Het schandaal over de onveilige Superfish-adware op Lenovo-laptops breidt zich uit. De malware maakt gebruik van de SSL-onderscheppingsmodule van Komodia, die een eigen root-CA in de rootstore van Windows en browsers nestelt. Op die manier kan al het https-verkeer worden onderschept en ontsleuteld, terwijl de browser keurig een groen slotje laat zien.
Komodia-plaag
Nu onderzoekers op de zaak duiken, opent zich een beerput. Precies dezelfde Komodia-tool blijkt ook in andere software te zitten, inclusief dezelfde private sleutel, 'beschermd' met hetzelfde standaardwachtwoord 'komodia'. Verschillende security-experts komen met lijstjes van software, variërend van browserhelpers vergelijkbaar met Superfish zelf, tot tools voor ouderlijk toezicht en proxysoftware om het IP-adres te maskeren. Maar ironisch genoeg ook software die zich als adblocker of securitysoftware presenteert, zoals Lavasoft 'web protection'.
Lavasoft met zijn ironische securityclaims
Daarnaast bedient ook PrivDog, een privacytool van de CEO van certificaatreus Comodo, zich van SSL-kaping, al gebruikt het niet de library van het Israëlische Komodia, meldt Ars Technica.
Eén certificaat voor alle domeinen
De code van Komodia blijkt bovendien een rotte gatenkaas. Niet alleen wordt in alle instanties dezelfde sleutel en default-wachtwoord gebruikt, ook is er geen enkele validatie of beperking aan het aantal domeinen waarvan het SSL-verkeer kan worden gekaapt, ontdekte Filippo Valsorda, onderzoeker bij CloudFlare. Het gaat om 'alternative names', een bestaande X.509-extensie om in het certificaat ook andere (sub)domeinen toe te voegen waarvoor het certificaat geldig is. Wat blijkt? Dat staat wagenwijd open. Elk willekeurig domein dat in het 'alternative' veld van het Komodia certificaat wordt ingevoerd, wordt blind ondertekend. En de browser toont een mooi groen slotje.
Valt er dan niets te doen tegen dergelijke SSL-kaping? Nee, eigenlijk niet. Deze mogelijkheid wordt namelijk veelvuldig gebruikt door agressieve firewalls en Deep Packet Inspection-systemen, en is daarmee dus 'legitiem'. Ook certificaten 'vastpinnen', zoals Chrome al jaren doet, en Firefox sinds vorig jaar, beschermt alleen tegen Man-in-the-Middle aanvallen in het netwerk. Eenmaal genesteld in de rootstore van het besturingssysteem of de browser, zoals Komodia, slikken ook Chrome en Firefox deze valse certificaten voor zoete koek.
HP spint garen
De eerste rechtszaken tegen Lenovo zijn inmiddels een feit. Het concern komt onder publieke druk met alweer een mea culpa. Daarnaast heeft de pc-fabrikant een nieuwe tool uitgebracht die Superfish én het vermaledijde rootcertificaat automatisch verwijdert. Ondertussen slaan concurrenten een slaatje uit het schandaal. Zo komt HP met deze sneer op Twitter:
The only thing you should have to think of when someone says Superfish. http://t.co/MjFddqsPmZ pic.twitter.com/9Fr646t7gj
[&]mdash[/&] HP (@HP) 21 februari 2015
Reageer
Preview