Lenovo installierte System-Software per Windows-Rootkit

Lenovo hat eine wie ein Rootkit funktionierende Windows-Sicherheitsfunktion benutzt, um eine unerwünschte eigene System-Software auf seinen Computern zu installieren. Selbst nach einer Neuinstallation des Betriebssystems mit einer Windows-DVD war der chinesische Computerhersteller so in der Lage, seine Software ohne Wissen und Zustimmung des Nutzers nachträglich einzuspielen.

In Internetforen berichten Nutzer schon seit Mai über das Problem, das an die von Lenovo früher verwendete Adware Superfish erinnert. Demnach nutzt Lenovo einen Rootkit-artigen Installer namens Lenovo Service Engine (LSE), der Teil des BIOS ist und eine wichtige Windows-System-Datei mit einer eigenen Version überschreibt. Sie erlaubt den Download beliebiger Dateien, sobald sich ein Gerät mit dem Internet verbindet.

Anschließend installiert sie zusätzliche Programme, die unter anderem Treiber, Firmware und andere ab Werk vorhandene Apps aktualisieren. Die Engine schickt nach Angaben des Unternehmens aber auch anonyme Systemdaten an Lenovo-Server. Ende Juli räumte Lenovo zudem ein, dass die Service Engine ein Sicherheitsrisiko darstellt.

In einem am 31. Juli veröffentlichten Sicherheitsbulletin warnt Lenovo, dass Hacker die Software benutzen könnten, um Schadsoftware einzuschleusen. Betroffenen Nutzern steht ein Sicherheitsupdate zur Verfügung, dass die Engine vollständig entfernt. Allerdings muss dieser Patch manuell installiert werden.

Die Lenovo Service Engine findet sich unter anderem auf vielen Computern der Modellreichen Yoga und Flex mit Windows 7, 8 und 8.1. Business-Rechner wie die PCs der Marke „Think“ hat Lenovo indes nicht mit der Software ausgestattet. Eine vollständige Liste aller anfälligen Modelle hat Lenovo auf seiner Website veröffentlicht.

Während viele Hersteller ihre Computer mit Software ausliefern, die Nutzer als unnütz oder unerwünscht einstufen, stellt von Lenovo verwendete Bloat- oder Crapware nun schon zum zweiten Mal auch ein ernstes Sicherheitsrisiko dar. Im Februar 2015 war bekannt geworden, dass Lenovo über einen Zeitraum von mehreren Monaten die Adware Superfish Visual Discovery auf seinen Notebooks vorinstallierte. Sie blendete nicht nur unerwünschte Werbung ein, ein selbstsigniertes Root-Zertifikat erlaubte der Software auch, per HTTPS verschlüsselten Datenverkehr zu entschlüsseln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen war, konnte es auch für bösartige Angriffe benutzt werden.

[mit Material von Zack Whittaker, ZDNet.com]