Wie schon befürchtet wurde, hat jetzt der Sicherheitsforscher Robert Graham den Schlüssel des Root-Zertifikats geknackt, das sich durchdie vorinstallierte Adware Superfish auf vielen Laptops der Firma Lenovo eingenistet hat.
Jetzt sind alle Türen für Angreifer offen – selbst verschlüsselte Verbindungen sind davon betroffen, denn der Sicherheitsforscher hat präzise dokumentiert, wie er den geheimen Schlüssel des Zertifikats aus der Adware Superfish extrahiert hat.
Mit diesen Informationen könnte sich jeder den Superfish-Schlüssel selbst ziehen und ihn zum Beispiel dafür nutzen, sich beliebige andere Zertifikate auszustellen, denen die Browser der betroffenen Lenovo-Geräte dann voll vertrauen.
So kann sich die kriminelle Gegenseite beispielsweise bei einer Internetverbindung als Online-Banking-Seite ausgeben und die Bankdaten des Benutzers ausspionieren.
Wer vorsichtshalber überprüfen möchte, ob das Root-Zertifikat auch auf seinem Gerät gelandet ist, kann dazu den Superfish-CA-Test nutzen. Als gefährdete Browser gelten Microsofts Internet Explorer und Googles Chrome, aber auch Mozillas Firefox soll nach aktuellen Berichten im Internet empfänglich für das Zertifikat sein.
