Das Hersteller ihre eigenen Geräte mit vorinstallierter Bloatware (manche sagen auch „Crapware“) vollmüllen, ist ärgerlich genug. Die Vorwürfe, die nun gegen den chinesischen OEM Lenovo erhoben werden, haben aber nochmal eine ganz andere Dimension.
Lenovo hatte zugegebeben, ab Mitte 2014 auf manchen Geräten eine neue AdWare namens Superfish vorinstalliert zu haben. Superfish untersucht Bilder auf besuchten Webseite, um dazu passende Werbungen einzublenden. Das ist schon schlimm genug – die wenigsten User würden eine solche AdWare als nützlichen Service empfinden.
Noch problematischer ist die Tatsache, dass Superfish dabei offenbar nicht einmal vor gesicherten SSL (Https) Verbindungen halt macht. Stattdessen soll sich die Software uneingeschränkte Root Rechte sichern und selbst die nötigen Sicherheitszertifikate ausstellen, wenn eine gesicherte Verbindung verlangt wird. Das ist auch als „Man-in-the-Middle“ Attack bekannt, die Grenze zwischen AdWare und Malware – also Schadsoftware – scheint damit deutlich überschritten. Tatsächlich soll Spyfish auch von vielen Virenscannern als solche erkannt werden.
https://twitter.com/kennwhite/status/568270748638318593
Es gibt keine Hinweise darauf, dass Superfish selbst private Userdaten zu irgendwelchen schädlichen Zwecken – abgesehen von Werbeeinblendungen – ausliest. Sicherheitsexperten warnen aber davor, dass Dritte die Software als Einfallstor nutzen könnten, um sichere Datenverbindungen auszuhebeln. Angeblich soll Superfish auf allen Geräten den selben Sicherheitsschlüssel für sein root Zertifikat verwenden. Einmal geknackt, könnten sich Hacker also selbst Zertifikate für schädliche Webseiten oder Software ausstellen, die von Tausenden von Lenovo Geräten als vertrauenswürdig eingestuft werden.
Gefährdet sind vor allem Nutzer des Internet Explorers oder von Google’s Chrome Browser. Firefox soll sicherer sein, weil der Mozilla Browser ein eigenen Zertifikate-Management besitzt, welches das Superfish Zertifikat ausschließt.
Geschäftskunden müssen sich keine Sorgen machen, laut Lenovo war die Superfish Software nur auf (einigen) Consumer Produkten vorinstalliert. Die beliebte ThinkPad Serie von Lenovo dürfte damit ebenfalls nicht betroffen sein. Wenn man außerdem beim Einrichten des Computers die Nutzungsbestimmungen nicht akzeptiert hat, soll Superfish nicht aktiviert worden sein.
Auf den betroffenen Geräten kann die Superfish Software ganz normal über die Systemsteuerung deinstalliert werden, das problematische Root Zertifikat muss aber manuell entfernt werden.
Mittlerweile hat sich Lenovo zu den Vorwürfen geäußert und gesagt, dass Superfish seit Januar 2015 nicht mehr auf neuen Geräten vorinstalliert werde und auf bestehenden Geräten durch ein Update deaktiviert wurde. Alle Vorwürfe und Bedenken im Zusammenhang mit Superfish eingehend untersuche.
Auch wenn Superfish noch keinen Schaden angerichtet haben sollte, dürfte der Vertrauensverlust nicht so schnell zu beheben sein. Wirklich schade, ist Lenovo doch eigentlich einer der interessantesten und innovativsten Hersteller von Windows Geräten.
Quelle: TheVerge, Caschy’s Blog
Wer folgenden Link im Browser mit einem betroffenen Lenovo-System aufruft und _keine_ Zertifikatswarnung erhält, sollte das Superfish CA Zertifikat mit certmgr.msc entfernen: https://www.canibesuperphished.com/