Lenovo steckt gefährliche Adware in seine Laptops – Seite 1

Verschiedene aktuelle Laptops des Herstellers Lenovo werden mit einer vorinstallierten Software namens Superfish Visual Discovery ausgeliefert. Das Programm manipuliert Websites, die der Nutzer aufruft und fügt dort anhand eines Algorithmus Werbebanner ein, die den Nutzer auf Verkaufsangebote weiterleiten. Das alleine dürfte vielen Nutzern schon nicht gefallen. Noch gravierender ist, dass die Software eine riesige Sicherheitslücke mit sich bringt, die dazu führt, dass der komplette Schutz von verschlüsselten HTTPS-Verbindungen ausgehebelt wird.

Berichte über Superfish reichen schon einige Monate zurück, doch dass es sich dabei um ein großes Sicherheitsproblem handelt, war bislang offenbar niemandem aufgefallen. In einem Forum von Lenovo findet sich ein Thread vom September 2014, in dem sich ein Nutzer über Superfish beklagt. Erst im Januar antwortete darauf ein Lenovo-Mitarbeiter und bestätigte, dass Superfish von Lenovo auf Consumer-Geräten vorinstalliert wurde. Aufgrund von Problemen, unter anderem mit störenden Werbe-Pop-ups, habe man sich entschlossen, vorerst neue Geräte ohne Superfish auszuliefern. Für Geräte, die bereits ausgeliefert wurden, soll es ein automatisches Update von Superfish geben.

Grundsätzlich versucht Superfish, den Inhalt von Bildern auf Websites zu erkennen. Dazu werden dann passende Verkaufsangebote von verschiedenen Onlineshops eingeblendet. Laut Aussage des Lenovo-Mitarbeiters im Forum sei das für den Nutzer sogar ein toller Service: Sie könnten damit Kaufangebote erhalten, bei denen sie Schwierigkeiten hätten, diese über eine textbasierte Suchmaschine zu finden. Bedenken seien unbegründet, Superfish achte die Privatsphäre der Nutzer und erstelle keine Profile. Die Betroffenen zeigen sich allerdings alles andere als begeistert von Superfish.

Pikant ist, wie die Funktionalität des Programms Superfish implementiert wurde. Viele Websites werden heutzutage verschlüsselt über HTTPS ausgeliefert. Damit Superfish auch in diese seine Werbung einbinden kann, installiert das Programm ein sogenanntes Root-Zertifikat im Betriebssystem Windows. Mithilfe dieses Zertifikats kann Superfish dem Nutzer für verschlüsselte Websites wiederum eigene, gefälschte Zertifikate unterschieben.

Superfish-Zertifikat untergräbt Sicherheit von HTTPS

Das Problem dabei: Solche gefälschten Zertifikate kann nicht nur Superfish ausstellen, sondern jeder, der den entsprechenden Schlüssel aus der Software extrahiert. Sicherheitsexperten befürchten, dass genau das bald passieren wird.

Damit ist praktisch der gesamte Schutz, den die HTTPS-Verschlüsselung bietet, ausgehebelt. Denn die Zertifikate haben eigentlich nur einen Zweck: zu zeigen, dass hinter der Website zum Beispiel einer Bank wirklich die Bank steckt. Kriminelle aber, die in der Lage sind, gefälschte Zertifikate auszustellen, können den Nutzern der Lenovo-Laptops mittels einer sogenannten Man-in-the-Middle-Attacke manipulierte Onlinebanking-Websites unterschieben, aber auch Passwörter mitlesen und vieles mehr. Dazu müssen sie sich allerdings im selben Netzwerk befinden, zum Beispiel in einem Café oder am Flughafen, oder den Datenverkehr des Opfers unterwegs kontrollieren können, etwa bei einem Internetprovider.

Nutzer können die Superfish-Software zwar deinstallieren, allerdings bleibt das entsprechende Root-Zertifikat dann trotzdem im System gespeichert. Sprich: Auch wer Superfish entfernt, bleibt unverändert angreifbar. Um sich zu schützen, muss man das Superfish-Zertifikat manuell in der Zertifikatsverwaltung von Windows entfernen. Eine entsprechende Anleitung findet sich hier.

Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, in den das Superfish-Zertifikat ebenfalls installiert wird, dort muss es auch entfernt werden.

Ddie Thinkpads von Lenovo sind aber auch deshalb so beliebt, weil sich viele Modelle sehr gut mit Linux-Betriebssystemen vertragen. Ein alternativer, allerdings vergleichsweise radikaler Weg, Superfish zu stoppen, ist deshalb der Wechsel von Windows zu Linux.

Absehbarer Imageverlust für Lenovo

Die Software Superfish wurde von einer gleichnamigen Firma entwickelt, die ihren Sitz in Palo Alto in Kalifornien hat. Das Magazin Forbes listet Superfish gar als eine der vielversprechendsten Firmen in den Vereinigten Staaten. Die Einbindung von Werbebannern ist unter dem Namen WindowsShopper auch als Browser-Plug-in für Firefox, Chrome und den Internet Explorer verfügbar. Dort wird sie allerdings technisch anders umgesetzt, das gefährliche Root-Zertifikat wird dabei nicht installiert.

Für Lenovo dürfte der Vorfall einen erheblichen Imageverlust bedeuten. Lenovo gilt gerade unter IT-Experten als beliebte Marke, viele professionelle Anwender besitzen einen Thinkpad-Laptop der chinesischen Firma. Lenovo hatte die PC-Marke Thinkpad 2005 von IBM übernommen und produziert seitdem unter diesem Label Laptops und Tablets.

Bloatware ist vor allem auf Smartphones ein verbreitetes Ärgernis

Superfish ist sicher ein Extremfall, aber vorinstallierte Programme auf PCs, Laptops und auch Smartphones sind häufig ein Ärgernis für Anwender. Viele Testprogramme und unerwünschte Features sind standardmäßig aktiviert. Was der Nutzer nicht möchte, muss er erst umständlich deinstallieren. Auf Smartphones lassen sich vorinstallierte Programme häufig überhaupt nicht entfernen. Für die Hardwarehersteller ist das ein Geschäft: Sie lassen sich von den Softwareherstellern dafür bezahlen, dass sie deren Software vorinstallieren.

Solche unerwünschten Programme werden umgangssprachlich als Bloatware bezeichnet. Der Linux-Entwickler Benjamin Mako Hill hat für derartige Funktionen den Begriff Antifeatures geprägt: Funktionalität, die ein Nutzer nicht möchte und die er nicht einfach abschalten kann.

Update: Wer testen will, ob sein Lenovo-Modell betroffen ist, kann diesen Link anklicken: https://www.canibesuperphished.com/ Öffnet sich die Seite ohne Fehlermeldung, ist der Rechner wegen Superfish verwundbar.

Update 2: In der ursprünglichen Version dieses Artikels hatten wir behauptet, Firefox sei von Superfish nicht betroffen. Das hat sich als falsch herausgestellt, wir bitten den Fehler zu entschuldigen.