{"id":161679,"date":"2015-02-22T23:53:23","date_gmt":"2015-02-22T22:53:23","guid":{"rendered":"http:\/\/www.borncity.com\/blog\/?p=161679"},"modified":"2024-08-26T08:44:11","modified_gmt":"2024-08-26T06:44:11","slug":"superfish-internalsversagen-defender-und-removal-tools","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2015\/02\/22\/superfish-internalsversagen-defender-und-removal-tools\/","title":{"rendered":"Superfish-Internals – versagen Defender und Removal Tools?"},"content":{"rendered":"

\"\"Ende letzter Woche hat uns ja das Thema Superfish besch\u00e4ftigt. Hier noch zwei Sachen, die ich beim \"Aufwischen\" gefunden habe. Einmal geht es nochmal um einen kurzen Blick, um was es geht. Und dann gibt es gl\u00fccklicherweise ja von Lenovo ein Superfish-Removal-Tool. Und auch der Windows Defender soll das System bereinigen k\u00f6nnen. Was aber, wenn dieses Technik in bestimmten F\u00e4llen versagt? Einfach ein paar Gedanken und Informationen zur Lekt\u00fcre. Update:<\/strong>\u00a0Waren es erst nur Bef\u00fcrchtungen, von denen ich gehofft h\u00e4tte, dass sie nicht zutreffen, ist es jetzt best\u00e4tigt (siehe auch mein Beitrag\u00a0Superfish: Windows Defender fails to clean properly<\/a>\u00a0im englischen Blog).<\/p>\n

<\/p>\n

Lenovos Superfish-Einsatz, was dahinter stecken k\u00f6nnte<\/h3>\n

\"\"Ok, Lenovo ist ein Fehler passiert. Man hat sich entschuldigt, die Superfish-Software ausgeknipst und will sie nicht mehr installieren. Aber da gibt noch die Aussage von Lenovo<\/a>, dass man dachte, dass die Nutzer das gut f\u00e4nden. Hat mich dazu gebracht, mal ein wenig zu graben \u2013 denn die obige Aussage ist in meinen Augen naiv bis d\u00fcmmlich. Oder anders ausgedr\u00fcckt: Es bleibt die Frage, warum man das \u00fcberhaupt tut?<\/p>\n

Zuerst dachte ich: Ok, die kriegen einfach f\u00fcr jede Installation ein paar Cents und gut ist. Aber m\u00f6glicher steckt da mehr dahinter als gedacht. M\u00f6glicherweise hat sich Lenovo davon gute Einnahmen versprochen. Warum? Ich bin bei meinen Recherchen zum Beitrag auf den Artikel Superfish: Eine der am schnellsten wachsenden Firmen im Online Marketing verkauft eigentlich nur M\u00fcll<\/a> gesto\u00dfen. Der Beitrag stammt vom 2.9.2014 und befasst sich mit dem US-Start-up Superfish \u2013 also lange vor dem Lenovo-Skandal.\u00a0 Dort wird ganz klar kommuniziert, dass Superfish Inc. sein Geld mit Crapware (Browser-Erweiterungen) verdient. Und zwar oft dadurch, dass sich die Adware ohne Wissen der Benutzer installiert.<\/p>\n

Und im Artikel findet sich der Hinweis \"Entwickler von Add-ons erhalten Umsatzbeteiligung\". Kl\u00edcks auf Windows Shopper Affiliate-Links werden zu 50 % an den Entwickler des Ad-Ins ausgesch\u00fcttet. Im Artikel finden sich auch Lobeshymnen von Entwicklern, denen Superfish sofort Einnahmen beschert habe. In diesem Wallstreet Journal-Artikel<\/a> aus 2013 l\u00e4sst sich nicht nur nachlesen, dass das Start-up kr\u00e4ftig von Venture Kapitalgebern gest\u00fctzt wird. Es findet sich auch das Zitat, dass die einige Millionen Dollar an Werbeeinnahmen monatlich generieren, die an Entwickler von Browser-Erweiterungen mit Superfish ausgesch\u00fcttet werden.<\/p>\n

Sprich: Wenn Lenovo die Adware auf die Systeme bringt, k\u00f6nnte es nicht sein, dass man weniger den coolen Effekt f\u00fcr den Nutzer, sondern die von Superfish generierten Einnahmen im Auge hatte? Ich wei\u00df es nicht, aber man kann da mal dr\u00fcber nachdenken.<\/p>\n

Superfish in vielen Produkten<\/h3>\n

Was mich beunruhigt, ist auch der Umstand, dass die Adware in verdammt vielen Produkten enthalten ist. Im oben verlinkten Artikel werden Produkte wie Awesome Screenshot, Read it Later (hei\u00dft jetzt Pocket) etc. in Zusammenhang mit der Adware Superfish Windows Shopper genannt. Und zumindest Read it Later aka Pocket ist recht popul\u00e4r.<\/p>\n

Das fettere Problem ist Komodia und deren SSL-Hacking-Techniken<\/h3>\n

Das Problem bei Superfish ist nicht so sehr, dass dort Adware-Techniken zum Anzeigen von Kaufempfehlungen genutzt werden \u2013 der Aspekt ist lediglich \u00e4rgerlich. Vielmehr ist die Verwendung von Komodia-Technologien zum Entschl\u00fcsseln der SSL-Verschl\u00fcsselung in HTTPS-Verbindungen das Problem. Das damit einhergehende Problem wird in diesem Artikel<\/a> mit angerissen \u2013 durch das installierte Root-Zertifikat lassen sich alle SSL-Verschl\u00fcsselungen im Browser mitlesen.<\/p>\n

Leider ist die Software von Komodia nicht nur in Superfish, sondern in vielen anderen Produkten integriert. In diesem Golem-Artikel<\/a> findet sich z.B. die Info, dass auch Lavasoft Ad-Aware auf die Technologie setzte. In diesem Arstechnica-Artikel<\/a> schreibt der Autor, dass die Kommodia Software\/Technologie bei 100 Unternehmen der Fortune 500 im Einsatz sei. Durch das kompromittierte Zertifikat sind nun aber m\u00f6glicherweise sehr viele Rechner unsicherer.<\/p>\n

Falle bei den Removal-Tools und beim Defender? Update: Ja!<\/h3>\n

Ein normaler Benutzer hat keine Chance, Superfish samt Komodia und den Zertifikaten manuell vom Rechner zu entfernen. Da kommt es nat\u00fcrlich gut, wenn der Windows Defender den Superfish erkennen und entfernen kann. Ed Bott schreibt in diesem ZDNet-Artikel<\/a>, dass der Defender sowohl Superfish als auch das Root-Zertifikat entfernt. Er hat von einem Sicherheitsforscher eine Kopie der Lenovo-Software zum Testen in einer virtuellen Maschine bekommen.<\/p>\n

Auch von Lenovo gibt es ja das Superfish-Entfernungstool. Ich habe das im Artikel Windows Defender findet und entfernt Superfish<\/a> thematisiert und auch das Lenovo-Tool verlinkt. Weitere Tools schreiben sich die Superfish-Bereinigung ebenfalls auf die Fahnen (siehe diesen Beitrag). W\u00e4re jetzt auch das, was ich bis vor einigen Stunden normalen Anwendern empfohlen h\u00e4tte.<\/p>\n

Vor wenigen Stunden erreichte mich aber ein beunruhigender Leserkommentar<\/a>, der, wenn er wirklich zutrifft, ein echtes Problem darstellt. Der Leser schreibt:<\/p>\n

Ich hab die Crapware vor ein paar Monaten im Zuge der Einrichtung meines Laptops (14-2) (un)bewusst entfernt. Dummerweise entfernt der Deinstaller NICHT das Zertifikat aus dem Speicher. Die Software war weg, der Defender hat gestern beim Vollscan nix gefunden<\/strong>, und ich hab das Zertifikat von Hand killen<\/strong> m\u00fcssen.<\/p><\/blockquote>\n

Ich kann es leider nicht verifizieren, da ich keine Superfish-Software zum Testen habe (ich habe Ed Bott angemailt, aber noch keine Antwort erhalten). Aber f\u00fcr g\u00e4nzlich unwahrscheinlich halte ich das Szenario nicht. Alle von mir gesichteten Webtreffer von Leuten, die sich mit Superfish und dessen Entfernung mittels Tools befassten, beschreiben das Szenario \"Superfish und Root-Zertifikat sind auf dem Rechner vorhanden\". Was aber, wenn der obige Kommentar so zutrifft und die Entfernungstools erst nach Superfish schauen und wenn der fehlt, nicht mehr an die Zertifikate heran gehen?<\/p>\n

Auch auf dieser Lenovo-Forenseite<\/a> mit den Links zum Superfish-Removal-Tool findet sich dieser beunruhigende Kommentar<\/a>:<\/p>\n

\"Superfish will be removed from Program Files and Program Data directories, files in user directory will stay intact for the privacy reason. Registry entry and root certificate will remain as well. \"<\/p><\/blockquote>\n

Auch das kann ich mangels Superfish-Software nicht wirklich verifizieren \u2013 und m\u00f6glicherweise bezieht sich der Kommentar auf eine fr\u00fchere Fassung der Lenovo-Forenseite mit Deinstallationsanweisungen. Ziemlich viele Wenns, aber die Nutzer brauchen Sicherheit. Unter dieser Pr\u00e4misse empfehle ich, allen Betroffenen den Zertifikatsspeicher manuell zu kontrollieren. Update:<\/strong> Beachtet meinen Kommentarnachtrag – meine Bef\u00fcrchtungen treffen zu<\/span>!<\/p>\n

Zur Sicherheit den Zertifikatsspeicher kontrollieren<\/h3>\n

Hier bei Arstechnica<\/a> und hier bei Lenovo finden sich englischsprachige Anleitungen (samt dem Spezialfall Firefox). Hier kurz die Schritte zum Entfernen des Root-Zertifikat im Zertifkatespeicher f\u00fcr ein deutsches Windows.<\/p>\n

1. Geben Sie im Suchfeld des Startmen\u00fcs oder in der Windows 8\/8.1-Startseite den Befehl certmgr.msc<\/em> ein.<\/p>\n

2. Rufen Sie den Treffer certmgr.msc<\/em> \u00fcber den Kontextmen\u00fcbefehl (bzw. die Schaltfl\u00e4che in der Windows 8-App-Leiste) Als Administrator ausf\u00fchren <\/em>auf.<\/p>\n

3. Best\u00e4tigen Sie die Abfrage der Benutzerkontensteuerung und kontrollieren Sie im Zertifikate-Manager im Zweig Vertrauensw\u00fcrdige Stammzertifizierungsstellen<\/em>, ob dort ein Zertifikat von Superfish Inc. vorkommt.<\/p>\n

\"\"<\/p>\n

4. Findet sich das Zertifikat von Superfish Inc., klicken Sie dieses mit der rechten Maustaste an und w\u00e4hlen den Kontextmen\u00fcbefehl L\u00f6schen<\/em>.<\/p>\n

Nach Best\u00e4tigung der Sicherheitsabfragen sollte das Zertifikat (und damit die Bedrohung) verschwunden sein). Aber ich f\u00fcrchte, das Thema wird uns noch ein paar Tage erhalten bleiben. Falls Betroffene hier war zum Thema Zertifikatsentfernung durch den Windows Defender bei deinstallierter Superfish-Adware beitragen k\u00f6nnen \u2013 Kommentare sind willkommen. Vielleicht ist ja der eine oder andere PC-Supporter mit Zugriff auf betroffene Lenovo Ger\u00e4te bei den Blog-Lesern dabei.<\/p>\n

PS: Vor dem Schreiben dieses Blog-Beitrags habe ich mal drei Pfund Kreide gefressen, damit mir jegliches Bashing unterbleibt und ich nicht wieder kommentarm\u00e4\u00dfig was auf die M\u00fctze kriege. Oder es ist m\u00f6glicherweise auch so, dass mich die ganze Geschichte eigentlich ziemlich sprachlos zur\u00fcck l\u00e4sst. Ich schrieb dr\u00fcben im Blog Sicherheits-Meldungen zum Freitag: Das Internet ist kaputt!<\/a>, dass das Internet von \"Geheimdiensten, Regierungen, Hackern und US-Firmen in unheiliger Allianz sturmreif geschossen werde\" \u2013 da hatte ich diese Geschichte noch nicht so wirklich auf dem Radar. Aber die letzten Entwicklungen sind so was wie der Sargnagel f\u00fcr das Ganze.<\/p>\n

\u00c4hnliche Artikel:<\/strong>
\nLenovo Ger\u00e4te mit Superfish-Adware verseucht<\/a>
\nKomodia SSL-Zertifikate faktisch \u00fcberall \u2013 Teil V<\/a>
\nSuperfish Adware auch auf Medion-Systemen?<\/a>
\nWindows Defender findet und entfernt Superfish<\/a>
\nAvast nutzt auch den 'Superfish-Ansatz' bei Mail Shield<\/a>
\nBericht der Facebook-Sicherheitsleute zu Superfish<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

Ende letzter Woche hat uns ja das Thema Superfish besch\u00e4ftigt. Hier noch zwei Sachen, die ich beim \"Aufwischen\" gefunden habe. Einmal geht es nochmal um einen kurzen Blick, um was es geht. Und dann gibt es gl\u00fccklicherweise ja von Lenovo … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328,4006],"class_list":["post-161679","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit","tag-superfish"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/161679","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=161679"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/161679\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=161679"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=161679"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=161679"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}