Adware op Lenovo-laptops brengt SSL-verbinding in gevaar
De Chinese computerfabrikant Lenovo installeert standaard zeer agressieve adware op de laptops die aan het klanten verkoopt, waardoor alle SSL-verbindingen die gebruikers opzetten risico lopen. Het was al enige tijd bekend dat Lenovo de Superfish-adware op laptops installeert, alleen nu blijkt de impact ervan veel groter te zijn dan in eerste instantie werd aangenomen.
Volgens onderzoeker Marc Rogers voert de adware een "Man-in-the-middle-aanval" uit om toegang tot gevoelige gegevens te krijgen die via SSL-verbindingen lopen en advertenties te injecteren. Daarnaast installeert Lenovo ook een zwak certificaat op het systeem, waardoor gebruikers geen enkele SSL-verbinding die ze opzetten meer kunnen vertrouwen.
Het probleem was op 21 januari al door een gebruiker op het Lenovo-forum gemeld. Volgens de gebruiker kaapt Superfish, ook bekend als VisualDiscovery en Similarproducts, alle SSL/TLS-verbindingen via een zelf gesigneerde root certificaatautoriteit die door de browser wordt vertrouwd. De gebruiker in kwestie heeft zijn laptop teruggestuurd en zijn geld teruggevraagd.
Certificaat
Via Superfish worden advertenties op de computer getoond. Rogers noemt het een berucht stukje adware dat legitieme verbindingen kaapt, gebruikersactiviteit monitort, persoonlijke informatie verzamelt en naar servers uploadt, pop-ups met advertentiesoftware toont en ook nog eens de SSL-verbindingen van gebruikers aanvalt en een zelf gesigneerd certificaat gebruikt. Superfish gebruikt ook nog eens een zwak SHA1-certificaat. SHA-1 is echter vervangen door SHA-256, omdat aanvallen op SHA-1 nu met standaard computers kunnen worden uitgevoerd. Verder blijkt dat er een 1024-bit RSA-sleutel wordt gebruikt die te kraken is.
De onderzoeker stelt dat Lenovo dan ook onwetend en roekeloos bezig is. "Het is misschien wel het ergste dat ik een leverancier klanten heb zien aandoen." In een reactie stelt Lenovo dat Superfish tijdelijk van de laptops is verwijderd. Daarnaast merkt de fabrikant op dat de plug-in geen kwaad kan.
Of de plug-in alleen op nieuwe laptops is verwijderd of dat Lenovo dit ook op bestaande computers kan doen is onduidelijk. Ook is onduidelijk of in dit geval ook de zelf gesigneerde root certificaatautoriteit wordt verwijderd. The Next Web meldt dat Firefoxgebruikers geen risico lopen, omdat de opensourcebrowser een eigen certificaatstore gebruikt. Verder zouden virusscanners Superfish als adware detecteren en adviseren om te verwijderen.
Update 12:42
Lenovo stelt in een verklaring aan Security.NL dat Superfish vanaf januari 2015 niet meer op nieuwe systemen is geïnstalleerd. Verder zou Superfish op al verkochte Lenovo-machines zijn uitgeschakeld. Volgens de fabrikant was de adware op alleen een "select aantal" consumentenmodellen geïnstalleerd .
Update 13:42
Beveiligingsonderzoeker Conrad Longmore heeft een overzicht van IP-adressen en domeinnamen gepubliceerd die door Superfish worden gebruikt. Hij merkt op dat de informatie naar Amerikaanse IP-adressen wordt gestuurd. Superfish zelf is Israëlisch. "Wat een populaire plek lijkt om adware te ontwikkelen", merkt hij op.
Update 14:18
Eigenaren van een Lenovo-laptop kunnen via deze pagina controleren of de Superfish Certificaatautoriteit door hun browser wordt vertrouwd en ze dus risico lopen.
Update 16:11
Verschillende onderzoekers zijn er inmiddels in geslaagd om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikte. Het wachtwoord bleek "komodia" te zijn, zo blijkt uit een analyse van onderzoeker Robert Graham. In theorie zou het daarmee mogelijk zijn om Man-in-the-Middle-aanvallen uit te voeren en versleuteld verkeer van Lenovo-gebruikers te onderscheppen. Hiervoor zou een aanvaller zich wel tussen de gebruiker en het internet moeten plaatsen. Verder meldt onderzoeker Erik Loman dat in tegenstelling tot wat er eerst werd gemeld Firefoxgebruikers wel kwetsbaar zijn.
Lenovo liet eerder al aan Security.NL weten dat Superfish niet meer op nieuwe laptops wordt geïnstalleerd en bestaande installaties waren uitgeschakeld. Of hierbij ook het zelf gesigneerde certificaat is verwijderd is onduidelijk. Security.NL heeft Lenovo om opheldering gevraagd maar nog geen antwoord ontvangen.
Update 16:43
Lenovo laat aan Security.NL weten dat het helemaal stopt met Superfish en de software niet meer op machines zal installeren. Daarnaast is de software in januari van dit jaar aan de serverkant van Lenovo uitgeschakeld. Daardoor zou Superfish niet meer actief zijn. Of gebruikers zelf het zelf gesigneerde certificaat moeten verwijderen is echter onduidelijk. Deze vraag staat nog bij Lenovo open.
De computerfabrikant verklaart verder dat het de technologie uitgebreid heeft onderzocht, maar geen aanwijzingen heeft gevonden die de ontstane veiligheidszorgen rechtvaardigen. "Maar we weten dat gebruikers over dit probleem bezorgd zijn zijn en hebben daarom direct actie ondernomen door producten met deze software niet meer te leveren.
Maar wanneer adware zich gedraagt als hier beschreven, dan vind ik het wenselijk om mensen voortaan te adviseren om geen Lenovo meer te kopen.
Overigens zie je dit probleem vaker: encryptie bijt nogal eens met security. We zijn allemaal erg blij met onze ssh tunnel omdat het zoveel veiliger is dan telnet. Maar een boefje dat ook zo'n ssh tunnel gebruikt om de proxy te omzeilen valt dan natuurlijk niet meer op!
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Nb. ik heb dat getest door uit https://gist.github.com/nekoruri/a41657d4479b0301be38 het bovenste certificaat op te slaan als Superfish_Root.cer en deze te importeren in de Windows "Trusted Root Certification Authorities" store, en de testsite met MSIE te bezoeken. Nb. Javascript (Active Scripting) moet wel aan staan voor deze test, in elk geval in Firefox om de tekst "No, you are probably safe" te laten verschijnen (Firefox is niet kwetsbaar omdat deze een eigen root certificate store heeft, dus niet die van Windows gebruikt).
Dat deze test werkt betekent hoogstwaarschijnlijk dat de malware geen uniek keypair genereert op elke computer, d.w.z. dat de private key op alle computers dezelfde is en deze dus op straat ligt, en dat het rootcertificaat op alle "gehackte" computers identiek is.
http://www.heise.de/security/meldung/Gefahr-fuer-Lenovo-Laptops-durch-vorinstallierte-Adware-2554455.html vermeldt dat de uninstaller van de Superfish malware het rootcertificaat (getiteld "Superfish, Inc.") niet verwijdert uit de Windows certificate store. Mocht je vermoeden dat de Superfish malware op je PC gestaan heeft, dan kun je op bovengenoemde site testen of het certificaat nog aanwezig is: gebruik daar MSIE voor!
Als je PC kwetsbaar is raad ik dringend aan het root certificaat "Superfish, Inc." te verwijderen.
De Superfish malware gaat dus verder dan alleen het installeren van een root certificaat in de Windows Certificate Store.
Meer info over hoe de private key verkregen is, lees je hier: http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html.
Overigens zie je dit probleem vaker: encryptie bijt nogal eens met security. We zijn allemaal erg blij met onze ssh tunnel omdat het zoveel veiliger is dan telnet. Maar een boefje dat ook zo'n ssh tunnel gebruikt om de proxy te omzeilen valt dan natuurlijk niet meer op!
Wie uitleg kan geven hoe dit kwaadaardige certificaat te verwijderen, graag een reactie please.
Wij hadden helaas ook Lenovo laptops draaien, die al slecht waren : I7chipset en touchpadproblemen, na de fijne updates van Windows8 liepen ze zoiezo vast.
De Ict-desk had ze toen al allemaal ingenomen en ze staan nu al 2 jaar in het magazijn te verstoffen !
Achteraf was die ' perfecte' update van Windows onze redding als organisatie.(kunnen we een x windows dankbaar zijn.)
Maar ik begrijp nu nooit meer Lenovo en hoop dat velen dat met ons doen.
En als je even verder kijkt : http://nl.wikipedia.org/wiki/Lenovo
Ze hebben ook banden met Medion / Motorola ?
Gaat nog een aardig verhaal opleveren.
Misschien kan FoxIt deze bende even doorlichten ?
Rtl nieuws al op de hoogte ?
http://www.forbes.com/sites/thomasbrewster/2015/02/19/superfish-need-to-know/
Blijkt, dat deze software van een firma met een spionage achtergrond afkomstig is.
"It appears Lenovo laptops manufactured in the last two years have Superfish running on them, which means millions are likely affected across the globe, given the manufacturer shipped 113 million PCs over that period. Chrome and Internet Explorer are affected, as they use Microsoft’s Windows store of trusted certificates. Though Firefox has its own list of certificate providers, the Electronic Frontier Foundation found as many as 44,000 Superfish certificates run at some point by users of Mozilla’s browser."
Dit is de EFF Link :
https://www.eff.org/deeplinks/2015/02/further-evidence-lenovo-breaking-https-security-its-laptops
"There's been some discussion about whether all copies of Superfish use the same root key to perform the MITM attacks. We can report that the Decentralized SSL Observatory has seen 44,000 Superfish MITM certificates, all of which have been signed by the same Superfish root cert.2 The fact that there are significant numbers of Firefox victims somewhat contradicts the speculation that Firefox is safe because it doesn't use the Windows root store. This either indicates that Superfish also injects its certificate into the Firefox root store, or that on a large number of occasions Firefox users have been clicking through certificate warnings caused by Superfish MITM attacks.
Lenovo has not just injected ads in a wildly inappropriate manner, but engineered a massive security catastrophe for its users. The use of a single certificate for all of the MITM attacks means that all HTTPS security for at least Internet Explorer, Chrome, and Safari for Windows, on all of these Lenovo laptops, is now broken. If you access your webmail from such a laptop, any network attacker can read your mail as well or steal your password. If you log into your online banking account, any network attacker can pilfer your credentials. All an attacker needs in order to perform these attacks is a copy of the Superfish MITM private key. There is (apparently) a copy of that key inside every Superfish install on every affected Lenovo laptop, which has now been extracted and posted online."
Lenovo's worden vrijwel uitsluitend bedrijfsmatig gebruikt en een beetje IT afdeling zet daar zijn eigen image op, al dan niet verplicht door de licentie structuur van Microsoft.
Geen enkel bedrijf wil een 4 jaar oude versie van Norton Antivirus of reclame tools op hun zakelijke laptop.
Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...
[...]
Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...
http://windows.microsoft.com/nl-nl/windows-8/create-reset-refresh-media
En opnieuw beginnen maar weer.
Ik vind het erger dat de NSA en GCHQ mijn simkaarten hebben gehacked dan een potentieel probleem wat in mijn geval al nooit had plaats kunnen vinden. Lenovo mag van mij malware installeren op mijn laptop... Daar heeft Centos echt geen probleem mee.
Wie uitleg kan geven hoe dit kwaadaardige certificaat te verwijderen, graag een reactie please.
Mankeer je iets aan je handen of zo of heb je nooit van een zoekmachine gehoord?
Voor deze keer dan:
1) Ga naar het startmenu via de Windows key.
2) Type: "certmgr.msc" om de certificate manager te openen.
3) Navigeer naar Trusted Root Certification Authorities (links) -> Certificates (rechts}.
4) Kijk of je daar "Superfish Inc" ziet staan.
5) Zo ja, klik er dan met de rechter rmuistoets op en Kies "Delete".
6) Ga over op Firefox.
Chantal.
http://windows.microsoft.com/nl-nl/windows-8/create-reset-refresh-media
En opnieuw beginnen maar weer.
EXIT:
Sony; rootkit
Samsung; not so smart spy TV
Lenovo/IBM: Superfish
Seagate/Western Digital/Hitachi/etc: (Equation group HD firmware sector infection)
Nou nog even wachten op een virus in de inkt van m'n gewone pen,...
Lood van m'n potlood was altijd giftig,..
Lenovo's worden vrijwel uitsluitend bedrijfsmatig gebruikt en een beetje IT afdeling zet daar zijn eigen image op, al dan niet verplicht door de licentie structuur van Microsoft.
Geen enkel bedrijf wil een 4 jaar oude versie van Norton Antivirus of reclame tools op hun zakelijke laptop.
Voor die 10 mafkezen die een zakelijke laptop kopen EN deze prive gebruiken EN geen eigen image erop zetten... nou, poeh eej...
Volgende komkommer graag...
Mooie sugarcoat reactie...bedrijf levert malware, jij gaat er van uit dat die toch wel overschreven wordt door een bedrijfs eigen image.
Volgens mij ontgaat je het feit dat het bedrijf iets malafide op jouw laptop uitvoert zonder jouw medeweten in de eerste plaats..
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
