Gefahr für Lenovo-Laptops durch vorinstallierte Adware

Lenovo liefert neue Laptops mit der Adware Superfish Visual Discovery aus. Die blendet nicht nur lästige Anzeigen ein, sondern macht das System auch anfällig für gefährliche Man-in-the-Middle-Angriffe.

In Pocket speichern vorlesen Druckansicht 410 Kommentare lesen
Lenovo

(Bild: dpa, Weng Lei)

Lesezeit: 3 Min.

Besitzer von Lenovo-Laptops wundern sich derzeit über Werbeeinblendungen von Dritt-Anbietern in der Google-Suche. Dafür soll die vorinstallierte Adware Superfish Visual Discovery in Kombination mit dem Internet Explorer und Chrome verantwortlich sein, wie Betroffene im Lenovo-Forum schildern. Zudem berichten Nutzer von Problemen mit der Websocket-Funktion von Webbrowsern.

Doch Superfish ist nicht nur lästig, sondern auch gefährlich. Der Hersteller der Adware verankert sich als vertrauenswürdiger Zertifikatsherausgeber im System. Damit kann sich Superfish als beliebiger HTTPS-Server ausgeben. Doch es kommt noch schlimmer: Weil der geheime Schlüssel des CA-Zertifikats Bestandteil des Adware-Moduls ist, könnten sich Angreifer diesen durch Reverse-Engineering beschaffen. Als Konsequenz wären somit etwa auch Cyber-Gangs in der Lage, sich gegenüber Lenovo-Besitzern mit einer beliebigen Identität auszuweisen – denn deren System vertraut ja dem Superfish-Root-Zertifikat.

So wären Man-in-the-Middle-Angriffe vorstellbar, bei denen sich etwa eine gefälschte Internetseite einer Bank als vertrauenswürdig ausweist. Superfish installiert die eigene CA im Windows-Zertifikats-Speicher, den der Internet Explorer und Chrome verwenden. Da Firefox eine eigene Zertifikat-Infrastruktur nutzt, sollte der Browser nicht davon betroffen sein.

Ein Administrator im Lenovo-Forum verkündete bereits Ende Januar dieses Jahres, dass sie Superfish temporär von in den Verkauf gehenden Laptops entfernen wollen. Dabei verweist er zudem auf den Software-Anbieter, der die Werbe-Pop-ups künftig per Auto-Update unterbinden soll. Letztlich spricht er der Adware sogar einen Nutzen zu. Dabei hebt er den Ansatz von Superfish Visual Discovery positiv hervor, Produktbilder auf besuchten Internetseiten zu analysieren und im Nachgang passende Werbung einzublenden.

Viele Antivirenprogramme sollen die Adware erkennen, doch laut Nutzerberichten sei eine komplette De-Installation nicht ohne weiteres möglich. Demzufolge soll sich danach immer noch das Root-Zertifikat auf dem Computer befinden. Im laufenden Betrieb stoppt man die Werbeeinblendungen durch die Beendigung des Prozesses Visual Discovery im Task-Manager. Foreneinträgen zufolge wurden bereits Mitte vergangenen Jahres erste Fälle von Lenovo-Nutzern gemeldet.

[Update 19.02.15 20:30 Uhr]

Lenovo hat sich mittlerweile zum Vorfall geäußert und versichert, dass Superfish auf entsprechenden Laptops seit Januar dieses Jahres nicht mehr aktiv ist. Betroffen seien zudem ausschließlich Geräte, die zwischen Oktober und Dezember vergangenen Jahres verkauft wurden. Außerdem teilt der Hersteller mit, dass sie die Software schon seit Anfang des Jahres nicht mehr vorab auf Computern installieren. Auch in Zukunft will man Laptops nicht mehr mit Superfish ausstatten. In dem Foreneintrag weisen sie aber auch ausdrücklich darauf hin, dass das Root-Zertifikat selbst nach der De-Installation von Superfish noch im System verankert ist. Mit dem Superfish-CA-Test können Sie überprüfen, ob sich das Root-Zertifikat auf Ihrem System eingeschlichen hat. (des)