Abo
  • Services:
Anzeige
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Adware: Lenovo-Laptops durch Superfish-Adware angreifbar

Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.

Anzeige

Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat.

Produktempfehlungen auf Webseiten eingeblendet

Superfish wird wohl schon seit mehreren Monaten auf Laptops vorinstalliert. Ein entsprechender Thread im Lenovo-Forum startete bereits im September 2014. Doch bislang ist das offenbar kaum aufgefallen. Im Januar 2015 hatte ein Lenovo-Mitarbeiter im selben Thread bestätigt, dass es sich bei Superfish um ein von Lenovo vorinstalliertes Programm handle und dass man es wegen einiger Probleme, die damit auftraten, vorerst nicht mehr auf neuen Geräten installieren werde. Weiterhin habe man Superfish gebeten, mittels eines Auto-Updates Probleme auf Geräten, auf denen die Software bereits installiert ist, zu beheben.

Grundsätzlich ist die Idee von Superfish, dass das Programm Bilder auf Webseiten durchsucht und anhand von Algorithmen versucht zu erkennen, was sich darauf befindet. Auf Basis dessen werden dem Nutzer passende Shopping-Angebote als Werbebanner angezeigt. Geradezu zynisch wirkt die Beschreibung des Lenovo-Angestellten im Forum: Die Funktion diene dazu, Nutzern zu helfen, visuell Angebote für Produkte zu finden, bei denen sie Schwierigkeiten haben, sie mittels einer textbasierten Suchmaschine zu finden.

Ein Root-Zertifikat für alle Lenovo-Laptops

Besonders heikel ist, wie diese Funktionsweise implementiert wurde: Um auch HTTPS-verschlüsselte Webseiten manipulieren zu können, installiert die Software ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Für aufgerufene Webseiten wird dann live von Superfish ein neues Zertifikat generiert. Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, auch dort wird das Zertifikat von Superfish installiert.

Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden. Es dürfte wohl nur eine Frage der Zeit sein, bis der entsprechende private Schlüssel aus der Software im Netz verbreitet wird.

Websockets funktionieren nicht mehr

Neben dieser gravierenden Sicherheitslücke sorgt Superfish offenbar auch für andere technische Probleme. Wie ein Nutzer in einem anderen Forenthread bei Lenovo berichtet, funktioniert die Websockets-Funktion von Browsern nicht, wenn Superfish installiert ist.

Wer einen betroffenen Laptop besitzt, sollte die entsprechende Software umgehend entfernen. Laut Forenthreads, die man im Netz findet, ist dies wohl über die normale Windows-Deinstallationsfunktion möglich. Der laufende Prozess trägt den Namen Visual Discovery und kann über den Task-Manager beendet werden. Allerdings wird das entsprechende Root-Zertifikat dabei nicht automatisch mitentfernt. Nutzer sollten also auf jeden Fall die vorinstallierten Root-Zertifikate prüfen und das Superfish-Zertifikat entfernen.

Die Firma Superfish, die hinter der entsprechenden Software steckt, gibt es seit 2012. Laut der eigenen Webseite hat Superfish seinen Sitz in Palo Alto, Kalifornien, eine Filiale befindet sich in Israel. Die bilderbasierte Suche, die entsprechende Werbeanzeigen einblendet, ist unter dem Namen Windowsshopper auch als Browser-Addon für Firefox, Chrome und den Internet Explorer verfügbar. Windowsshopper arbeitet allerdings technisch anders: Die Werbung wird über die Addon-Funktion des Browsers eingebunden, ein Root-Zertifikat wird nicht mitinstalliert.

Bloatware-Problematik

Ganz generell wirft der Vorfall ein Schlaglicht auf eine Problematik, die man mit heutiger Hardware immer häufiger hat: Auf den vorinstallierten Betriebssystemen ist bereits eine ganze Reihe von Programmen vorinstalliert, gerne spricht man dabei von Bloatware. Eine saubere Neuinstallation ist meist nicht möglich, da beispielsweise keine Windows-Installations-CD mitgeliefert wird. Auch auf Mobiltelefonen ist das Bloatware-Problem verbreitet. Nicht selten werden etwa Android-Telefone mit so vielen vorinstallierten Programmen ausgeliefert, dass mangels Speicherplatz nur noch wenige eigene Apps installiert werden können.

Klar ist: Diese vorinstallierte Software kann Sicherheitslücken oder unerwünschte Funktionen enthalten. Der Ubuntu-Entwickler Benjamin Mako Hill sieht in derartigen vorinstallierten Funktionen ein typisches Beispiel für etwas, das er Antifeatures nennt: Funktionen, die ein System hat, die sich aber explizit gegen die Interessen des Nutzers wenden.

Nachtrag vom 19. Februar 2015, 13:05 Uhr

Inzwischen gibt es einen Onlinetest, mit dem man prüfen kann, ob der eigene Rechner das Superfish-Root-Zertifikat enthält. Hierfür wurde der private Schlüssel aus der Superfish-Software extrahiert und das dazugehörige Passwort geknackt. Die Superfish-Software selbst können Personen, die diese analysieren möchten, hier herunterladen.

Nachtrag vom 19. Februar 2015, 17:09 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben dass Firefox von Superfish nicht betroffen sei. Das hat sich als falsch herausgestellt, wir bitten diesen Fehler zu entschuldigen.


eye home zur Startseite
plutoniumsulfat 20. Feb 2015

Wenn ich die zusammenbauen lasse? Ist ein Rechner, der bei mir ankommt.

Lala Satalin... 20. Feb 2015

Kann Asus empfehlen, da ist nur sehr wenig Crapware drauf. Zumindest kann ich das bei der...

SoniX 20. Feb 2015

Hatt ich ca 1,5 Jahre im Einsatz; kann ich nicht empfehlen. Nachdem ich wieder zurück...

plutoniumsulfat 19. Feb 2015

Dafür stellt Microsoft Generic-Keys bereit.

Meh Lindi 19. Feb 2015

Zertifikat schon extrahiert: http://blog.erratasec.com/2015/02/extracting-superfish...



Anzeige

Stellenmarkt
  1. Robert Bosch GmbH, Stuttgart-Feuerbach
  2. Endress+Hauser Process Solutions(DE)GmbH, Freiburg
  3. Giesecke & Devrient 3S GmbH, München
  4. Optica Abrechnungszentrum Dr. Güldener GmbH, Stuttgart


Anzeige
Hardware-Angebote
  1. 1.299,00€
  2. 94,90€ statt 109,90€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Potenzialanalyse für eine effiziente DMS- und ECM-Strategie
  3. Mit digitalen Workflows Geschäftsprozesse agiler machen


  1. Summit Ridge

    Das kann AMDs CPU-Architektur Zen

  2. Sandscout

    Angriff auf Apples Sandkasten

  3. Analogue Nt mini

    Neue NES-Famicom-Konsole kostet 450 US-Dollar

  4. Ministertreffen

    Kryptische Vorschläge zur Entschlüsselung von Kommunikation

  5. Microsoft

    Outlook 2016 versteht Ünicöde nicht so richtig

  6. Urheberrecht

    Der Abmahnerabmahner

  7. Raumfahrt

    Raketenstufen als Wohnung im Weltraum

  8. F1 2016 im Test

    Balsam für die Rennfahrer-Seele

  9. Anti-Tracking-Tool

    Mozilla beteiligt sich an Burdas Browser Cliqz

  10. Displays

    120 Hz für Notebooks, weniger Rand für Smartphones und TVs



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Deus Ex Mankind Divided im Test: Der Agent aus dem Hardwarelabor
Deus Ex Mankind Divided im Test
Der Agent aus dem Hardwarelabor
  1. Summit Ridge AMDs Zen-Chip ist so schnell wie Intels 1.000-Euro-Core-i7
  2. Doom Denuvo schützt offenbar nicht mehr
  3. Deus Ex angespielt Eine Steuerung für fast jeden Agenten

Wiper Blitz 2.0 im Test: Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
Wiper Blitz 2.0 im Test
Kein spießiges Rasenmähen mehr am Samstag (Teil 2)
  1. Lockheed Martin Roboter Spider repariert Luftschiffe
  2. Kinderroboter Myon Einauge lernt, Einauge hat Körper
  3. Landwirtschaft 4.0 Swagbot hütet das Vieh

8K- und VR-Bilder in Rio 2016: Wenn Olympia zur virtuellen Realität wird
8K- und VR-Bilder in Rio 2016
Wenn Olympia zur virtuellen Realität wird
  1. 400 MBit/s Telefónica und Huawei starten erstes deutsches 4.5G-Netz
  2. Medienanstalten Analoge TV-Verbreitung bindet hohe Netzkapazitäten
  3. Mehr Programme Vodafone Kabel muss Preise für HD-Einspeisung senken

  1. Re: MS hat das Programmieren verlernt....

    blaub4r | 01:44

  2. Re: Golem als neue PC Action

    blaub4r | 01:43

  3. Re: Ich will das konservatie MS zurück

    blaub4r | 01:42

  4. der Mann macht sich nur lächerlich..

    Flexy | 01:32

  5. Re: wirkliche Innovationsideen ?

    pk_erchner | 01:23


  1. 02:45

  2. 17:30

  3. 17:15

  4. 17:04

  5. 16:55

  6. 14:52

  7. 14:26

  8. 14:00


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel