Gratis software... of ongewenste software?

Onlangs kwam naar buiten dat de Chinese hardwareleverancier Lenovo laptops heeft verkocht met Superfish, malware die advertenties in websites injecteert, maar het systeem ook kwetsbaar maakt voor man-in-the-middle-aanvallen. De klanten van Lenovo waren bepaald niet blij, ook omdat deskundigen nadrukkelijk adviseren om het besturingssysteem volledig opnieuw te installeren om echt veilig te zijn.

Hoe werkt dit? De Superfish-software installeert een ‘self-signed’ root HTTPS-certificaat. Een self-signed certificaat is een certificaat dat getekend is door de organisatie zelf. Deze certificaten zijn niet per definitie onbetrouwbaar. In de hiërarchie van de zogenaamde Certification Authorities wordt ieder certificaat getekend door een partij op een hoger niveau. Op het hoogste niveau tekent de CA dus zelf. Dit zijn de zogenoemde root-certificaten.

In dit geval onderschept het certificaat van Superfish het versleutelde verkeer naar websites en presenteert zichzelf als het certificaat voor die website. Daardoor zal een computer een namaaksite niet herkennen en loopt de gebruiker dus gevaar.

Maar dat is nog niet alles. De sleutel van het Superfish-certificaat is gekraakt en bekend gemaakt op het web. Daardoor kan een kwaadwillende deze gebruiken voor een man-in-the-middle-aanval. Dit werkt ondanks mechanismes als ‘certificate pinning’, dat helpt bij het detecteren en blokkeren van sommige van deze aanvallen. Wanneer je na medio 2014 een Lenovo-laptop hebt gekocht, of je weet dat een van je eindklanten dit heeft gedaan, dan is het raadzaam om te checken op de installatie van Superfish.

Hoewel Lenovo door Superfish veel in het nieuws was, is het beslist niet het enige bedrijf dat klanten ‘verblijdt’ met vooraf geïnstalleerde programma’s. Dit gebeurt al jaren. We kennen allemaal de proefversies van Microsoft Office of McAfee.

Sommige van deze applicaties zijn alleen maar vervelend en nemen kostbare ruimte in op je systeem. Andere vormen een beveiligingsrisico en gebruiken stroom en bandbreedte. Ook kan deze zogenaamde bloatware op de achtergrond draaien en daardoor het systeem langzaam maken.

Af en toe proberen leveranciers een andere aanpak. Zo lanceerde Microsoft de Signature-series. Deze pc’s hadden geen voorgeïnstalleerde software. Dat kostte echter wel een extra financiële bijdrage. Overigens schaffen de meeste mensen een systeem aan bij een OEM als HP of Dell en die leveren allerlei extra (ongevraagde) applicaties bij hun producten. Dat geldt ook voor veel smartphones van grote operators. Veel klanten hebben er een enorme hekel aan. Maar leveranciers blijven deze praktijken voortzetten.

Waarom zij dat doen, is niet moeilijk te raden: geld. De softwarebedrijven betalen de hardwareproducenten voor het installeren van hun software. Omdat veel gebruikers de weg van de minste weerstand kiezen, laten ze de software staan en gebruiken ze die ook. Vaak schaffen ze de software aan als de proefperiode voorbij is. Volgens de hardwareleveranciers kunnen zij zo hun prijzen laag houden.

Vooral de minder technische eindgebruikers zijn vaak wel blij met de freebies. Het scheelt keuzes maken en je verdiepen in alternatieven. De meer ervaren gebruiker zal als eerste alle extra’s proberen te verwijderen. Dat is vaak lastiger dan je denkt. In veel gevallen blijven er restanten van de software achter in het register of op andere plekken. Het is zelfs mogelijk dat daardoor conflicten ontstaan met nieuwe software die je installeert.

Bij telefoon-apps is het zelfs niet eens altijd mogelijk om een app te verwijderen. Je kunt hem dan alleen uitzetten, waardoor deze nog wel geheugenruimte opeist. Op Android-telefoons kun je een app op een systeempartitie alleen deïnstalleren als je root-permissie hebt. De apps op de datapartitie zijn wel zelf te verwijderen. In Android 5.0 (Lollipop) heeft Google de feature ‘Play Auto Installs’ opgenomen. Die maakt het voor de gebruiker gemakkelijker om vooraf geïnstalleerde apps te verwijderen. Een OEM of operator hoeft deze overigens niet op te nemen in zijn toestellen.

Een applicatie als Superfish is te verwijderen. Het is echter wel van belang dat je ook het root-certificaat verwijdert dat voor de beveiliging zorgt. Microsoft heeft een update voor Windows Defender uitgebracht die de applicatie en het certificaat verwijdert uit Windows Certificate Manager. Je moet het certificaat dan nog wel handmatig verwijderen uit Firefox Certificate Manager. Meer hierover in dit artikel.

Bloatware blijft voorlopig nog wel een probleem. Er zal pas iets veranderen als consumenten voldoende druk weten te creëren en hardwareleveranciers zo op andere gedachten brengen. Er is wel geopperd dat partijen als Microsoft en Google de hardwareleveranciers zouden moeten verbieden om bloatware te installeren. Zij zouden dat in de licentieovereenkomst kunnen opnemen. De kans dat dat gebeurt, is echter klein. Op de korte termijn is het te hopen dat apps in ieder geval gemakkelijk te verwijderen zijn.

Als je denkt dat Superfish op je systemen is geïnstalleerd, kun je GFI LanGuard gebruiken om dat te checken.

Christof Doultremont is security expert bij Portland Europe