Lenovo will Tool zum Entfernen von Superfish veröffentlichen

Nach schwerwiegenden Vorwürfen von Sicherheitsexperten hat Lenovo angekündigt, kurzfristig ein Tool zum vollständigen Entfernen der Adware Superfish Visual Discovery bereitzustellen. Gleichzeitig sprach ein Unternehmensvertreter noch immer von „theoretischen Problemen“. Lenovo habe keine Erkenntnisse darüber, dass etwas Bösartiges geschehen sei.

Lenovos Chief Technology Officer Peter Hortensius räumte im Gespräch mit dem Wall Street Journal ein, dass Lenovo die auf seinen Notebooks vorinstallierte Adware nicht sorgfältig genug geprüft hatte. Die Software sei ausgewählt worden, um „die Shopping-Erfahrung der Nutzer zu verbessern. Die Rückmeldungen der Nutzer besagten, dass sie nicht nützlich war, und deshalb haben wir sie deaktiviert. Unsere Reputation bedeutet uns alles, und letztlich bestimmen unsere Produkte unseren Ruf.“

Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko. Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. „Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte“, schreibt er in einem Blogeintrag.

Die erste Stellungnahme des chinesischen Herstellers war dennoch so beschwichtigend formuliert, dass sie eine verheerende Resonanz auslöste. „Lenovos Reaktion auf seine gefährliche Adware ist erstaunlich ahnungslos“, urteilte Wired. Lenovo habe praktisch mit den Schultern gezuckt und darauf bestanden, dass es kein Sicherheitsproblem gibt, monierte Techdirt.

Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.

„Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen“, hieß es zunächst in Lenovos Stellungnahme. Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: „Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.“

Diese und ähnliche Sätze sind in der offiziellen Stellungnahme inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de