Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Https-verkeer Lenovo-laptops af te luisteren dankzij meegeleverde malware

Vertrouwelijke verbindingen op laptops van Lenovo die werden geleverd met de SuperFish-malware aan boord, waren eenvoudig af te luisteren. Mogelijk kan dat zelfs nog steeds. De malware kaapt ssl-verkeer met een certificaat dat door iedereen kan worden gebruikt.

Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend, maar beveiligingsonderzoeker Yonathan Klijnsma ontdekte dat het de private key van het ssl-certificaat waarmee dat gebeurt met een debugger te achterhalen is. "Je kunt nu een man in the middle-aanval uitvoeren op iedereen met een getroffen Lenovo-laptop", aldus beveiligingsonderzoeker Klijnsma tegenover Tweakers. Daarvoor moet hij wel eerst het internetverkeer van een Lenovo-gebruiker kunnen onderscheppen en manipuleren, bijvoorbeeld via een vervalste wifi-hotspot.

De Lenovo-spyware maakt de bescherming die https biedt in dat geval volledig ongedaan. Gebruikers merken niet dat een aanvaller met het netwerkverkeer knoeit, omdat de computer vanwege het Superfish-certificaat denkt dat er niets aan de hand is. Aanvallers kunnen zo internetbankieren manipuleren, wachtwoorden afvangen of vertrouwelijke chatgesprekken afluisteren. Dat Superfish het ssl-certificaat tijdens internetbankieren, zoals van de Rabobank, vervangt, bewijst bijvoorbeeld Mark Loman van beveiligingsbedrijf SurfRight.

De privésleutel van het rootcertificaat waarmee de advertenties worden geïnjecteerd heeft Klijnsma met 'een beetje klooien' kunnen achterhalen, zegt hij. Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Bij zogenoemde asymmetrische cryptografie hoort de private key normaliter niet te worden meegeleverd, enkel het publieke deel. Waarschijnlijk wordt de privésleutel meegeleverd om de malware valse ssl-certificaten te laten uitgeven.

Onlangs bleek dat Lenovo malware meelevert met sommige laptops; het gaat in ieder geval om de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro. Het gaat in alle gevallen om consumentenlaptops, niet om zakelijke modellen. In Internet Explorer, Firefox en Chrome kaapt de malware het ssl-verkeer met het valse ssl-certificaat om advertenties te kunnen injecteren.

Het is onduidelijk of klanten nog steeds kwetsbaar zijn. Lenovo heeft de malware inmiddels uitgeschakeld, maar dat is op zichzelf niet voldoende. "Zolang het certificaat aanwezig is, blijven alle klanten met zo'n laptop kwetsbaar", aldus onderzoeker Klijnsma. De vraag is daarom of Lenovo het ssl-certificaat ook daadwerkelijk heeft verwijderd.

Erg waarschijnlijk is het niet dat Lenovo de ssl-certificaten van de computers van klanten heeft verwijderd. Het deïnstallatieproces van de SuperFish-malware zorgt er namelijk niet voor dat het ssl-certificaat wordt verwijderd, zegt Klijnsma. Als het ssl-certificaat inmiddels wel is verwijderd van Lenovo-laptops, zijn getroffen klanten maandenlang nog steeds kwetsbaar geweest. Lenovo begon in september met het meeleveren van de spyware.

Lenovo kan nog geen duidelijkheid scheppen. "We zijn druk bezig om het te onderzoeken", aldus een woordvoerder van het Chinese bedrijf. Eerder zei de woordvoerder dat de SuperFish-spyware 'niet als malware kan worden bestempeld'.

De Chinese pc-fabrikant kan in de problemen komen met het voorinstalleren van de malware: meerdere juristen zeiden eerder op donderdag tegenover Tweakers dat het bedrijf de wet overtreedt. Het bedrijf kan bijvoorbeeld een boete krijgen voor het overtreden van de cookiewet - die voor meer dan enkel cookies geldt, anders dan de bijnaam suggereert - of zelfs vervolgd worden voor computervredebreuk.

Update 18:15: Lenovo laat in een aanvullende reactie weten dat het in januari helemaal is gestopt met het bundelen van de SuperFish-malware.

Update, vrijdag 10.45: Een beveiligingsonderzoeker relateert de privésleutel, "komodia", aan een bedrijf dat een 'SSL Digestor' aanbiedt: precies de methode die Superfish gebruikt voor het kapen van ssl-verbindingen. Het bedrijf Komodia beschrijft ook hoe de SSL Digestor gebruikt kan worden voor het injecteren van advertenties. De site is op moment van schrijven offline, volgens Komodia vanwege een ddos-aanval.

Door

Redacteur

100 Linkedin Google+

Lees meer

Reacties (100)

Wijzig sortering
Even voor de duidelijkheid; wat Yonathan Klijnsma hier achterhaalt heeft is niet het root certificaat maar de private key van het root certificaat. Daarmee kan je voor elke website een 'fake' certificaat aanmaken — iets wat uitermate gevaarlijk is voor de mensen met dit certificaat in hun trust store.
Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Dat is een flinke fout: bij zogenoemde asymmetrische cryptografie hoort hoort de private key niet te worden meegeleverd, enkel het publieke deel.
Je kunt je dus ook sterk afvragen of dit wel een "fout" is, vanuit optiek van de malwaremakers. Wat in de afbeelding van Loman te zien is, is dat een certificaat op naam van rabobank.nl is uitgegeven en ondertekend door de malware. Om dit te kunnen doen moet er dus wel getekend kunnen worden met een private key.

In feite speelt de malware hier dus mini-CA, wat de aanwezigheid van de private key verklaart en logisch maakt. Zonder de private key zou de malware alleen reeds geprepareerde certificaten kunnen serveren, of constant door een internetserver certificaten moeten laten genereren (met alle vertraging en afhankelijkheden van dien).

Overigens wordt exact dezelfde truc toegepast door diverse virusscanners, waaronder Kaspersky, waardoor het mogelijk is om SSL-verkeer op malware te scannen. Dit voorkomt dat malwaremakers een eenvoudig SSL-kanaal opzetten om 'onzichtbaar' malware te downloaden. In die situatie krijg je dus ook een nieuw root certificaat in je trust store, waarna SSL-sites per keer een nieuw (lokaal gegenereerd) certificaat lijken voor te schotelen.

[Reactie gewijzigd door Eagle Creek op 19 februari 2015 15:09]

Van StackOverflow,com (MSEMack) :


FYI, this Superfish software is now a major news headline: http://arstechnica.com/se...breaks-https-connections/

It is preloaded by Lenovo (there may be other vendors). You have to uninstall it, but that will not remove the certificate. To remove the certificate, you must do the following:

Run mmc.exe
Go to File -> Add/Remove Snap-in
Pick Certificates, click Add
Pick Computer Account, click Next
Pick Local Computer, click Finish
Click OK
Look under Trusted Root Certification Authorities -> Certificates
Find the one issued to Superfish and delete it.

If you are really paranoid, the best solution would be to reformat your laptop and install Windows with Microsoft media, not the factory recovery stuff.

Iemand met een getroffen lenovo bovenstaande al geprobeert? Ben wel benieuwd of het klopt.

[Reactie gewijzigd door Poekie McPurrr op 19 februari 2015 14:54]

Is het niet beter om het in de untrusted store te plaatsen

De untrusted store is bedoeld als een certificaat zelf niet vertrouwd is, maar de ondertekenaars hoger in de keten nog wel. Je wilt dan andere certificaten van die CA nog wel vertrouwen. Denk aan als je als bedrijf een bepaald certifciaat wil uitfaseren.

Bij self-signed of (andere) root-certificaten is het verwijderen effectief hetzelfde als untrusted maken. In beode gevallen wordt een verbinding geweigerd aangezien de default (bij afwezigheid in de store) ook 'untrusted' is. Het laatste is echter ietsje trager (meetbaar, niet merkbaar) aangezien er expliciet tegen gecontroleerd wordt.
Dit nieuws is nieuws omdat nu ook de private key waarmee de certificaten gesigned zijn achterhaald is. Hiermee kan dus iedereen zelf certificaten voor elk willekeurig domein maken welke door Lenovo laptops met deze rootkit/malware/adware/gore troep die certificaten vertrouwen. En waarmee je https dus volledig negeert.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*