Lenovo staat volop in het nieuws dankzij voorgeïnstalleerde software op zijn laptops. De Superfish-adware injecteert eigen ads maar gaat daarvoor wel heel ver. Het kraakt in wezen de beveiliging van Windows-machines.
Na aanvankelijke ontkenning heeft Lenovo excuses aangeboden én een automatische verwijdertool. Daarbij werkt de computermaker ook samen met securityleveranciers als Microsoft en McAfee om Superfish te verwijderen en het bijbehorende certificaat. Want terwijl de bewuste adware volgens Lenovo al sinds januari niet meer wordt meegeleverd en niet meer actief is, is daarmee het gevaar niet geweken. Superfish komt namelijk compleet met eigen root-certificaat, waarmee het versleuteld verkeer met websites kan onderscheppen.
Paar uurtjes werk
Die onderschepping dient om ads van het eigen advertentienetwerk te injecteren in het internetverkeer van gebruikers met pc’s waar Superfish op draait. Technisch gezien komt deze inbreuk op beveiligde verbindingen neer op een man-in-the-middle (mitm)-aanval. Wat deze securityschending verergert, is het feit dat het certificaat door derden valt te misbruiken. Zij kunnen beveiligd verkeer van pc’s met Superfish onderscheppen om nepwebsites door te laten gaan voor echte sites van bijvoorbeeld banken.
Lenovo stelt in de officiële verklaring dat het tot voor kort niet wist van ‘deze potentiële securitykwetsbaarheid’ en benadrukt dat het gefocussed is op het fixen ervan. Het gevaar van misbruik is geen theoretisch scenario: beveiligingsonderzoeker Robert Graham van Errata Security heeft in slechts drie uur tijd het certificaat geëxtraheerd uit de Superfish-software en het wachtwoord daarvoor gekraakt. Kwaadwillenden kunnen dat natuurlijk ook. Het door Graham uitgevogelde wachtwoord is ‘komodia’, wat de eigenlijke leverancier is van het gevaarlijke Superfish-onderdeel.
Antivirus ontlopen
Komodia prijst de mogelijkheden van zijn software aan om internetverkeer te onderscheppen en te wijzigen met daarbij mogelijkheden om antivirus te ontlopen en deïnstallatie te voorkomen. ‘De SDK heeft antivirusmogelijkheden en elke gecompileerde versie maakt een totaal nieuwe versie aan’, vermeldt de faciliteerder van de advertentiegedreven mitm-aanval. Komodia’s website is na de ophef nog aangepast, maar derden hadden toen al kopieën gemaakt.
Lenovo’s eerdere stopzetten van de meelevering van Superfish op bepaalde modellen consumentenlaptops was volgens de pc-producent ingegeven door klachten van klanten over de gebruikservaring. Daarbij zijn toen ook de serververbindingen voor de adware afgesloten. ‘We erkennen dat de software niet voldeed aan verwachtingen en hebben snel en kordaat gehandeld om het te verwijderen van onze producten.’ Ondertussen zijn er al diverse rechtszaken aangespannen tegen Lenovo over de Superfish-adware.
Wijdverbreid en nog makkelijker
Security-onderzoekers hebben inmiddels ontdekt dat veel meer software dan alleen Superfish de ssl-schendende techniek toepassen. Daaronder naast andere adware ironisch genoeg ook securitysoftware. Verder blijkt misbruik nog makkelijker te zijn: extractie van het root-certificaat is niet eens nodig, omdat de Komodia-software automatisch niet-valide certificaten opnieuw ondertekent, waardoor ze voor browsers toch valide lijken te zijn.