Onveilige werkwijze van Superfish-adware wordt ook door andere software gehanteerd

De Superfish-adware is de laatste tijd regelmatig in het nieuws. De adware werd aangetroffen op laptops van Lenovo en is bedoeld om advertenties te injecteren in webpagina’s. De tool is niet alleen discutabel, maar geeft ook onveilige SSL-certificaten af. Versleutelde verbindingen die veilig ogen blijken hierdoor in de praktijk nauwelijks veiligheid te bieden. Het probleem blijkt zich helaas niet te beperken tot de Superfish-adware. Ook allerlei andere software blijkt gebruik te maken van de onveilige SSL-certificaten. Deze software kan ook op laptops van medewerkers worden gebruikt.

Beveiligingsexpert Filippo Valsorda waarschuwt in een blogpost voor het gevaar van het SSL-certificaat. Superfish is een tool die advertenties injecteert in webpagina’s die gebruikers bezoeken. Deze advertenties worden geselecteerd op basis van het surfgedrag van bezoekers. Over dit surfgedrag kan normaal gesproken echter geen informatie worden verzameld op het moment dat een gebruik een SSL-verbinding gebruikt, een versleutelde verbinding tussen een website en een server. Onder andere banken maken gebruik van dergelijke verbindingen.

SSL-verbindingen afluisteren
Om dit probleem te overwinnen maakt Superfish gebruik van de SSL interception engine van Komodia. Dit is software die zich op systemen van gebruikers nestelt en een eigen certificaat op de machine plaatst. Zodra een gebruiker via een SSL-verbinding een website probeert te bezoeken onderschept de SSL interception engine deze verbinding en plaatst zich tussen de browser en de server. De software doet zich vervolgens tegenover de server voor als de webbrowser en krijgt dus alle informatie bestemd voor de gebruiker doorgespeeld. Het SSL-certificaat dat voor deze verbinding wordt gebruikt wordt door de SSL interception engine gekopieerd, voorzien van een eigen encryptiesleutel en ondertekend met certificaat dat eerder op de machine van de gebruiker is geplaatst.

Bij dit proces maakt de software van Komodia echter een aantal cruciale fouten, die een grote impact hebben op de veiligheid van gebruikers. Zo wordt ieder certificaat op iedere machine voorzien van exact dezelfde encryptiesleutel, die ook nog eens eenvoudig kan worden achterhaald. Het is voor cybercriminelen dan ook een koud kunstje deze sleutel in handen te krijgen. Zij kunnen deze sleutel gebruiken om zelf certificaten te ondertekenen en, net als Superfish, het versleutelde dataverkeer van gebruikers met bijvoorbeeld een bank of bedrijfssysteem onderscheppen.

Andere onveilige software
Helaas blijkt niet alleen Superfish, maar ook allerlei andere software gebruik te maken van de SSL interception engine van Komodia. Ook gebruikers van deze softwarepakketten lopen dus gevaar slachtoffers te worden van cybercriminelen die de zwakheden in de Komodia-software misbruiken. Marc Rogers geeft in een blogpost een overzicht van getroffen producten:

• Komodia’s “Keep My Family Secure” voor ouderlijk toezicht op internetgebruik.
• Qustodio’s voor ouderlijk toezicht op internetgebruik
• Kurupira Webfilter
• Staffcop (versie 5.6 en 5.8)
• Easy hide IP Classic
• Lavasoft Ad-aware Web Companion
• Hide-my-ip

Wie wil controleren of een machine gevaar loopt kan dit snel controleren door naar de website Badfish te gaan. Deze website controleert automatisch of de onveilige SSL-certificaten van de SSL interception engine op de machine worden gebruikt en gebruikers dus gevaar lopen.