Superfish-Internals – versagen Defender und Removal Tools?

Ende letzter Woche hat uns ja das Thema Superfish beschäftigt. Hier noch zwei Sachen, die ich beim "Aufwischen" gefunden habe. Einmal geht es nochmal um einen kurzen Blick, um was es geht. Und dann gibt es glücklicherweise ja von Lenovo ein Superfish-Removal-Tool. Und auch der Windows Defender soll das System bereinigen können. Was aber, wenn dieses Technik in bestimmten Fällen versagt? Einfach ein paar Gedanken und Informationen zur Lektüre. Update: Waren es erst nur Befürchtungen, von denen ich gehofft hätte, dass sie nicht zutreffen, ist es jetzt bestätigt (siehe auch mein Beitrag Superfish: Windows Defender fails to clean properly im englischen Blog).


Anzeige

Lenovos Superfish-Einsatz, was dahinter stecken könnte

Ok, Lenovo ist ein Fehler passiert. Man hat sich entschuldigt, die Superfish-Software ausgeknipst und will sie nicht mehr installieren. Aber da gibt noch die Aussage von Lenovo, dass man dachte, dass die Nutzer das gut fänden. Hat mich dazu gebracht, mal ein wenig zu graben – denn die obige Aussage ist in meinen Augen naiv bis dümmlich. Oder anders ausgedrückt: Es bleibt die Frage, warum man das überhaupt tut?

Zuerst dachte ich: Ok, die kriegen einfach für jede Installation ein paar Cents und gut ist. Aber möglicher steckt da mehr dahinter als gedacht. Möglicherweise hat sich Lenovo davon gute Einnahmen versprochen. Warum? Ich bin bei meinen Recherchen zum Beitrag auf den Artikel Superfish: Eine der am schnellsten wachsenden Firmen im Online Marketing verkauft eigentlich nur Müll gestoßen. Der Beitrag stammt vom 2.9.2014 und befasst sich mit dem US-Start-up Superfish – also lange vor dem Lenovo-Skandal.  Dort wird ganz klar kommuniziert, dass Superfish Inc. sein Geld mit Crapware (Browser-Erweiterungen) verdient. Und zwar oft dadurch, dass sich die Adware ohne Wissen der Benutzer installiert.

Und im Artikel findet sich der Hinweis "Entwickler von Add-ons erhalten Umsatzbeteiligung". Klícks auf Windows Shopper Affiliate-Links werden zu 50 % an den Entwickler des Ad-Ins ausgeschüttet. Im Artikel finden sich auch Lobeshymnen von Entwicklern, denen Superfish sofort Einnahmen beschert habe. In diesem Wallstreet Journal-Artikel aus 2013 lässt sich nicht nur nachlesen, dass das Start-up kräftig von Venture Kapitalgebern gestützt wird. Es findet sich auch das Zitat, dass die einige Millionen Dollar an Werbeeinnahmen monatlich generieren, die an Entwickler von Browser-Erweiterungen mit Superfish ausgeschüttet werden.

Sprich: Wenn Lenovo die Adware auf die Systeme bringt, könnte es nicht sein, dass man weniger den coolen Effekt für den Nutzer, sondern die von Superfish generierten Einnahmen im Auge hatte? Ich weiß es nicht, aber man kann da mal drüber nachdenken.

Superfish in vielen Produkten

Was mich beunruhigt, ist auch der Umstand, dass die Adware in verdammt vielen Produkten enthalten ist. Im oben verlinkten Artikel werden Produkte wie Awesome Screenshot, Read it Later (heißt jetzt Pocket) etc. in Zusammenhang mit der Adware Superfish Windows Shopper genannt. Und zumindest Read it Later aka Pocket ist recht populär.

Das fettere Problem ist Komodia und deren SSL-Hacking-Techniken

Das Problem bei Superfish ist nicht so sehr, dass dort Adware-Techniken zum Anzeigen von Kaufempfehlungen genutzt werden – der Aspekt ist lediglich ärgerlich. Vielmehr ist die Verwendung von Komodia-Technologien zum Entschlüsseln der SSL-Verschlüsselung in HTTPS-Verbindungen das Problem. Das damit einhergehende Problem wird in diesem Artikel mit angerissen – durch das installierte Root-Zertifikat lassen sich alle SSL-Verschlüsselungen im Browser mitlesen.

Leider ist die Software von Komodia nicht nur in Superfish, sondern in vielen anderen Produkten integriert. In diesem Golem-Artikel findet sich z.B. die Info, dass auch Lavasoft Ad-Aware auf die Technologie setzte. In diesem Arstechnica-Artikel schreibt der Autor, dass die Kommodia Software/Technologie bei 100 Unternehmen der Fortune 500 im Einsatz sei. Durch das kompromittierte Zertifikat sind nun aber möglicherweise sehr viele Rechner unsicherer.

Falle bei den Removal-Tools und beim Defender? Update: Ja!

Ein normaler Benutzer hat keine Chance, Superfish samt Komodia und den Zertifikaten manuell vom Rechner zu entfernen. Da kommt es natürlich gut, wenn der Windows Defender den Superfish erkennen und entfernen kann. Ed Bott schreibt in diesem ZDNet-Artikel, dass der Defender sowohl Superfish als auch das Root-Zertifikat entfernt. Er hat von einem Sicherheitsforscher eine Kopie der Lenovo-Software zum Testen in einer virtuellen Maschine bekommen.


Anzeige

Auch von Lenovo gibt es ja das Superfish-Entfernungstool. Ich habe das im Artikel Windows Defender findet und entfernt Superfish thematisiert und auch das Lenovo-Tool verlinkt. Weitere Tools schreiben sich die Superfish-Bereinigung ebenfalls auf die Fahnen (siehe diesen Beitrag). Wäre jetzt auch das, was ich bis vor einigen Stunden normalen Anwendern empfohlen hätte.

Vor wenigen Stunden erreichte mich aber ein beunruhigender Leserkommentar, der, wenn er wirklich zutrifft, ein echtes Problem darstellt. Der Leser schreibt:

Ich hab die Crapware vor ein paar Monaten im Zuge der Einrichtung meines Laptops (14-2) (un)bewusst entfernt. Dummerweise entfernt der Deinstaller NICHT das Zertifikat aus dem Speicher. Die Software war weg, der Defender hat gestern beim Vollscan nix gefunden, und ich hab das Zertifikat von Hand killen müssen.

Ich kann es leider nicht verifizieren, da ich keine Superfish-Software zum Testen habe (ich habe Ed Bott angemailt, aber noch keine Antwort erhalten). Aber für gänzlich unwahrscheinlich halte ich das Szenario nicht. Alle von mir gesichteten Webtreffer von Leuten, die sich mit Superfish und dessen Entfernung mittels Tools befassten, beschreiben das Szenario "Superfish und Root-Zertifikat sind auf dem Rechner vorhanden". Was aber, wenn der obige Kommentar so zutrifft und die Entfernungstools erst nach Superfish schauen und wenn der fehlt, nicht mehr an die Zertifikate heran gehen?

Auch auf dieser Lenovo-Forenseite mit den Links zum Superfish-Removal-Tool findet sich dieser beunruhigende Kommentar:

"Superfish will be removed from Program Files and Program Data directories, files in user directory will stay intact for the privacy reason. Registry entry and root certificate will remain as well. "

Auch das kann ich mangels Superfish-Software nicht wirklich verifizieren – und möglicherweise bezieht sich der Kommentar auf eine frühere Fassung der Lenovo-Forenseite mit Deinstallationsanweisungen. Ziemlich viele Wenns, aber die Nutzer brauchen Sicherheit. Unter dieser Prämisse empfehle ich, allen Betroffenen den Zertifikatsspeicher manuell zu kontrollieren. Update: Beachtet meinen Kommentarnachtrag – meine Befürchtungen treffen zu!

Zur Sicherheit den Zertifikatsspeicher kontrollieren

Hier bei Arstechnica und hier bei Lenovo finden sich englischsprachige Anleitungen (samt dem Spezialfall Firefox). Hier kurz die Schritte zum Entfernen des Root-Zertifikat im Zertifkatespeicher für ein deutsches Windows.

1. Geben Sie im Suchfeld des Startmenüs oder in der Windows 8/8.1-Startseite den Befehl certmgr.msc ein.

2. Rufen Sie den Treffer certmgr.msc über den Kontextmenübefehl (bzw. die Schaltfläche in der Windows 8-App-Leiste) Als Administrator ausführen auf.

3. Bestätigen Sie die Abfrage der Benutzerkontensteuerung und kontrollieren Sie im Zertifikate-Manager im Zweig Vertrauenswürdige Stammzertifizierungsstellen, ob dort ein Zertifikat von Superfish Inc. vorkommt.

4. Findet sich das Zertifikat von Superfish Inc., klicken Sie dieses mit der rechten Maustaste an und wählen den Kontextmenübefehl Löschen.

Nach Bestätigung der Sicherheitsabfragen sollte das Zertifikat (und damit die Bedrohung) verschwunden sein). Aber ich fürchte, das Thema wird uns noch ein paar Tage erhalten bleiben. Falls Betroffene hier war zum Thema Zertifikatsentfernung durch den Windows Defender bei deinstallierter Superfish-Adware beitragen können – Kommentare sind willkommen. Vielleicht ist ja der eine oder andere PC-Supporter mit Zugriff auf betroffene Lenovo Geräte bei den Blog-Lesern dabei.

PS: Vor dem Schreiben dieses Blog-Beitrags habe ich mal drei Pfund Kreide gefressen, damit mir jegliches Bashing unterbleibt und ich nicht wieder kommentarmäßig was auf die Mütze kriege. Oder es ist möglicherweise auch so, dass mich die ganze Geschichte eigentlich ziemlich sprachlos zurück lässt. Ich schrieb drüben im Blog Sicherheits-Meldungen zum Freitag: Das Internet ist kaputt!, dass das Internet von "Geheimdiensten, Regierungen, Hackern und US-Firmen in unheiliger Allianz sturmreif geschossen werde" – da hatte ich diese Geschichte noch nicht so wirklich auf dem Radar. Aber die letzten Entwicklungen sind so was wie der Sargnagel für das Ganze.

Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Komodia SSL-Zertifikate faktisch überall – Teil V
Superfish Adware auch auf Medion-Systemen?
Windows Defender findet und entfernt Superfish
Avast nutzt auch den 'Superfish-Ansatz' bei Mail Shield
Bericht der Facebook-Sicherheitsleute zu Superfish


Cookies blockieren entzieht uns die Finanzierung: Cookie-Einstellungen

Dieser Beitrag wurde unter *my 2 cents, Sicherheit abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

4 Antworten zu Superfish-Internals – versagen Defender und Removal Tools?

  1. Günter Born sagt:

    Update: Meine Vermutung trifft wohl zu …

    MVP-Kollege Ed Bott hat sich heute Nacht doch per E-Mail gemeldet und folgendes geschrieben.

    Hello Günter,

    Happy to help. I have a system where I just tested that exact scenario, removing the Superfish add-in with Norton (leaving the certificate behind) and then setting Windows Defender as the default AV program.

    In that scenario, Windows Defender did not identify the self-signed root certificate. I suspect that the detection depends on having found the Lenovo program files. So yes, in that case you need to run the Lenovo removal tool or manually remove the certificate.

    Ed

    Habe ich da mal wieder ins Schwarze getroffen …

    … jetzt gehe ich keine Kreide mehr fressen, sondern schlicht ins Bett. Sollen die bei Microsoft doch machen, was die wollen. MVP hin, MVP her, morgen schreibe ich an meinem Android-Buch weiter.

  2. Pingback: Superfish: Windows Defender fails to clean properly | Born's Tech and Windows World

  3. Pingback: Schadhaftes Superfish-Zertifikat breitet sich aus | webmagazin

  4. Pingback: Mein Lenovo Z50-70 mit Superfish Zertifikat - psychoMuell.de

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.