Lenovo Superfish malware

Superfish malware

superfishLenovo laptops zijn enige tijd ‘af fabriek’ uitgeleverd met schadelijke software aan boord: Superfish. De bewuste laptops zijn verkocht in de laatste helft van 2014.
Wat houdt dit in, en wat betekent dit voor mij?

Superfish adware/ malware is technisch gezien in staat om versleutelde verbindingen die je opzet (bijvoorbeeld tijdens het internetbankieren) af te luisteren of aan te passen. In principe is het dus mogelijk dat je gebruikersnaam en wachtwoord combinatie worden onderschept door je eigen laptop terwijl je aan het inloggen bent! Een groot risico dus.

Wat doet Superfish?

De methode die door Superfish wordt gebruikt is een zogenaamde man-in-the-middle attack. Ieder kwaadwillend persoon kan zo’n man-in-the-middle positie aannemen. Door bijvoorbeeld op een publieke lokatie als een winkelcentrum, treinstation of vliegveld een open Wi-Fi verbinding op te zetten, en versleutelde verbindingen te onderscheppen kunnen wachtwoorden op een relatief simpele manier onderschept worden. Gebruik bij voorkeur dus geen onvertrouwde verbindingen voor dit soort gevoelige zaken!

Hoe werkt Superfish technische gezien?

Superfish software start een proxy-server op je lokale systeem. Versleutelde verbindingen zullen door de proxy server afgehandeld worden. Dus de gegevens worden opgevraagd, gedecrypt (hier kunnen ze worden aangepast en uitgelezen), en opnieuw versleuteld. Dit opnieuw versleutelen geeft normaal gesproken een melding in je browser. Hij ziet dat het beveiligingscertificaat onjuist is en de gebruiker krijgt een waarschuwing te zien. Om dit tegen te gaan heeft Superfish een zogenaamd root-certificaat op het systeem geinstalleerd. Door dit root-certificaat worden certificaten die de proxy-server aanmaakt als vertrouwd aangemerkt. De browser zal geen waarschuwing meer geven.

Omdat de proxy-server de certificaten ‘on-the-fly’ aan moet kunnen maken zijn alle gegevens (de private key!) op het systeem aanwezig. Robert Graham beschrijft in zijn blog hoe hij de versleuteling van de private key heeft kunnen achterhalen. Hierdoor is het voor iedereen nu mogelijk een willekeurig nep certificaat aan te maken, wat niet als fake aangemerkt wordt als je systeem voorzien is met de Superfish adware!

Hoe test ik mijn systeem?

Op deze website kun je eenvoudig testen of je systeem besmet is. Als je scherm onderstaande tekst weergeeft is er waarschijnlijk niets aan de hand. Test voor de zekerheid even met alle browsers op je systeem.

superfish-test

 

 

 

 

 

Als de Superfish malware op het systeem aanwezig is zal onderstaand plaatje weergegeven worden:

superfish-infected

 

 

 

 

 

Superfish op mijn systeem… Wat nu?

Op internet zijn verschillende pagina’s te vinden waar wordt uitgelegd hoe je de software en het certificaat kunt verwijderen. Ook Lenovo heeft hiervoor een support-pagina aangemaakt. Voor meer informatie over de werking, het verwijderen of het uitvoeren van een test kun je altijd contact opnemen!

Hieronder een lijst met laptops die mogelijk zijn uitgeleverd met de Superfish malware:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • Yoga Series: Yoga 2 Pro-13, Yoga 2-13, Yoga 2-11BTM, Yoga 2-11HSW
  • E Series: E10-30