3min

De malware van Superfish die op veel Lenovo-laptops is te vinden kan ook worden misbruikt door derden. De malware van Superfish heeft namelijk een certificaat-autoriteit toegevoegd aan de computer en dat is Superfish zelf. Alleen de sleutel om certificaten mee te maken is zo eenvoudig te kraken dat nu iedereen SSL-certificaten kan uitgeven in naam van Superfish, in plaats van een echte vertrouwde autoriteit.

Vanmorgen schreven we al over de mogelijkheid dat de Superfish-malware SSL-verbindingen kan kapen. Nu hebben verschillende beveiligingsonderzoekers zich erover gebogen en komen tot de conclusie dat het probleem nog een stukje groter is dan gedacht. Zo kunnen kwaadwillende gemakkelijk nieuwe certificaten aanmaken en beveiligde verbindingen afluisteren.

Inmiddels zijn er al SSL-certificaten opgedoken van onder meer de Bank of America en de Rabobank die zijn uitgegeven door Superfish. Daarmee kan Superfish dus het internetverkeer afluisteren tussen de gebruiker en zijn bank zonder dat de gebruiker dit in de gaten heeft of kan vermoeden. Dit noemt ment een zogenaamde man-in-the-middle aanval.

In de malware is ook de sleutel te achterhalen die nodig is om nieuwe certificaten aan te maken, waarschijnlijk is die toegevoegd zodat de malware zelfstandig certificaten aan kan maken en vervangen op een Lenovo-systeem. De kans is dan ook aanwezig dat alle SSL-certificaten naar verloop van tijd vervangen worden door de Superfish-malware. Daarmee is de schade die deze malware heeft aangericht een stuk groter dan eerder nog werd gedacht. Andere kwaadwillende kunnen geïnfecteerde Lenovo-laptops nu misbruiken om gegevens te achterhalen, waar Superfish dat wellicht nog niet deed kunnen derden dit nu wel.

Lenovo zelf heeft vandaag al twee statements naar buiten gebracht. Beide zijn helaas in het Engels, wij hebben besloten deze naar eigen inzicht te vertalen. Lenovo heeft tussen september en december 2014 de Superfish-malware heeft meegeleverd op zijn consumentenlaptops. Het idee was dat gebruikers zo interessante producten konden vinden tijdens het surfen, Superfish injecteert namelijk advertenties tijdens het bezoeken van websites. Na klachten van gebruikers is Lenovo in januari hiermee gestopt en is Superfish uitgeschakeld op alle Lenovo-laptops. Lenovo is in januari ook gestopt met het voor installeren van de Superfish-malware en het bedrijf zal de software in de toekomst ook niet meer gebruiken. Verder heeft het bedrijf uitgebreid onderzoek gedaan en heeft het geen bewijs gevonden voor substantiële beveiligingsproblemen. Verder zegt Lenovo het probleem met Superfish nog steeds onder de aandacht heeft en het de belangen van gebruikers voorop stelt.

Ook legt Lenovo uit dat Superfish geen gegevens verzameld of opslaat. Voor Superfish is elke sessie nieuw en de advertenties zijn puur gebaseerd op de inhoud van de website die je bezoekt en niet op basis van je surfgedrag. Superfish weet ook niet wie de gebruiker is of wat zijn of haar voorkeuren zijn. De samenwerking met Superfish had geen groot financieel belang, het doel was de gebruikservaring te verbeteren.

Inmiddels hebben verschillende beveiligingsonderzoekers hun mening ook losgelaten over de Superfish-malware en zij zien wel een beveiligingsprobleem en risico’s waaraan gebruikers van Lenovo-laptops worden blootgesteld. Hopelijk komen zowel Google als Microsoft snel met een patch om Superfish zoveel mogelijk buitenspel te zetten in hun browsers.