Superfish Lenovo verkaufte Laptops mit gefährlicher Software

Kostenlose Softwarebeigaben gehen vielen Computerkäufern auf die Nerven. Dem Hersteller Lenovo wird jetzt vorgeworfen, auf Notebooks ein Programm installiert zu haben, das Werbung einblendet - und die Sicherheit gefährdet.

Lenovo-Computer (Symbolbild): Gefahr durch  Werbeeinblendungen
DPA

Lenovo-Computer (Symbolbild): Gefahr durch Werbeeinblendungen

Von


Die Software Superfish hat im Web einen miesen Ruf. Sie wird teils als Virus bezeichnet und für langsame Internetverbindungen verantwortlich gemacht. Wer sie sich eingefangen hat, will sie offenbar lieber wieder loswerden. Dutzende Anleitungen im Netz erklären, wie man die Software beseitigen kann. Und ausgerechnet dieses Programm hat Computerhersteller Lenovo zeitweilig auf einigen Notebook-Modellen vorinstalliert.

Wie sich das für den Anwender darstellt, beschreibt ein Kunde in Lenovos Anwenderforum. Demnach manipuliert Superfish Googles Suchresultate im Browser, indem es Werbung einbaut, die den Anschein erweckt, sie wäre Teil der Suchergebnisse. Das Programm platziert also bezahlte Anzeigen, wo eigentlich keine sein sollen. Genau das ist das Geschäftsmodell solcher Software, die auch als Adware bezeichnet wird.

Das an sich wäre nicht weiter problematisch, sondern nur lästig. Üblicherweise bezeichnet man derartige Software als "potenziell unerwünschtes Programm" (PUP).

Verschlüsselte Internetverbindungen unterwandert

Schwerer als die störenden Werbeeinblendungen wiegt, dass Superfish auch eine potenzielle Gefahrenquelle in das System einbaut. Die Software installiert ein sogenanntes Root-Zertifikat auf dem Rechner, mit der sie sich per HTTPS verschlüsselten Verbindungen gegenüber als vertrauenswürdig ausgeben kann. So ist das Programm in der Lage, seine Werbung auch in verschlüsselten Netzwerkverkehr einzubinden.

IT-Sicherheitsexperte Marc Rogers bezeichnet diese Vorgehensweise als klassische "Man-in-the-Middle"-Attacke. Weil das Programm sein eigenes Sicherheitszertifikat installiert, sei verschlüsselten Verbindungen auf Computern mit installiertem Superfish grundsätzlich nicht zu trauen. Und das nicht nur, weil Superfish selbst die Verbindungen abhören kann.

Vielmehr sei das Sicherheitszertifikat nur schwach geschützt. Es könne potenziell von Kriminellen missbraucht werden, um Anwendern scheinbar sichere Verbindungen, etwa zu einer Bank, vorzutäuschen. Rogers resümiert: "Würde die Software oder ein Teil ihrer Infrastruktur kompromittiert, hätte ein Angreifer vollen Zugriff auf das Onlinebanking, persönliche Daten und private Nachrichten."

Lenovo lobt Superfish

Lenovo erklärte auf Anfrage, die Software werde seit Januar 2015 nicht mehr auf den Rechnern des Unternehmens vorinstalliert. Zudem habe der Hersteller von Superfish seit diesem Zeitpunkt verhindert, dass die Software auf bereits verkauften Computern aktiviert werden könne. Überdies würde Lenovo alle Bedenken bezüglich Superfish untersuchen.

Dreimal so viel Raum wie diese Ausführungen nimmt in Lenovos Stellungnahme allerdings eine ausführliche Erklärung und Lobpreisung der Funktionen von Superfish ein. Demnach soll das Programm Anwendern helfen, "Produkte visuell zu finden und zu entdecken". Die Technologie analysiere Bilder im Internet und zeige "identische oder ähnliche Angebote an, die niedrigere Preise haben können". Eine fein gewählte Formulierung, die keinen echten Preisvorteil verspricht.

Was ist zu tun?

Betroffen sind generell nur Webbrowser, die den Zertifikatspeicher von Windows benutzen. Die wichtigsten sind Microsofts Internet Explorer und Googles Chrome. Wer nur Mozillas Firefox-Browser benutzt, kann beruhigt sein, da Firefox eine eigene Zertifikatsverwaltung einsetzt, in die Superfish nicht eingreift.

Wer wissen will, ob die Software auf seinem Computer installiert ist, kann sich über die Webseite "Can I Be Super-Phished?" Gewissheit verschaffen. Erscheint statt der Webseite eine Fehlermeldung, kann man davon ausgehen, dass man nichts zu befürchten hat.

Andernfalls sollte man sowohl die Superfish-Software als auch deren Zertifikat vom Rechner entfernen. Ein YouTube-Video zeigt, wie man dabei vorgehen soll. Außerdem lässt sich das Superfish-Zertifikat mithilfe des Zertifikatmanagers in Windows auch gezielt entfernen.

Update: Nach Veröffentlichung dieses Artikels erreichte uns eine weitere Stellungnahme von Lenovo. Demnach wurden alle serverseitigen Interaktionen auf allen Lenovo-Produkten im Januar seitens Superfish " abgeschaltet. Die Software sei auf Lenovo-Rechnern also nicht mehr aktiv. Außerdem erklärte der Konzern: "Wir werden diese Software in Zukunft nicht mehr vorinstallieren."



Forum - Diskutieren Sie über diesen Artikel
insgesamt 31 Beiträge
Alle Kommentare öffnen
Seite 1
alangasi 19.02.2015
1. Das es
so was 2015 noch gibt.... Leider ist es im PC Bereich Teil des Geschäftsmodells jeden Menge Bloatware mitzuliefern. Ein Grund mehr einen Mac zu kaufen.....
verdi49 19.02.2015
2. Werbung einblendet?
Das ist doch üblich! Was passiert, wenn ich SPON lese?
NightToOblivion 19.02.2015
3.
Dieser ganze Bloadware Misst ist heute auf allen Geräten und sollte unterbunden werden.
Gorgon 19.02.2015
4. Was ist zu tun? Mac kaufen!
Steht im Artikel. Nun ich habe mir einen iMac zugelegt und seidem kann ich über diesen ganzen Windows-Müll nur noch müde lächeln. So entspannt geht Computer, nachdem ich 16 Jahre Windows ertragen habe. Rechner, Software und Beriebssystem kommen aus einer Hand, da fummelt niemand drinn herum, so muss es sein! Der läuft und läuft und läuft!
Gabor 19.02.2015
5. Lenovo
Eine serverseitige Abschaltung Ändert NICHTS an der Bedrohung. Nachdem Lenovo die Geräte bereits geknackt ausliefert, ist es für Kriminelle ein Leichtes beispielsweise ihre Kommunikation mit der Bank abfangen. Lenovo könnte auch selektiv jene Geräte auswählen an deren Inhalten sie interesse haben und für diese die Schadsoftware reaktivieren.
Alle Kommentare öffnen
Seite 1

© SPIEGEL ONLINE 2015
Alle Rechte vorbehalten
Vervielfältigung nur mit Genehmigung der SPIEGELnet GmbH


TOP
Die Homepage wurde aktualisiert. Jetzt aufrufen.
Hinweis nicht mehr anzeigen.