Als vor wenigen Tagen bekannt wurde, dass Lenovo mit einigen seiner Laptops eine Adware namens Superfish ausliefert, sorgte dies rasch für Empörung. Zumal diese äußerst problematisch implementiert ist: Um Werbungen in verschlüsselten Seiten wie der Google-Suche anzeigen zu können, wird schnell mal die SSL/TLS-Sicherheit durch Installation eines falschen Root-Zertifikats unterwandert.
Gebräuchliche Praxis
Nach anfänglicher Kritik und reichlich mangelhafter Kommunikationspolitik bietet Lenovo mittlerweile eine Software zur Deinstallation von Superfish an. Doch das Problem scheint deutlich weitreichender zu sein als bisher angenommen, wie Arstechnica herausgefunden hat. So installieren auch zahlreiche andere Softwarehersteller selbstsignierte Zertifikate - darunter ausgerechnet diverse auf IT-Sicherheit spezialisierte Unternehmen.
Komodia
So bietet etwa der Antivirenhersteller Lavasoft den "Ad-Aware Web Companion" an, der eigentlich einen zusätzlichen Schutz vor Gefahren im Internet bieten soll. Um dabei auch verschlüsselte Seiten analysieren zu können, bedient man sich der Software Komodia, und führt in Folge quasi eine lokale "Man-in-the-Middle"-Attacke durch.
Unterwanderung
Solche Methoden erleichtern es nicht nur allgemein Angreifern die Verschlüsselung auszutricksen, im konkreten Fall stellt sich dies als besonders problematisch heraus. Haben doch Sicherheitsforscher herausgefunden, dass eine Webseite "dank" Komodia einem betroffenen Rechner jedes selbstsignierte Zertifikat als echt vorspiegeln kann. Damit wäre dann die Zertifikatsprüfung praktisch zur Gänze nutzlos.
PrivDog
Ähnlich sieht es bei "PrivDog" von Comodo-CEO Melih Abdulhayoglu, das Werbung in Webseiten austauscht. PrivDog verwendet dabei übrigens keine Bestandteile von Komodia - obwohl dies eigentlich von Comodo hergestellt wird. Besonders pikant wird die Angelegenheit dadurch, dass Comodo selbst einer der größten Zertifikatsanbieter für https-Verbindungen ist - also gleichzeitig die Sicherheit verkauft und sie unterwandert. (apo, derStandard.at, 23.2.2015)