Kaspersky Lab warnt Notebook-Besitzer vor Absolute Computrace
Kaspersky Lab hat einen kritischen Bericht zum Anti-Diebstahl-Tool Computrace von Absolute Software veröffentlicht. Darin wird der von mehreren Herstellern ab Werk in ihren Notebooks integrierten Software eine schwache Implementierung vorgeworfen. Dadurch könnten Angreifer vollen Zugriff auf Millionen von Computer erhalten. Laut Kaspersky Lab lasse sich das “eigentlich nützliche Sicherheitswerkzeug in eine leistungsstarke Plattform für Cyberattacken” verwandeln. Eine Stellungnahme von Absolute Software steht derzeit noch aus (Ein Update findet sich am Ende des Beitrags).
Das Problem steckt Kaspersky zufolge im Absolute Computrace Agenten, der innerhalb der Firmware oder auf dem PC ROM BIOS zahlreicher Laptops und Desktop-PCs integriert ist. Anlass, die Software näher unter die Lupe zu nehmen, war für Kaspersky Lab, das der Computrace Agent auf mehreren privaten Computern der Kaspersky-Experten sowie auf Firmenrechnern ohne vorherige Autorisierung aktiviert war.
Die russischen Sicherheitsexperten bezeichnen Computrace als “legitimes Produkt von Absolute Software”, geben jedoch zu bedenken, dass einige Anwender sich wundern, weil sie die Software weder installiert noch aktiviert oder überhaupt Kenntnis von deren Existenz auf ihrem Rechner gehabt hätten. Ab Werk findet sich das Tool zum Beispiel auf Rechnern von Acer, Asus, Dell, Fujitsu, Hewlett-Packard, Lenovo, Samsung und Toshiba. Allerdings wird es von den Herstellern nur teilweise als Sicherheitsmerkmal deutlich beworben.
Im Gegensatz zur meisten vorinstallierten Software kann Computrace nicht ohne weiteres deaktiviert oder deinstalliert werden. Laut Kaspersky ist es gar in der Lage, professionelle Systemsäuberungen und einen Festplattenwechsel zu überstehen. Das liegt an der Aufgabe der Software: Schließlich soll sie nach dem Diebstahl des Geräts helfen, sobald es wieder ans Netz geht dessen Aufenthaltsort festzustellen und je nach Konfiguration sogar dafür sorgen, dass der Rechner gesperrt oder gar gelöscht wird. Diebe sollten daher Computrace nicht einfach vom Rechner entfernen können.
“Anwender könnten bei Computrace den Eindruck erlangen, dass es sich um schädliche Software handelt, weil diese ein ähnliches Verhalten wie moderne Malware aufweist: Anti-Debugging und Anti-Reverse, automatisches Ablegen von Dateien in Systemordnern, Einrichtung einer versteckten Kommunikation, das Patchen von Systemdateien auf der Festplatte, Verschlüsseln von Konfigurationsdateien und ungewöhnliche Rechteverwaltung”, erklärt Kaspersky in einer Pressemitteilung.
Angreifer könnten möglicherweise Computer kapern, auf denen Absolute Computrace läuft und mit der Software dann Spyware platzieren. “Wir gehen davon aus, dass Absolute Computrace auf Millionen Computern läuft und zahllose Anwender nicht wissen, dass diese Software bei ihnen aktiv ist. Doch wer könnte ein Interesse daran haben, Computrace auf all diesen Rechnern zu aktivieren? Werden diese von einem unbekannten Akteur beobachtet? Dieses Rätsel muss erst noch gelöst werden”, meint Vitaly Kamluk, Leiter des Analysten-Teams bei Kaspersky Lab.
Das von Computrace Small Agent genutzte Netzwerkprotokoll bietet laut Kaspersky Lab Basisfunktionen, um Code aus der Ferne auszuführen. “Das Protokoll erfordert keinen Einsatz von Verschlüsselung oder Authentifizierung des Remote-Servers, was zahlreiche Möglichkeiten für Remote-Attacken in einer feindlichen Netzwerkumgebung bietet.” Allerdings gibt es derzeit keine Belege dafür, dass Absolute Computrace als Plattform für Attacken benutzt wird. Kaspersky spricht jedoch von “einigen alarmierenden und unerklärlichen Vorfällen von unautorisierten Computrace-Aktivierungen”, die diese Vermutung “zunehmend realistisch erscheinen” ließen.
“Derart leistungsstarke Werkzeuge wie die Software von Absolute Computrace müssen Authentifizierungs- und Verschlüsselungsmechanismen verwenden, um dem Gemeinwohl weiterhin zu nutzen. Wenn auf zahlreichen Computern Computrace Agenten laufen, liegt es in der Verantwortung des Herstellers – also hier Absolute Computrace -, die Nutzer darauf aufmerksam zu machen und zu erklären, wie sie die Software deaktivieren und entfernen können”, fordert Vitaly Kamluk. “Ansonsten werden diese verwaisten Agenten unbemerkt weiter laufen und sind potenziell für den Missbrauch per Fernsteuerung bereit.”
Die Kritik an der als Diebstahlsicherung gedachten Software ist nicht ganz neu. Bereits 2009 hat die Firma Core Security Technologies vor Gefahren der für Computrace verwendeten Technologie gewarnt und gezeigt, wie Angreifer die System-Registry modifizieren können, um die Rückmeldungen von Computrace abzufangen. Außerdem wurde die Software von Microsoft bereits einmal als “VirTool:Win32/BeeInject” bezeichnet. Die Einstufung als Malware haben Microsoft und Anbieter von Sicherheitssoftware, die sie übernommen hatten, inzwischen allerdings revidiert. Bei den meisten stehen ausführbare Dateien von Computrace aktuell auf der Whitelist – was sie als Ziel für Angreifer noch attraktiver macht.
Update, 12. Februar 16 Uhr 15: Auf Anfrage hat Absolute Software gegenüber ITespresso inzwischen mitgeteilt, dass man sich darüber wundere, dass Kaspersky Lab diese Geschichte jetzt hervorzerrt – sei das Thema doch schon vor fünf Jahren diskutiert worden. Bereits damals habe Absolute Software die Vorwürfe, eine Schwachstelle im BIOS zu sein, umfassend zurückgewiesen.
Außerdem zeigt sich Absolute Software darüber erstaunt, dass Kaspersky Lab seine Bedenken und den gesamten Untersuchungsbericht ihm nicht vor der Veröffentlichung übermittelt habe. “Das hätte Absolute erlaubt, sie [d.h. Kaspersky Lab, die Red.] mit Details zur Funktionsweise der Computrace Technologie zu versorgen, so dass sie Gelegenheit gehabt hätten, sicherzustellen, dass ihre Erkenntnisse technisch korrkt sind.” Weiter teilt der Anbieter in seiner Stellungnahme mit: “Alle wichtigen Anbieter von Antimalware-Software erkennen den Absolute Client als sichere, berechtigte Technologie die dazu beiträgt, die Sichehreit des Endgeräts zu erhöhen. Daher auch unser Status als Anbieter auf deren Whitelist.”
Tipp: Wie sicher sind Sie bei der Sicherheit? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de