavond Nederlandse tijd aan The Wall Street Journal weten dat het werkt aan een oplossing om Superfish te verwijderen.
Lenovo stelt verder dat het niet genoeg gedaan heeft om ervoor te zorgen dat alle vooraf op zijn producten geïnstalleerde software veilig genoeg waren. Lenovo-gebruikers kunnen inmiddels al via een door een beveiligingsexpert gemaakte website controleren of Superfish op hun computer geïnstalleerd staat. Ook staan hier tips om de malware volledig te verwijderen.