Abo
  • Services:
Anzeige
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Adware: Lenovo-Laptops durch Superfish-Adware angreifbar

Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.

Anzeige

Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat.

Produktempfehlungen auf Webseiten eingeblendet

Superfish wird wohl schon seit mehreren Monaten auf Laptops vorinstalliert. Ein entsprechender Thread im Lenovo-Forum startete bereits im September 2014. Doch bislang ist das offenbar kaum aufgefallen. Im Januar 2015 hatte ein Lenovo-Mitarbeiter im selben Thread bestätigt, dass es sich bei Superfish um ein von Lenovo vorinstalliertes Programm handle und dass man es wegen einiger Probleme, die damit auftraten, vorerst nicht mehr auf neuen Geräten installieren werde. Weiterhin habe man Superfish gebeten, mittels eines Auto-Updates Probleme auf Geräten, auf denen die Software bereits installiert ist, zu beheben.

Grundsätzlich ist die Idee von Superfish, dass das Programm Bilder auf Webseiten durchsucht und anhand von Algorithmen versucht zu erkennen, was sich darauf befindet. Auf Basis dessen werden dem Nutzer passende Shopping-Angebote als Werbebanner angezeigt. Geradezu zynisch wirkt die Beschreibung des Lenovo-Angestellten im Forum: Die Funktion diene dazu, Nutzern zu helfen, visuell Angebote für Produkte zu finden, bei denen sie Schwierigkeiten haben, sie mittels einer textbasierten Suchmaschine zu finden.

Ein Root-Zertifikat für alle Lenovo-Laptops

Besonders heikel ist, wie diese Funktionsweise implementiert wurde: Um auch HTTPS-verschlüsselte Webseiten manipulieren zu können, installiert die Software ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Für aufgerufene Webseiten wird dann live von Superfish ein neues Zertifikat generiert. Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, auch dort wird das Zertifikat von Superfish installiert.

Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden. Es dürfte wohl nur eine Frage der Zeit sein, bis der entsprechende private Schlüssel aus der Software im Netz verbreitet wird.

Websockets funktionieren nicht mehr

Neben dieser gravierenden Sicherheitslücke sorgt Superfish offenbar auch für andere technische Probleme. Wie ein Nutzer in einem anderen Forenthread bei Lenovo berichtet, funktioniert die Websockets-Funktion von Browsern nicht, wenn Superfish installiert ist.

Wer einen betroffenen Laptop besitzt, sollte die entsprechende Software umgehend entfernen. Laut Forenthreads, die man im Netz findet, ist dies wohl über die normale Windows-Deinstallationsfunktion möglich. Der laufende Prozess trägt den Namen Visual Discovery und kann über den Task-Manager beendet werden. Allerdings wird das entsprechende Root-Zertifikat dabei nicht automatisch mitentfernt. Nutzer sollten also auf jeden Fall die vorinstallierten Root-Zertifikate prüfen und das Superfish-Zertifikat entfernen.

Die Firma Superfish, die hinter der entsprechenden Software steckt, gibt es seit 2012. Laut der eigenen Webseite hat Superfish seinen Sitz in Palo Alto, Kalifornien, eine Filiale befindet sich in Israel. Die bilderbasierte Suche, die entsprechende Werbeanzeigen einblendet, ist unter dem Namen Windowsshopper auch als Browser-Addon für Firefox, Chrome und den Internet Explorer verfügbar. Windowsshopper arbeitet allerdings technisch anders: Die Werbung wird über die Addon-Funktion des Browsers eingebunden, ein Root-Zertifikat wird nicht mitinstalliert.

Bloatware-Problematik

Ganz generell wirft der Vorfall ein Schlaglicht auf eine Problematik, die man mit heutiger Hardware immer häufiger hat: Auf den vorinstallierten Betriebssystemen ist bereits eine ganze Reihe von Programmen vorinstalliert, gerne spricht man dabei von Bloatware. Eine saubere Neuinstallation ist meist nicht möglich, da beispielsweise keine Windows-Installations-CD mitgeliefert wird. Auch auf Mobiltelefonen ist das Bloatware-Problem verbreitet. Nicht selten werden etwa Android-Telefone mit so vielen vorinstallierten Programmen ausgeliefert, dass mangels Speicherplatz nur noch wenige eigene Apps installiert werden können.

Klar ist: Diese vorinstallierte Software kann Sicherheitslücken oder unerwünschte Funktionen enthalten. Der Ubuntu-Entwickler Benjamin Mako Hill sieht in derartigen vorinstallierten Funktionen ein typisches Beispiel für etwas, das er Antifeatures nennt: Funktionen, die ein System hat, die sich aber explizit gegen die Interessen des Nutzers wenden.

Nachtrag vom 19. Februar 2015, 13:05 Uhr

Inzwischen gibt es einen Onlinetest, mit dem man prüfen kann, ob der eigene Rechner das Superfish-Root-Zertifikat enthält. Hierfür wurde der private Schlüssel aus der Superfish-Software extrahiert und das dazugehörige Passwort geknackt. Die Superfish-Software selbst können Personen, die diese analysieren möchten, hier herunterladen.

Nachtrag vom 19. Februar 2015, 17:09 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben dass Firefox von Superfish nicht betroffen sei. Das hat sich als falsch herausgestellt, wir bitten diesen Fehler zu entschuldigen.


eye home zur Startseite
plutoniumsulfat 20. Feb 2015

Wenn ich die zusammenbauen lasse? Ist ein Rechner, der bei mir ankommt.

Lala Satalin... 20. Feb 2015

Kann Asus empfehlen, da ist nur sehr wenig Crapware drauf. Zumindest kann ich das bei der...

SoniX 20. Feb 2015

Hatt ich ca 1,5 Jahre im Einsatz; kann ich nicht empfehlen. Nachdem ich wieder zurück...

plutoniumsulfat 19. Feb 2015

Dafür stellt Microsoft Generic-Keys bereit.

Meh Lindi 19. Feb 2015

Zertifikat schon extrahiert: http://blog.erratasec.com/2015/02/extracting-superfish...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Leonberg
  2. Paul events GmbH, Holzgerlingen
  3. GERMANIA Fluggesellschaft mbH, Berlin-Tegel
  4. Robert Bosch GmbH, Abstatt


Anzeige
Blu-ray-Angebote
  1. 18,00€ (ohne Prime bzw. unter 29€-Einkaufswert zzgl. 3€ Versand)
  2. (u. a. Django, Elysium, The Equalizer, White House Down, Ghostbusters 2)
  3. (u. a. Der Marsianer, The Hateful 8, Interstellar, Django Unchained, London Has Fallen, Olympus Has...

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Mit digitalen Workflows Geschäftsprozesse agiler machen
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Delid Die Mate 2

    Prozessoren köpfen leichter gemacht

  2. Rückzieher

    Assange will nun doch nicht in die USA

  3. Oracle

    Critical-Patch-Update schließt 270 Sicherheitslücken

  4. Android 7.0

    Samsung verteilt Nougat-Update für S7-Modelle

  5. Forcepoint

    Carbanak nutzt Google-Dienste für Malware-Hosting

  6. Fabric

    Google kauft Twitters App-Werkzeuge mit Milliarden Nutzern

  7. D-Link

    Büro-Switch mit PoE-Passthrough - aber wenig Anschlüssen

  8. Flash und Reader

    Adobe liefert XSS-Lücke als Sicherheitsupdate

  9. GW4 und Mont-Blanc-Projekt

    In Europa entstehen zwei ARM-Supercomputer

  10. Kabelnetz

    Vodafone stellt Bayern auf 1 GBit/s um



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Glasfaser: Nun hängt die Kabel doch endlich auf!
Glasfaser
Nun hängt die Kabel doch endlich auf!
  1. Fake News Für Facebook wird es hässlich
  2. Nach Angriff auf Telekom Mit dem Strafrecht Router ins Terrorcamp schicken oder so
  3. Soziales Netzwerk Facebook wird auch Instagram kaputt machen

Western Digital Pidrive im Test: Festplatte am Raspberry Pi leicht gemacht
Western Digital Pidrive im Test
Festplatte am Raspberry Pi leicht gemacht
  1. Sopine A64 Weiterer Bastelrechner im Speicherriegel-Format erscheint
  2. Bootcode Freie Firmware für Raspberry Pi startet Linux-Kernel
  3. Raspberry Pi Compute Module 3 ist verfügbar

Autonomes Fahren: Wenn die Strecke dem Zug ein Telegramm schickt
Autonomes Fahren
Wenn die Strecke dem Zug ein Telegramm schickt
  1. Fahrgastverband "WLAN im Zug funktioniert ordentlich"
  2. Deutsche Bahn WLAN im ICE wird kostenlos
  3. Mobilfunk Telekom baut LTE an Regionalbahnstrecken aus

  1. Re: Bitte nicht mit Sandy Bridge CPUs verwenden !!

    ms (Golem.de) | 20:06

  2. Re: "Sentence Commuted" IST NICHT GLEICH PARDON

    VI | 20:05

  3. Rust?

    EQuatschBob | 20:01

  4. Mozilla und das offene Web: Erstmal EME...

    EQuatschBob | 20:00

  5. Re: Randlos rockt

    Headcool | 19:58


  1. 18:28

  2. 18:07

  3. 17:51

  4. 16:55

  5. 16:19

  6. 15:57

  7. 15:31

  8. 15:21


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel