Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Https-verkeer Lenovo-laptops af te luisteren dankzij meegeleverde malware

Vertrouwelijke verbindingen op laptops van Lenovo die werden geleverd met de SuperFish-malware aan boord, waren eenvoudig af te luisteren. Mogelijk kan dat zelfs nog steeds. De malware kaapt ssl-verkeer met een certificaat dat door iedereen kan worden gebruikt.

Dat de Lenovo-malware het ssl-verkeer van klanten kaapt, was al bekend, maar beveiligingsonderzoeker Yonathan Klijnsma ontdekte dat het de private key van het ssl-certificaat waarmee dat gebeurt met een debugger te achterhalen is. "Je kunt nu een man in the middle-aanval uitvoeren op iedereen met een getroffen Lenovo-laptop", aldus beveiligingsonderzoeker Klijnsma tegenover Tweakers. Daarvoor moet hij wel eerst het internetverkeer van een Lenovo-gebruiker kunnen onderscheppen en manipuleren, bijvoorbeeld via een vervalste wifi-hotspot.

De Lenovo-spyware maakt de bescherming die https biedt in dat geval volledig ongedaan. Gebruikers merken niet dat een aanvaller met het netwerkverkeer knoeit, omdat de computer vanwege het Superfish-certificaat denkt dat er niets aan de hand is. Aanvallers kunnen zo internetbankieren manipuleren, wachtwoorden afvangen of vertrouwelijke chatgesprekken afluisteren. Dat Superfish het ssl-certificaat tijdens internetbankieren, zoals van de Rabobank, vervangt, bewijst bijvoorbeeld Mark Loman van beveiligingsbedrijf SurfRight.

De privésleutel van het rootcertificaat waarmee de advertenties worden geïnjecteerd heeft Klijnsma met 'een beetje klooien' kunnen achterhalen, zegt hij. Een aanvaller zou dat certificaat eveneens kunnen achterhalen, om het vervolgens te serveren aan alle Lenovo-gebruikers die zijn getroffen. Bij zogenoemde asymmetrische cryptografie hoort de private key normaliter niet te worden meegeleverd, enkel het publieke deel. Waarschijnlijk wordt de privésleutel meegeleverd om de malware valse ssl-certificaten te laten uitgeven.

Onlangs bleek dat Lenovo malware meelevert met sommige laptops; het gaat in ieder geval om de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro. Het gaat in alle gevallen om consumentenlaptops, niet om zakelijke modellen. In Internet Explorer, Firefox en Chrome kaapt de malware het ssl-verkeer met het valse ssl-certificaat om advertenties te kunnen injecteren.

Het is onduidelijk of klanten nog steeds kwetsbaar zijn. Lenovo heeft de malware inmiddels uitgeschakeld, maar dat is op zichzelf niet voldoende. "Zolang het certificaat aanwezig is, blijven alle klanten met zo'n laptop kwetsbaar", aldus onderzoeker Klijnsma. De vraag is daarom of Lenovo het ssl-certificaat ook daadwerkelijk heeft verwijderd.

Erg waarschijnlijk is het niet dat Lenovo de ssl-certificaten van de computers van klanten heeft verwijderd. Het deïnstallatieproces van de SuperFish-malware zorgt er namelijk niet voor dat het ssl-certificaat wordt verwijderd, zegt Klijnsma. Als het ssl-certificaat inmiddels wel is verwijderd van Lenovo-laptops, zijn getroffen klanten maandenlang nog steeds kwetsbaar geweest. Lenovo begon in september met het meeleveren van de spyware.

Lenovo kan nog geen duidelijkheid scheppen. "We zijn druk bezig om het te onderzoeken", aldus een woordvoerder van het Chinese bedrijf. Eerder zei de woordvoerder dat de SuperFish-spyware 'niet als malware kan worden bestempeld'.

De Chinese pc-fabrikant kan in de problemen komen met het voorinstalleren van de malware: meerdere juristen zeiden eerder op donderdag tegenover Tweakers dat het bedrijf de wet overtreedt. Het bedrijf kan bijvoorbeeld een boete krijgen voor het overtreden van de cookiewet - die voor meer dan enkel cookies geldt, anders dan de bijnaam suggereert - of zelfs vervolgd worden voor computervredebreuk.

Update 18:15: Lenovo laat in een aanvullende reactie weten dat het in januari helemaal is gestopt met het bundelen van de SuperFish-malware.

Update, vrijdag 10.45: Een beveiligingsonderzoeker relateert de privésleutel, "komodia", aan een bedrijf dat een 'SSL Digestor' aanbiedt: precies de methode die Superfish gebruikt voor het kapen van ssl-verbindingen. Het bedrijf Komodia beschrijft ook hoe de SSL Digestor gebruikt kan worden voor het injecteren van advertenties. De site is op moment van schrijven offline, volgens Komodia vanwege een ddos-aanval.

Door Joost Schellevis

Redacteur

19-02-2015 • 14:31

100 Linkedin Google+

Lees meer

Reacties (100)

Wijzig sortering
In dit geval is het wel degelijk nodig om een private key mee te leveren

Niet in de root-store.

Dat schreef ik ook in de post waar je op reageerde? O-)

"Maar omdat gesproken wordt van het gebruik van een debugger, hebben de adware makers dit wellicht ook niet gedaan!?!? Wellicht zit het private deel van de key IN de adware, en dan is wel een debugger nodig. "
Ahzo, excuses. Ja, de encrypted private key (en de passphrase daarvan) zaten inderdaad in de adware zelf. Maakt uiteindelijk niet zoveel verschil als je ziet hoe makkelijk het kraken daarvan ging; zie het linkje van Kamiquasi hieronder.
Je kunt je dus ook sterk afvragen of dit wel een "fout" is, vanuit optiek van de malwaremakers.
Geredeneerd vanuit wat ze proberen te doen, puur gekeken naar het ontwerp, hebben ze inderdaad weinig andere keus dan de private key ook mee te leveren (al heeft justincase een beter voorstel, dat ook zou werken).

Blijft er nog steeds een tweede vraag openstaan, vanuit de optiek van de malware makers: "Is het fout om Russisch Roulette te spelen..., met iemand ander zijn internetbankieren..., van een grote groep mensen..., zonder dat je zelfs maar een waarschuwing geeft... en zonder een zeer dwingende reden; puur en alleen om een paar lullige euros te verdienen?".
Lekker schaamteloos clubje is dat bedrijf.

Hoe kan zo'n bedrijf in hemelsnaam zijn bestaan waarborgen, eigenlijk? Je zou verwachten dat wetten die het breken van aangebrachte beveiliging verbieden er heel, heel snel voor zouden zorgen dat dit soort louche mannetjes opgerold worden.

(Oh nee wacht; dat werkt alleen als je de lobby machine van Hollywood mobiliseert. Eerder hebben beleidsmakers en -uitvoerders geen zin om met hun reet uit het pluche omhoog te komen...)
Ik heb een Yoga2Pro en had, zoals ik altijd bij nieuwe machines doe, direct na het uitpakken allerhande meegeleverde software die ik niet kon plaatsen al van de machine afgehaald. Zo heb ik kennelijk ook SuperFish gelijk verwijderd.

Net je stappenplan doorgelopen en geconstateerd dat het certificaat er wel nog stond. Nu ook het certificaat verwijderd. Je stappenplan klopt dus; dank!

Overigens heeft Lenovo (inmiddels?) ook goede instructies online gezet die nog wat makkelijker zijn. Zie hier.

Rest nu nog een mail aan Lenovo te sturen. Naast dat ik mijn teleurstelling over het bedrijf wil uitspreken, eis ik ook de garantie dat ik als gebruiker op geen enkele manier meer gevaar loop met mijn Lenovo machine dan met een laptop van een willekeurig ander merk.

[Reactie gewijzigd door vanoijen op 20 februari 2015 09:08]

Het is dan ook uitermate moeilijk om een duidelijke stap-voor-stap handleiding te vinden over hoe je Windows vers kan installeren op een laptop met enkel de voorgeinstalleerde Windows.. Ik heb er geen kunnen vinden in ieder geval, jij wel?
Het is toch te gek voor woorden dat je een product koopt en bloatware erbij krijgt? Dat zou je kunnen accepteren als dat ding gratis was, niet bij een product van vele honderden euros.
Nee, die handleiding gaan laptop bouwers niet maken.
De geven je wel instructies om Windows te herstellen vanaf een herstel partitie, waardoor je alle bloatware fijn weer terug krijgt....
Dus, gratis CA gesigneerde keys voor je eigen servertje?
Ik mag echt zo erg hopen dat Lenovo hier daadwerkelijk niets van wist, als dat namelijk wel zo is, is dit op geen enkele manier goed te praten. Het is duidelijk dat het verhaal nog lang niet over is.

Malware is nooit goed te praten, op geen enkele manier. |:(
Als je de fabrikant van de malware zelf in de schandpaal wil stoppen, dan zal ik op geen enkele manier protesteren.
Daar ben ik het ook helemaal met je eens.

[Reactie gewijzigd door Lightmanone1984 op 20 februari 2015 04:08]

Lenovo had gewoon de naam van het bedrijf kunnen DuckDuckGo-en (Google is niet cool in China). Ik vond meteen dit uit 2013: http://malwaretips.com/bl...sh-window-shopper-adware/

Lenovo is wel verantwoordelijk voor hun leveranciers. Ik koop niet iets van SuperFish - als zij hier niets over opzoeken is hun probleem, ik zou het wel doen als ik iets koop en voor mij staat Lenovo voor een bepaalde prijs en bouwkwaliteit. Als ik bij MediaMarkt een laptop koop is het aan MediaMarkt om uit te zoeken of het in Nederland verkocht mag worden en of dit schade toebrengt aan de klant en wat voor schade het is.

Ini dit geval vind ik de schade bestwel ENORM aangezien mijn browsers niet meer kunnen controleren of ik veilig aan het browsen ben.

Daarbij komt dat SuperFish bekend is door het maken van malware/adware. Je kunt er anuit gaan dat Lenovo naar een tricky adware bedrijf op zoek is gegaan. Ze wisten vanaf het begin dat het adware was en ze hadden kunnen weten dat het malware was door een simpele zoekmachine te benaderen.

Het lagere personeel bij Lenovo weet natuurlijk van niets, maar er zitten echtwel een paar managers die hier goed geld hebben geroken en wisten (met een mooi verhaal van SuperFish) dat zij veel privacy gevoelige gegevens binnen zouden halen.

Dat deze leverancier vervolgens keiharde malware levert, had Lenovo niet per se kunnen weten, ze vragen er niet voor niets een derde partij voor. Dat zij vervolgens geen background check doen op hun derde partij is ze dan wel weer aan te rekenen.
Ik hoop nu dat er op Nederlands of liever Europees niveau een wet wordt aangenomen waarbij het verboden wordt dat leveranciers van complete machines software voorinstalleren

Onzin, verreweg de meeste gebruikers kunnen niet zelf installeren. En waarom PC's wel, maar tablets en telefoons niet? Zeker nu is die grens steeds vaker heel arbitrair.

Je gooit nu de hele kleuterschool met het badwater weg ...

Ook niet nodig om meteen weer te grijpen naar de Grote Helpende Overheid die de zoveelse wet moet maken. Kijk naar de ophef en de reputatie schade die Lenovo nu gaat krijgen. Dat zal het vanzelf oplossen.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True