Eine Filtertechnik der Firma Komodia ist offenbar der Grund für die Sicherheitslücke, die gestern in Laptops der Firma Lenovo gefunden wurde. Eine ganze Reihe von Jugendschutzfilterprodukten nutzt dieselbe Technologie. Auf allen betroffenen Systemen ist die Sicherheit von verschlüsselten HTTPS-Verbindungen ausgehebelt.

Lenovo liefert seit circa einem halben Jahr Laptops aus, auf denen eine Software namens Superfish installiert ist. Superfish dient dazu, auf Websites Werbebanner einzublenden, die zu den Seiten passende Verkaufsangebote anzeigen. Dafür installiert Superfish ein sogenanntes Root-Zertifikat in die Browser der betroffenen Nutzer, was ein großes Sicherheitsrisiko darstellt. Ein Angreifer kann den betroffenen Nutzern nach Belieben mittels einer sogenannten Man-in-the-Middle-Attacke gefälschte verschlüsselte Websites unterschieben. Dafür muss er sich entweder im selben Netz befinden, beispielsweise in einem Café-WLAN, oder den Netzverkehr bei einem Internetprovider kontrollieren.

Dem IT-Sicherheitsforscher Robert Graham ist es am Donnerstag gelungen, dieses Root-Zertifikat zu knacken und den passenden privaten Schlüssel zu extrahieren. Er wollte damit zeigen, dass Kriminelle dies möglicherweise auch schon getan haben und die Sicherheitslücke ausnutzen. Graham stellte fest, dass das Passwort des entsprechenden Schlüssels "komodia" lautet. Das führte auf eine weitere Spur: Komodia ist der Name einer Firma, die eine Internetfiltertechnologie für verschlüsselte Verbindungen verkauft. Alle Produkte, die die Komodia-Technologie einsetzen, sind von derselben Sicherheitslücke betroffen.

Keep My Family Secure, Qustodio und Kurupira betroffen

Das sind vor allem Jugendschutzprodukte. Von drei Programmen mit den Namen Keep My Family Secure, Qustodio und Kurupira Webfilter wurden die privaten Schlüssel inzwischen ebenfalls geknackt und im Netz veröffentlicht. Sie waren alle mit demselben Passwort geschützt.

Das CERT/CC, eine von der US-Regierung unterstützte Einrichtung, hat inzwischen eine Warnung vor all diesen Produkten herausgegeben. Die klare Empfehlung: Die entsprechenden Produkte sollten sofort deinstalliert werden. Doch ähnlich wie bei Superfish gibt es hier ein Problem. Das gefährliche Root-Zertifikat, das im Browser gespeichert wurde, wird nicht automatisch deinstalliert. Das muss der Nutzer selbst manuell entfernen.

Die Website von Komodia ist zurzeit offline. Dem US-Magazin Forbes gelang es, ein kurzes E-Mail-Interview mit Komodia-Gründer Barak Weichselbaum zu führen. Allerdings brachte das kaum Erkenntnisse: Zum Superfish-Vorfall könne er aus vertraglichen Gründen nichts sagen, weitere technische Fragen wurden nicht beantwortet. Alle drei betroffenen Produkte werden auf ihren jeweiligen Websites weiter beworben, von einer Sicherheitslücke ist dort nichts zu lesen. Wie viele weitere Produkte vom selben Sicherheitsproblem betroffen sind, ist zurzeit unklar.

Lenovo leugnet zunächst

Auch der Umgang von Lenovo mit dem Vorfall ist alles andere als glücklich. In einer Stellungnahme des Konzerns vom Donnerstagabend hieß es: "Wir haben diese Technologie sorgfältig untersucht und konnten keinerlei Hinweise finden, welche die Sicherheitsbedenken bestätigen." Das war zu einem Zeitpunkt, als der private Schlüssel für die Superfish-Software bereits im Netz kursierte.

Zwischenzeitlich hat man aber wohl auch in der Lenovo-Zentrale gemerkt, dass eine Leugnung der Sicherheitsprobleme keine gute Strategie ist. Peter Hortensius, Technikchef bei Lenovo, sagte am Freitag der Zeitschrift PC World, dass man bei der Installation von Superfish schwerwiegende Fehler gemacht habe. Man werde die entsprechende Software künftig nicht mehr auf Laptops vorinstallieren. Inzwischen gibt es auch auf der Lenovo-Website eine Anleitung, die erläutert, wie man Superfish von seinem System entfernen kann. Auch findet man inzwischen bei Lenovo eine Liste der betroffenen Geräte, es handelt sich dabei um über 50 unterschiedliche Modelle.