Adware ontpopt zich als securitygevaar

Jaspewr Bakker

Software die advertenties voorschotelt, zogeheten adware, is niet alleen irritant. Moderne adware vormt zelfs een fundamenteel securitygevaar.

Diverse partijen die deze adware maken, lijken het credo te huldigen dat de ads alle middelen heiligen. Opvallend genoeg bevinden zich daaronder ook bedrijven die beveiliging bieden. Begin dit jaar struikelde computerleverancier Lenovo hard over de security-compromitterende adware Superfish. De reputatie van de Chinese firma heeft daardoor flinke schade geleden. Zo is het gezakt van de tweede naar de zesde plaats in de merkenkeuring van een Amerikaans Laptop Magazine. De oorzaak voor die dramatische daling: slechte techsupport én Superfish.

 

MitM-aanval voor ads

Lenovo levert op sommige modellen van zijn consumentenlaptops Superfish mee. Deze voorgeïnstalleerde adware blijkt middels een eigen beveiligingscertificaat beveiligde verbindingen te compromitteren. Het doel daarvan is het eigen advertenties te injecteren in het surfverkeer van gebruikers, zelfs in webpagina’s die via beveiligde verbindingen lopen.

De Superfish-adware voert effectief een man-in-the-middle (MitM) aanval uit: het onderschept beveiligde verbindingen, verandert daarin content en laat het verkeer vervolgens weer door. Deze onderschepping gebeurt ongemerkt dankzij het root-certificaat dat de adware installeert op Windows. Het gebruikte certificaat is door onderzoeker Robert Graham van Errata Security in drie uur tijd geëxtraheerd uit de software. In diezelfde tijd heeft hij ook het wachtwoord gekraakt waarmee het certificaat is versleuteld. Hiermee kan Graham – en elke ICT’er met enige hackkennis – al het beveiligde internetverkeer van Superfish-gebruikers onderscheppen, inclusief VPN-verbindingen. Het adware-certificaat is beveiligd met het zwakke wachtwoord ‘komodia’, de naam van de Superfish-leverancier.

 

Advies: direct verwijderen

De combinatie van een rootcertificaat voor de ads-injectie en het zwakke wachtwoord voor dat certificaat brengt met zich mee dat Superfish een grote security-impact heeft. Tel daar de BYOD-trend bij op en u begrijpt dat Lenovo’s ‘besmette’ consumentenlaptops ook voor bedrijfsdoeleinden worden gebruikt.

Het Computer Emergency Response Team van de Amerikaanse overheid (US-CERT), de digitale rechtenbeweging Electronic Frontier Foundation (EFF) en andere instanties waarschuwen voor Superfish. Zij geven het advies om de adware én het meekomende rootcertificaat direct te verwijderen. Leverancier Lenovo helpt daarbij met een uninstaller en samenwerking met securityleveranciers waaronder Microsoft en McAfee voor automatische verwijdering.

 

Hek van de dam

Superfish is niet het enige en ook niet het ergste voorbeeld van adware die omwille van inkomsten uit advertenties de security in gevaar brengt. Het Lenovo-incident valt in het niet door PrivDog, een zelfbenoemde privacybeschermer van AdTrustMedia. Deze adware ondertekent door een implementatiefout met zijn eigen rootcertificaat álle certificaten op een pc. US-CERT waarschuwt dat door PrivDog elk malafide certificaat voor echt kan doorgaan en een MitM-aanval faciliteren. Het Decentralized SSL Observatory heeft tot nu toe 17.000 verschillende certificaten van PrivDog-installaties vergaard, zo meldt de EFF. Het rootcertificaat van PrivDog is afkomstig van Comodo, een grote leverancier van SSL-certificaten.

Geef een reactie

Gerelateerde berichten...