Nach schwerwiegenden Vorwürfen von Sicherheitsexperten hat Lenovo angekündigt, kurzfristig ein Tool zum vollständigen Entfernen der Adware Superfish Visual Discovery bereitzustellen. Gleichzeitig sprach ein Unternehmensvertreter noch immer von „theoretischen Problemen“. Lenovo habe keine Erkenntnisse darüber, dass etwas Bösartiges geschehen sei.
Lenovos Chief Technology Officer Peter Hortensius räumte im Gespräch mit dem Wall Street Journal ein, dass Lenovo die auf seinen Notebooks vorinstallierte Adware nicht sorgfältig genug geprüft hatte. Die Software sei ausgewählt worden, um „die Shopping-Erfahrung der Nutzer zu verbessern. Die Rückmeldungen der Nutzer besagten, dass sie nicht nützlich war, und deshalb haben wir sie deaktiviert. Unsere Reputation bedeutet uns alles, und letztlich bestimmen unsere Produkte unseren Ruf.“
Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko. Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.
Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. „Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte“, schreibt er in einem Blogeintrag.
Die erste Stellungnahme des chinesischen Herstellers war dennoch so beschwichtigend formuliert, dass sie eine verheerende Resonanz auslöste. „Lenovos Reaktion auf seine gefährliche Adware ist erstaunlich ahnungslos“, urteilte Wired. Lenovo habe praktisch mit den Schultern gezuckt und darauf bestanden, dass es kein Sicherheitsproblem gibt, monierte Techdirt.
Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.
„Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen“, hieß es zunächst in Lenovos Stellungnahme. Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: „Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.“
Diese und ähnliche Sätze sind in der offiziellen Stellungnahme inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
Neueste Kommentare
5 Kommentare zu Lenovo will Tool zum Entfernen von Superfish veröffentlichen
Kommentar hinzufügenVielen Dank für Ihren Kommentar.
Ihr Kommentar wurde gespeichert und wartet auf Moderation.
Das dem Kunden Werbung untergeschoben wird, obwohl er die betroffenen Geräte gekauft und voll bezahlt hat, das geht gar nicht.
Lenovo, der nächste Hersteller auf der nicht mehr zu empfehlen Liste. Das haben sie mal richtig vergeigt.
Wenn dein Kommentar kein Grund ist, dass gleich wieder die Neunmalklugen Namenlosen sich melden und behaupten, dass Du und ich die selbe Person sind und die Kommentare zuspielen. LOL
Oder doch nur der eine namenlose unter mehreren Namen diese Behauptung aufstellt? Mit egal :) Die sollten lieber ihre MacBooks in die stores bringen ;)
Man will Lenovo ja nicht etwas Böses unterstellen, aber wird so etwas nicht Experten in der Firma vorher geprüft?