Man-In-The-Middle-Attacke bei Lenovo: Visual Discovery untergräbt die Zertifikate für verschlüsselten Internetverkehr

von

Lenovo verteilt mit seinen Endkundengeräten einen „Service“ von SuperFish namens Visual Discovery.
Dieses Werbenetzwerk hängt sich in alle verschlüsselten Kommunikationen im Browser und liefert dann Werbung darüber aus.
Eine ernst zu nehmende Sicherheitslücke, die vom Hersteller geduldet wird.

Was passiert hier?

In Zusammenarbeit mit Lenovo und SuperFish bekommen Benutzer durch den „Dienst“ „Visual Discovery“ Werbeanzeigen an Orten angezeigt, die dafür eigentlich nicht vorgesehen sind. Die eingesetzte Technik fällt somit unter die Begriffe Man-In-The-Middle-Attacke und AdWare (Werbesoftware). SuperFish sucht auf den manipulierten Seiten nach Bildern, analysiert diese und zeigt daraufhin Werbung passen zu diesen an. Schauen wir uns zum Beispiel einen Laptop auf einer Webseite an, so kann das Werbenetzwerk dies erkennen und gezielt Werbung für den Benutzer ausspielen, da er sich ja anscheinend für einen neuen Laptop interessiert.

Was ist SuperFish?

SuperFish ist ein sogenanntes Werbenetzwerk. Durch einen speziellen Dienst auf den Computern klinkt sich der Dienstleister in verschiedene Webseiten ein, auch in vermeindlich sichere Verbindungen wie Bankwebseiten und vielem mehr. Zu erkennen sind solche Verbindungen im Browser durch das beginnende https:// in der Adresse der Seite und meist einem Schloss in der Adresszeile des Browsers.

Was ist Man-In-The-Middle?

Infografik Man-in-the-middleBei sogenannte Man-In-The-Middle-Attacken schaltet sich eine dritte Stelle zwischen die Komunikation zwischen dem Benutzer und dem Dienst, der aufgerufen werden soll. Dazu wird im Falle von SuperFish ein sogenannter Proxy-Server auf dem System installiert um so die Pakete im Traffic umzuleiten. Zusätzlich installiert der Dienst ein sogenanntes Root-Zertifikat und verschafft sich somit das Vertrauen in den Browsern auf dem System und beanstandet die Umleitung über das Werbenetzerk nicht mehr. Alles sieht nach einer normalen authorisierten Verbindung aus.

Was ist ein Proxy-Server

Ein Proxy-Server wird im Internet häufig dazu verwendet um Anfragen zwischenzuspeichern und den Verbindungsaufbau zu beschleunigen oder zum Beispiel in Schulnetzwerken nur dann zu erlauben, wenn dies die Lehrer oder Schulleitung freigibt.
Es ist davon auszugehen, dass die meinsten ISPs (Internet Service Provider) – also der Anbieter des Internetanschlusses wie Telekom, Vodafone, 1&1 etc. – selbst solche betreiben. Diese klinken sich aber nicht gezielt in die Verbindungen ein um die erwartete Seite zu manipulieren und Werbung auf Seiten zu schalten, die vom Betreiber der Seite nicht gewünscht ist.

Was sind Root-Zertifikate

Lenovo / SuperFish: Man-in-the-Middle auf der Seite von Bank of America©Die sicheren Verbindungen im Internet setzen immer auf sogenannte CAs (Certificate Authorities), auf deutsch Zertifizierungsstellen. Eine Ansammlung dieser Stellen wird mit der Grundinstallation des Systems auf dem Rechner hinterlegt, welchen dann vertraut wird, dass die sicheren Verbindungen in Ordnung sind.
Installiert man nun ein eigenes Root-Zertifikat oder bekommt eben von Lenovo und SuperFish ein solches mitinstalliert, vertraut der Rechner automatisch darauf, dass die Verschlüsselungen alle richtig laufen und bekommt im Browser oder sonstigen Anwendungen keinen Hinweis, dass das Zertifikat nicht aus einer vertrauenswürdigen Stelle stammt.
Mit einem solchen Zertifikat lässt sich das komplette Sicherheitskonzept hinter den SSL und TLS-Verschlüsselten Verbindungen aushebeln.

Wo liegt das Problem an der Vorgehensweise?

  • Dem Benutzer wird ungewünscht Werbung untergeschoben, aufgrund der Analyse der aufgerufenen Webseite.
  • Normale Werbenetzwerke bekommen nur dann mit, wo ihr surft, wenn ihr auf einer Seite unterwegs seid, die dieses Netzwerk verwendet.
  • Das Werbenetzwerk SuperFish hat durch die Vorgehensweise Zugriff auf alle verschlüsselt übertragenen Daten – auch das Online-Banking
  • Zur Verschlüsselung wird immer ein Schlüsselpaar verwendet, einer zum ver- der andere zum entschlüsseln. Der Schlüssel von SuperFish ist bekannt, daher können diese Lücke auch andere Hacker ausnutzen

Wie werde ich das Problem auf meinem Lenovo-Gerät wieder los?

Derzeit können wir nicht sicher sein, dass Lenovo oder gar SuperFish ihren Dienst „Visual Discovery“ freiwillig vom Computer entfernen. Eine Deinstallation kann eventuell durch Systemupdates rückgängig gemacht werden, da dies dann durch Lenovo wieder auf den Rechner gelangen kann. Schließlich spielt euch der Hardware-Hersteller spezifische Updates für euer Gerät auf.
Die derzeit wohl einfachste Methode den Dienst zu deinstallieren ist mit einem AdWare-Cleaner zu arbeiten und im Anschluss das SuperFish-Root-Zertifikat aus der Datenbank im System zu löschen.

Gerne binde ich hier noch einige Screenshots ein, wenn ich ein betroffenes Lenovo-Gerät zwischen die Finger bekomme und die entsprechenden Bilder machen kann.