Sicherheitsrisiko: Lenovo liefert PCs mit Adware aus

Lenovo hat seit mindestens Mitte des letzten Jahres auf Notebooks die Adware Superfish Visual Discovery vorinstalliert und damit nicht nur für unerwünschte Werbung, sondern auch ein hohes Sicherheitsrisiko gesorgt. Nach schweren Vorwürfen von Nutzern und Sicherheitsforschern räumte der chinesische Hersteller diese Praxis ein und kündigte an, zunächst auf die Vorinstallation zu verzichten.

Die Gefahr entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Angriffe benutzt werden.

„Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können“, schreibt Sicherheitsexperte Graham Cluley in seiner Analyse. „Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.“ Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.

„Damit ist das System ab Werk kompromittiert und als trojanisiert zu betrachten“, stellt der Berliner Informatiker Kristian Köhntopp auf seiner Google+-Seite fest. Das Problem betrifft sowohl Microsofts Internet Explorer als auch Googles Chrome auf Windows-Systemen. Firefox ist offenbar nicht betroffen, da es einen eigenen Zertifikatsspeicher einsetzt.

Mark Hopkins, bei Lenovo als Programmmanager für Social Media zuständig, gab im Januar 2015 in einem Nutzerforum, in dem sich Käufer betroffener Notebooks über Superfish beschwerten, eine verharmlosende Beschreibung der Software ab. Die Technologie helfe „Nutzern, visuell Produkte zu finden und zu entdecken. Sie analysiert augenblicklich Bilder im Web und präsentiert identische und ähnliche Produkte, die niedrigere Preise haben könnten.“ Damit könnten die Nutzer nach Bildern suchen, ohne eine genaue Bezeichnung zu kennen oder zu wissen, wie sie Produkte in einer üblichen textbasierten Suchmaschine beschreiben sollten.

Hopkins versicherte gleichzeitig, dass Superfish nur mit den für private Verbraucher angebotenen Notebooks verteilt wurde und nicht mit den expliziten Business-Modellen – ein Hinweis darauf, dass ihm der schwerwiegende Hintergrund bewusst war. Allerdings entscheiden sich auch Geschäftskunden häufig für die kostengünstigeren Modellreihen.

Für eine Verschärfung sorgt, dass eine schlichte Deinstallation von Superfish nicht auch das damit verbundene Root-Zertifikat löscht und damit ein hohes Sicherheitsrisiko zurücklässt. Daher muss mindestens auch das von „Superfish, Inc.“ herausgegebene Zertifikat manuell entfernt werden.

Sicherheitsexperte Cluley hält sogar eine drastische Herangehensweise für angemessen, um dem eigenen Gerät wieder vollständig vertrauen zu können: „Vielleicht ist es am einfachsten, wenn Sie ihre Festplatte löschen und eine frische, nicht kompromittierte Version von Windows (oder ein anderes Betriebssystem) auf Ihrem Lenovo-Rechner installieren – anstelle von dem, das Ihnen geliefert wurde.“

Weitere Meldungen zum Thema:

• Lenovo will Tool zum Entfernen von Superfish veröffentlichen

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de