Nachdem jetzt das Thema Lenovo und die Adware Superfish samt den Komodia-Root-Zertifikation Wellen schlägt, bleibt natürlich die Frage: Wer nutzt so was noch? Ich meine da fündig geworden zu sein – AVAST verwendet die gleiche Technik in avast! Web/Mail Shield.
Worum geht es?
Vor ein paar Tagen ist auf breiter Front bekannt geworden, dass Lenovo auf seinen Systemen eine Software mit dem Namen Superfish vorinstalliert hatte. Die soll normalerweise nur Bilder vergleichen und passende Shopping-Vorschläge beim Surfen einblenden. Das Ganze nennt man Adware und solche Zugaben sind äußerst unerwünscht. Nun haben die Entwickler der Browser-Erweiterung Superfish aber ein SDK des Anbieters Komodia verwendet, welches auch abgesicherte SSL-Verbindungen (https) mitverfolgen kann. Dazu wird einfach ein Root-Zertifikat installiert, so dass man an die vom Browser verschlüsselten SSL-Übertragungen heran und diese mitlesen und manipulieren kann. Ich hatte im Beitrag Komodia SSL-Zertifikate faktisch überall – Teil V auf diesen Sachverhalt hingewiesen.
Und wer macht das noch?
Die spannende Frage ist nun, ob und welche Software-Hersteller diese Techniken noch zum Mitverfolgen von https-Sitzungen bzw. SSL-Übertragungen verfolgen. Die Hersteller von Antivirus-Software stehen z.B. vor dem Dilemma, dass sie E-Mails und auch Daten von Webverbindungen prüfen müssen. Bei verschlüsselten SSL-Verbindungen wird das aber kritisch, kann man doch nicht in den Datenstrom hineinschauen. Im Client (Browser oder E-Mail-Programm) kann man sich möglicherweise auch nicht verankern. Da liegt der Schluss nahe, dass auch dort möglicherweise Zertifikate eingesetzt werden, um eine SSL-Verschlüsselung einsehen zu können.
Ich hatte das im Hinterkopf, aber keine Zeit, mal zu recherchieren – und wenn Du an den falschen Stellen suchst, wirst Du auch nichts finden. Im Lenovo-Forum findet sich im Thread zum Superfish-Thema auch ein Posting von Nutzer Jezzper. Dieser verlinkt auf den Artikel Lenovo Superfish malware opens big hole for hackers …beware anti-virus program Avast uses the same trick ! im dänischen nevermind.dk-Blog. Der Blog-Betreiber benutzt AVAST und hat sich mal die Zertifikate angesehen.
(Quelle: nevermind.dk)
Scheinbar installiert AVAST für sein Web/Mail Shield ein Root-Zertifikat, um https-Sitzungen auf Schaddaten scannen zu können. Dort ist das Zertifikat bzw. dessen Kennwortschutz wohl noch nicht öffentlich bekannt. Aber kritisch ist das ebenfalls zu sehen (die AVAST-Leute könnten alle https-Sitzungen mitlesen). Wobei: Im Firefox ist das Ganze sowieso nutzlos, da dort eigene Zertifikate zum Einsatz kommen.
Der Blog-Autor gibt daher auch eine Anleitung, wie man das Ganze deaktivieren kann (wobei dann Web/Mail Shield nicht mehr funktioniert). Ist jetzt binnen kurzer Zeit der dritte Artikel, wo mir AVAST durch – für den Anwender – nicht transparentes Verhalten aufgefallen ist. Ich weiß nicht – irgendwie bekomme ich den Eindruck, dass die ganze Sache selbst für fortgeschrittene Anwender nicht mehr beherrschbar ist. Sicherheitstechnisch sieht es so aus, als ob die IT-Technik gerade den Bach runter gespült wird. Auf nix kann man mehr vertrauen – und bisherige Annahmen “dieses oder jenes ist wohl sicher” müssen im Lichte neuer Enthüllungen anders bewertet werden. Oder wie seht ihr das Ganze?
Ähnliche Artikel:
Malware: Unerwünschte Browser-Hijacker als SW-Beifang
Reimage Plus Repair – Reparatur-Tool oder Schlangenöl?
Windows 8.1 November Rollup Update kollidiert mit AVAST
Lenovo Geräte mit Superfish-Adware verseucht
Komodia SSL-Zertifikate faktisch überall – Teil V
Bericht der Facebook-Sicherheitsleute zu Superfish
hier das passende Tool: https://www.avast.com/de-de/uninstall-utility ;-)
Man kann das Prüfen von SSL-Verbindungen beim Mail-Schutz sowie das Scannen von HTTPS-Verbindungen beim Web-Schutz in den Avast-Einstellungen deaktivieren.
Allerdings ist es nicht ganz leicht, an die richtige Stelle zu kommen, weil die Menü-Führung in den Avast-Einstellungen ziemlich konfus ist. Deshalb hier die Pfade:
1. Mail-Schutz:
Einstellungen/Aktiver Schutz/Mail-Schutz/Anpassen/SSL-Suche/SSL-Verbindungen prüfen/Häkchen entfernen
2. Web-Schutz:
Einstellungen/Aktiver Schutz/Web-Schutz/Grundeinstellungen/HTTPS-Scanning aktivieren/Häkchen entfernen
Bei meinem Free Avast 2015 lautet die Option zum Abschalten des https-scans im Webschutz etwas anders.
2. Web-Schutz:
Einstellungen/Aktiver Schutz/Web-Schutz#Anpassen
Grundeinstellungen/Vertrauenswürdige Verbindungen nicht scannen#Häkchen setzen
Allerdings wird jedoch in der zu dieser Rubrik (die offenbar online bezogen wird) die von RL genannte Funktion „HTTPS scanning aktivieren“ beschrieben. Könnte also sein, dass die Option bei mir nur ausgeblendet ist, zB weil ich die freeware nutze.
Das Avast Root-Zertifikat wird durch diese Hakelei natürlich nicht entfernt. Es ist auf der Mailschutz-SSL seite exportierbar, findet sich bei mit auch als Web/Mailshield Root sowohl in Firefox als auch MS mit 10 Jahren Laufzeit und der OU“generated avast! antivirus for SSL/TLS scanning“.
Unklar ist mir, ob/wann das Zertifikat nur lokal / mit Übermittlung an den Avast Server/vom Server zugeteilt angelegt wurde und wodurch ich dem zugestimmt habe. Eine mögliche Verknüpfung mit dem Registrierungsprozess, den Avast auch von den Freeware-Nutzern will, scheint mir wichtig zu klären.
Lustig finde ich dies:
Ich hatte sofort nach Installation jegliche für mich erkennbare Übermittlung abgeschaltet (Community aus, Bewertungsdienste aus, im Fx-WebAddon alles ausgehakt) und zur Registrierung eine Mailadresse angegeben, aber das Checkin Mail bis heute nicht bestätigt, so dass mein Konto als nicht aktiviert anzgezeigt wird. Trotzdem hat diese Mailadresse laut Avast-Startseite bereits einige hundert Karma-Punkte gesammelt.
Womit habe ich die verdient ?
Ich bin der Anletung von nevermind.dk gefolgt.
Nun verweigert mir Firefox den Seitenaufbau zu Googke sowie Startpage.
Begründung: keine Zertifikate.
Firerfox bietet mir auch keine Ausnahmelösung.
Was tun?
Du hast die Avast-Zertifikate in Firefox gelöscht, aber vermutlich das https-Scannning im Avast Web-Schutz-Modul nicht deaktiviert. Dann wird der Seitenaufbau verweigert. Wenn das https-Scanning im Web-Schutz-Modul deaktiviert wird, funktioniert der Seitenaufbau.
Ganz herzlich bedankt.
Nebenbei, das Avast- Menue ist wirklich unübersichtlich.
Aber mittlerweile habe ich das Gesuchte gefunden.