Vertrouwelijke verbindingen op laptops van Lenovo die werden geleverd met de SuperFish-malware aan boord, waren eenvoudig af te luisteren. Mogelijk kan dat zelfs nog steeds. De malware kaapt ssl-verkeer met een certificaat dat door iedereen kan worden gebruikt.
Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend, maar beveiligingsonderzoeker Yonathan Klijnsma ontdekte dat het de private key van het ssl-certificaat waarmee dat gebeurt met een debugger te achterhalen is. "Je kunt nu een man in the middle-aanval uitvoeren op iedereen met een getroffen Lenovo-laptop", aldus beveiligingsonderzoeker Klijnsma tegenover Tweakers. Daarvoor moet hij wel eerst het internetverkeer van een Lenovo-gebruiker kunnen onderscheppen en manipuleren, bijvoorbeeld via een vervalste wifi-hotspot.
De Lenovo-spyware maakt de bescherming die https biedt in dat geval volledig ongedaan. Gebruikers merken niet dat een aanvaller met het netwerkverkeer knoeit, omdat de computer vanwege het Superfish-certificaat denkt dat er niets aan de hand is. Aanvallers kunnen zo internetbankieren manipuleren, wachtwoorden afvangen of vertrouwelijke chatgesprekken afluisteren. Dat Superfish het ssl-certificaat tijdens internetbankieren, zoals van de Rabobank, vervangt, bewijst bijvoorbeeld Mark Loman van beveiligingsbedrijf SurfRight.
De privésleutel van het rootcertificaat waarmee de advertenties worden geïnjecteerd heeft Klijnsma met 'een beetje klooien' kunnen achterhalen, zegt hij. Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Bij zogenoemde asymmetrische cryptografie hoort de private key normaliter niet te worden meegeleverd, enkel het publieke deel. Waarschijnlijk wordt de privésleutel meegeleverd om de malware valse ssl-certificaten te laten uitgeven.
Onlangs bleek dat Lenovo malware meelevert met sommige laptops; het gaat in ieder geval om de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro. Het gaat in alle gevallen om consumentenlaptops, niet om zakelijke modellen. In Internet Explorer, Firefox en Chrome kaapt de malware het ssl-verkeer met het valse ssl-certificaat om advertenties te kunnen injecteren.
Het is onduidelijk of klanten nog steeds kwetsbaar zijn. Lenovo heeft de malware inmiddels uitgeschakeld, maar dat is op zichzelf niet voldoende. "Zolang het certificaat aanwezig is, blijven alle klanten met zo'n laptop kwetsbaar", aldus onderzoeker Klijnsma. De vraag is daarom of Lenovo het ssl-certificaat ook daadwerkelijk heeft verwijderd.
Erg waarschijnlijk is het niet dat Lenovo de ssl-certificaten van de computers van klanten heeft verwijderd. Het deïnstallatieproces van de SuperFish-malware zorgt er namelijk niet voor dat het ssl-certificaat wordt verwijderd, zegt Klijnsma. Als het ssl-certificaat inmiddels wel is verwijderd van Lenovo-laptops, zijn getroffen klanten maandenlang nog steeds kwetsbaar geweest. Lenovo begon in september met het meeleveren van de spyware.
Lenovo kan nog geen duidelijkheid scheppen. "We zijn druk bezig om het te onderzoeken", aldus een woordvoerder van het Chinese bedrijf. Eerder zei de woordvoerder dat de SuperFish-spyware 'niet als malware kan worden bestempeld'.
De Chinese pc-fabrikant kan in de problemen komen met het voorinstalleren van de malware: meerdere juristen zeiden eerder op donderdag tegenover Tweakers dat het bedrijf de wet overtreedt. Het bedrijf kan bijvoorbeeld een boete krijgen voor het overtreden van de cookiewet - die voor meer dan enkel cookies geldt, anders dan de bijnaam suggereert - of zelfs vervolgd worden voor computervredebreuk.
Update 18:15: Lenovo laat in een aanvullende reactie weten dat het in januari helemaal is gestopt met het bundelen van de SuperFish-malware.
Update, vrijdag 10.45: Een beveiligingsonderzoeker relateert de privésleutel, "komodia", aan een bedrijf dat een 'SSL Digestor' aanbiedt: precies de methode die Superfish gebruikt voor het kapen van ssl-verbindingen. Het bedrijf Komodia beschrijft ook hoe de SSL Digestor gebruikt kan worden voor het injecteren van advertenties. De site is op moment van schrijven offline, volgens Komodia vanwege een ddos-aanval.