Superfish, PrivDog und Co. bedrohen deine Privatsphäre

Das Thema schlägt derzeit große Wellen. Letzte Woche wurde auf Lenovo-Laptops eine Sicherheitslücke entdeckt. Wer zwischen Oktober und Dezember 2014 ein Notebook des chinesischen Herstellers kaufte, wird mit hoher Wahrscheinlichkeit die Adware Superfisch von Komodia installiert haben. Lenovo liefert, wie so viele andere Hersteller auch, seine Endgeräte mit reichlich Bloatware aus. Superfish schleust Werbung in x-beliebige Webseiten ein. Eine solche Methode bezeichnet man klassischerweise als Adware. Gewollt oder ungewollt spielt dabei keine Rolle. Um auch auf verschlüsselten Webseiten Werbeanzeigen ausgeben zu können, wird ein eigenes Root-Zertifikat mitinstalliert. Allerdings läuft man Gefahr, direkt in einen Man-in-the-Middle-Angriff zu laufen. Dadurch wird die SSL-Verschlüsselung quasi ausgehebelt.

Superfish (Quelle: Benson Kua, Liz. CC BY-SA 2.0)
Superfish (Quelle: Benson Kua, Liz. CC BY-SA 2.0)

Nach nicht mal einem Tag, nach bekanntwerden der Schwachstelle, veröffentlichte ein Sicherheitsforscher eine Dokumentation, wie der private Schlüssel extrahiert werden kann. Nachdem sich Lenovo und Komodia rausreden wollten, brachte Lenovo immerhin ein Entferntool. Den Fall könnt man jetzt als dumm gelaufen abstempeln. Doch ein solcher Angriff auf die Privatsphäre kann keinesfalls lapidar erscheinen.

PrivDog verwässert den SSL-Schutz von Webseiten

Wenige Tage später folgte auf das Superfish-Debakel eine weitere Anwendung. PrivDog möchte sogar die Privatsphäre seiner Nutzer schützen, in dem es Werbeanzeigen durch “vertrauenswürdige” ausgetauscht. Natürlich setzten die Entwickler ebenfalls auf ein eigenes Root-Zertifikat. Der Schaden ist hier unlängst größer, als bei Superfish. Denn PrivDog ersetzt fast jedes Zertifikat durch sein Eigenes. Dadurch sind auch in diesem Fall Man-in-the-Middle-Angriffe möglich. Dem nicht genug, könnten selbst falsche Zertifikate als vertrauenswürdig gelten. Das macht jegliche Sicherheitsprüfung zunichte. Außerdem ist es sehr zweifelhaft, dass ausgerechnet Comodo, einer der großen SSL-Anbieter, diese Anwendung mit vertrieben hat.

PrivDog will deine Privatsphäre schützen
PrivDog will deine Privatsphäre schützen

Dass solche Software existiert ist nichts Neues. Versierte Nutzer wissen, dass sie sich diese Crapware nicht installieren. Aber der unerfahrene User vielleicht nicht. Daher rate ich euch davon ab, euch diesen Mist zu installieren. Einerseits verdienen Unternehmen wie Komodia durch das Einblenden ihrer “seriösen” Werbung richtig Kohle damit und wenn dann noch Gerätehersteller wie beispielsweise Lenovo mit im Boot hocken, fließt noch mal mehr Geld. Am Ende dreht sich alles nur um den Gewinn und der Dumme ist immer der Kunde. Das war niemals anderes.

Bloatware bis zum Erbrechen und zurück

Als Kunde muss man eben darauf vorbereitet sein, dass ab Werk unzählige überflüssige Programme vorinstalliert sind. Das stört mich schon seit Jahren. Aber für die Hersteller hängt da richtig Schotter dran. Es geht jedoch nicht darum, dem Kunden ein Start-Bundle mit auf den Weg zu geben, sondern weitere Kaufentscheidungen herbeizuführen. Teilweise funktioniert das wohl auch. Machen wir uns nichts vor, der Otto Normalverbraucher wird seinen Computer nach dem Kauf kein einziges Mal neu installieren. Nein, er lebt mit all dem installierten Müll. Die Hersteller werden an ihrer Praktik nichts ändern. Aber trotzdem darf es nicht passieren, dass dadurch Adware oder schlimmstenfalls sogar Schadsoftware auf einen fabrikneuen Computer gelangt.

Im Grunde bleibt dem Kunden nach dem Kauf nur die Neuinstallation. Selbst wenn der Anwender beispielsweise Superfish deinstalliert, entfernt dies das Root-Zertifikat nicht automatisch mit. Das geschieht nur mit dem Deinstaller von Lenovo. Die Software ist das eine Risiko und das unauffällige, aber gefährliche, Zertifikat das andere. Ich glaube kaum, das jeder seine Zertifikatverwaltung überprüft. Deshalb sehe ich hier eindeutig die Hersteller in der Pflicht, eingesetzte Software auf Sicherheit und Gewährleistung der Privatsphäre zu prüfen.

Update 27.02.2015 — 07:11: Golem gab gestern bekannt, dass PrivDog noch weitere Sicherheitslücken beinhaltet. Das Programm sendet besuchte Seiten an den Entwickler Adtrustmedia zurück. Bis vorgestern geschah dies sogar unverschlüsselt. Wer also den Netzwerkverkehr überwachte, konnte alles fein säuberlich mitschneiden. Mittlerweile wird alles per HTTPS übertragen. Für PrivDog ist dieses Vorgehen legitim. Die übermittelten Daten würden anonymisiert. Nur, wer will das überprüfen?


Avatar von reraiseace
Autor: Markus Werner (reraiseace) Twitterreraiseace, Google+reraiseace, Twittercb_werner
Ich bin Redaktionsvolontär bei der COMPUTER BILD in Hamburg, Fernstudent am Deutschen Journalistenkolleg und schreibe auf re{raise}ace privat über Webdesign und Programmierung. Seit 2015 schrieb ich auch regelmäßig für andere Medien.

0 Kommentare – Schreib mir deine Meinung!

Fülle bitte die nachstehenden Felder aus. Angaben mit einem Sternchen sind Pflichtangaben. Deine E-Mail-Adresse wird nicht veröffentlicht.