Skip to content

Der SIM-Karten-Hack und Lenovos MitM-Zertifikat - Schlimmer geht immer!

Geschrieben von Carsten Eilers am um 13:55

Es gibt neue Informationen zum SIM-Karten-Hack und der ein MitM-Zertifikat installierenden Adware auf Lenovo-Notebooks. Und wie üblich keine guten, denn Sie wissen ja: Schlimmer geht immer. Das schreit natürlich nach einem Kommentar.

Gemalto meint, der SIM-Karten-Hack hat gar nicht stattgefunden

Der SIM-Karten-Hack von NSA und GCHQ hat gar nicht statt gefunden. Meint zumindest das größte Opfer, Gemalto. Es gab zwar 2010 und 2011 Angriffe, aber die betrafen nur das Büro-Netzwerk, ein massenhafter Diebstahl von SIM-Karten-Schlüsseln war nicht möglich. Vermutlich hat man nachgesehen, und die Schlüssel sind alle noch da?

Aber selbst wenn Schlüssel während der Übertragung an die Kunden (die in den meisten Fällen schon lange verschlüsselt erfolgt - warum gibt es in so einem Fall überhaupt unsichere Ausnahmen?) ausgespäht worden sind, können damit nur 2G-Verbindungen und nicht 3G- und 4G-Verbindungen ausgespäht werden, da die 3G- und 4G-Netze für den Angriff nicht anfällig sind.

Also wirklich, so eine schnelle und vollständige Aufklärung gibt es selten. Gemalto als Unternehmen mit Standorten in zig Ländern hat mit eigenen Kräften in wenigen Tagen einen 5 Jahre zurück liegenden Angriff lückenlos aufgeklärt. Respekt! Auf solche Untersuchungen spezialisierte Unternehmen brauchen für die Aufklärung eines gerade erst passierten Angriffs auf ein nur in einem Staat tätiges Unternehmen mitunter ein halbes Jahr oder länger. Da müssen bei Gemalto ja wirkliche Genies am Werk gewesen sein. Ich wusste bisher gar nicht, dass ganz normale Unternehmen so ausgefuchste IT-Forensiker beschäftigen. Die braucht man ja nun normalerweise nicht so häufig, dass sich das lohnt.

Wie kommt es nur, dass ich Gemaltos Aussagen so überhaupt nicht glaube? Vielleicht, weil ich den GCHQ-Angreifern deutlich mehr zutraue als die von Gemalto entdeckten Angriffe, die eher nach Cyberkriminellen als Urheber klingen? Vielleicht, weil sich der Bericht liest, als hätte man da einfach die bereits vorhandenen Daten über damals erkannte Angriffe neu zusammen gefasst und gar nicht nach weiteren Spuren gesucht? Was nach 5 Jahren ja auch gar nicht so einfach ist.

Und dann ist da die Sache mit den Angriffen auf 3G-Netze, die laut Gemalto nicht möglich sind, während Experten sie in etwas abgewandelter Form für möglich halten. Also ich vertraue in so einen Fall eher den Experten, die Angriffe mit PoCs bewiesen haben, als Herstellern, die die Sicherheit ihrer Produkte behaupten.

Und von den Over-the-Air (OTA) Angriffen ist überhaupt nicht die Rede. Könnte es sein, dass man nur das Nötigste zu gibt, um den Schaden so gering wie möglich zu halten? Sie wissen schon, Shareholder Value und so. Bloss keine Kunden vergraulen, indem man was zugibt, was noch nicht bewiesen wurde, und dergleichen mehr ...

Superfish war nur der Anfang...

Die auf Lenovo-Notebooks installierte Adware Superfish mit ihrem MitM-Zertifikat ist nur die Spitze des Eisbergs. Zum einen gibt es viele weitere Programme, die das gleiche bzw. ähnliche MitM-Zertifikate installieren und damit sämtliche HTTPS-Verbindungen der betroffenen Rechner gefährden. Mindestens die folgenden Hersteller bzw. Programme installieren die Zertifikate:

  • Ad-Aware AdBlocker
  • Ad-Aware Web Companion
  • ArcadeGiant
  • CartCrunch Israel LTD
  • Catalytix Web Services
  • Easy Hide IP Classic
  • Infoweise SecureTeen Windows Parental Control
  • Keep My Family Secure
  • Komodia Redirector with SSL Digestor
  • Kurupira
  • Objectify Media Inc
  • OptimizerMonitor
  • Over the Rainbow Tech
  • Qustodio for Windows
  • Say Media Group LTD
  • StaffCop
  • Superfish Visual Discovery
  • System Alerts
  • UtilTool Antivirus
  • WiredTools LTD

Eine weitere Gefahr neben dem MitM-Zertifikat stellt der von Superfish und den anderen Programmen verwendete Proxy von Komodia dar, denn der akzeptiert unter Umständen selbst signierte Zertifikate, da die Zertifikatsprüfung nicht korrekt funktioniert. Und nachdem das eigentlich ungültige Zertifikat vom Proxy akzeptiert wurde, wird für die entsprechende Website mittels des MitM-Zertifikats ein neues Zertifikat erzeugt und dem Benutzer präsentiert. Der dann ein gültiges Zertifikat, ausgestellt von der Superfish-CA "Superfish, Inc.", zu sehen bekommt, dem sein Browser natürlich vertraut.

PrivDog - Schlimmer geht immer!

PrivDog soll die Privatsphäre der Benutzer schützen, indem möglicherweise suspekte Werbung in Websites durch Werbung von einem vertrauenswürdigen Anbieter ersetzt wird. Wozu man wie auch Superfish einen Proxy mit MitM-Zertifikat verwendet. Der selbst die präsentierten Zertifikate gar nicht prüft und sie unabhängig von der Gültigkeit durch selbst signierte Zertifikate ersetzt. Für PrivDog gilt also das gleiche wie für Superfish (und alle anderen betroffenen Programme): Die SSL/TLS-Verbindungen der Benutzer sind durch MitM-Angriffe oder allgemein gefälschte Zertifikate gefährdet.

Dabei hilft es auch nichts, dass PrivDog im Gegensatz zu Superfish für jede Installation ein individuelles MitM-Zertifikat nutzt. Denn ein Angreifer muss das ja gar nicht für seinen Angriff nutzen, der Proxy tauscht freiwillig jedes Zertifikat, egal ob gültig oder nicht, durch ein eigenes aus. Dem der Browser dann vertraut.

Die fehlerhafte Zertifikatsprüfung wurde in Version 3.0.105.0 behoben, das zugehörige Security Advisory enthält aber ein paar Fehler, der Hersteller möchte das Problem natürlich herunter spielen.

Und als wäre das nicht schlimm genug, sendet PrivDog auch noch alle im Browser aufgerufenen URLs als Klartext an den Hersteller AdTrustMedia schickt. Also auf die Idee, dass das Senden der Browser-History an den Hersteller eines Tools die Privatsphäre der Benutzer schützt, muss man erst mal kommen. Aber wahrscheinlich verstehe ich das nur wieder falsch, die Geheimdienste schnüffeln und ja auch nur zu unseren Besten aus und wir denken alle nur, dass das unsere Privatsphäre verletzt.

Und auch die Sicherheit bleibt natürlich auf der Strecke, da auch die URL für HTTPS-Seiten in Klartext übertragen werden und damit normalerweise durch die HTTPS-Verschlüsselung geschützte sensitive Informationen preisgegeben werden. Der Hersteller will die Übertragung der Daten in Zukunft verschlüsseln. Was das Grundproblem des im Grunde ja negierten Privatsphärenschutzes natürlich nicht löst.

PrivDog wurde übrigens von einem der Gründer der CA Comodo entwickelt und wird unter anderen von Comodo vertrieben. Ich weiß nicht, was ich schlimmer finde - dass da eine CA am eigenen Ast sägt und Zertifikate überflüssig macht (wenn die HTTPS-Verbindungen sowieso aufgebrochen werden braucht man sie ja gar nicht erst auszubauen), dass ein CA-Gründer und "Chief Security Architect" einen MitM-Proxy für HTTPS verwendet, obwohl er es besser wissen müsste, oder dass er einen dermaßen kaputten Proxy zukauft und den Fehler nicht bemerkt. Und ja, das ist genau diese CA Comodo.

Carsten Eilers

Trackbacks

Keine Trackbacks