Abo
  • Services:
Anzeige
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Adware: Lenovo-Laptops durch Superfish-Adware angreifbar

Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.

Anzeige

Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat.

Produktempfehlungen auf Webseiten eingeblendet

Superfish wird wohl schon seit mehreren Monaten auf Laptops vorinstalliert. Ein entsprechender Thread im Lenovo-Forum startete bereits im September 2014. Doch bislang ist das offenbar kaum aufgefallen. Im Januar 2015 hatte ein Lenovo-Mitarbeiter im selben Thread bestätigt, dass es sich bei Superfish um ein von Lenovo vorinstalliertes Programm handle und dass man es wegen einiger Probleme, die damit auftraten, vorerst nicht mehr auf neuen Geräten installieren werde. Weiterhin habe man Superfish gebeten, mittels eines Auto-Updates Probleme auf Geräten, auf denen die Software bereits installiert ist, zu beheben.

Grundsätzlich ist die Idee von Superfish, dass das Programm Bilder auf Webseiten durchsucht und anhand von Algorithmen versucht zu erkennen, was sich darauf befindet. Auf Basis dessen werden dem Nutzer passende Shopping-Angebote als Werbebanner angezeigt. Geradezu zynisch wirkt die Beschreibung des Lenovo-Angestellten im Forum: Die Funktion diene dazu, Nutzern zu helfen, visuell Angebote für Produkte zu finden, bei denen sie Schwierigkeiten haben, sie mittels einer textbasierten Suchmaschine zu finden.

Ein Root-Zertifikat für alle Lenovo-Laptops

Besonders heikel ist, wie diese Funktionsweise implementiert wurde: Um auch HTTPS-verschlüsselte Webseiten manipulieren zu können, installiert die Software ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Für aufgerufene Webseiten wird dann live von Superfish ein neues Zertifikat generiert. Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, auch dort wird das Zertifikat von Superfish installiert.

Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden. Es dürfte wohl nur eine Frage der Zeit sein, bis der entsprechende private Schlüssel aus der Software im Netz verbreitet wird.

Websockets funktionieren nicht mehr

Neben dieser gravierenden Sicherheitslücke sorgt Superfish offenbar auch für andere technische Probleme. Wie ein Nutzer in einem anderen Forenthread bei Lenovo berichtet, funktioniert die Websockets-Funktion von Browsern nicht, wenn Superfish installiert ist.

Wer einen betroffenen Laptop besitzt, sollte die entsprechende Software umgehend entfernen. Laut Forenthreads, die man im Netz findet, ist dies wohl über die normale Windows-Deinstallationsfunktion möglich. Der laufende Prozess trägt den Namen Visual Discovery und kann über den Task-Manager beendet werden. Allerdings wird das entsprechende Root-Zertifikat dabei nicht automatisch mitentfernt. Nutzer sollten also auf jeden Fall die vorinstallierten Root-Zertifikate prüfen und das Superfish-Zertifikat entfernen.

Die Firma Superfish, die hinter der entsprechenden Software steckt, gibt es seit 2012. Laut der eigenen Webseite hat Superfish seinen Sitz in Palo Alto, Kalifornien, eine Filiale befindet sich in Israel. Die bilderbasierte Suche, die entsprechende Werbeanzeigen einblendet, ist unter dem Namen Windowsshopper auch als Browser-Addon für Firefox, Chrome und den Internet Explorer verfügbar. Windowsshopper arbeitet allerdings technisch anders: Die Werbung wird über die Addon-Funktion des Browsers eingebunden, ein Root-Zertifikat wird nicht mitinstalliert.

Bloatware-Problematik

Ganz generell wirft der Vorfall ein Schlaglicht auf eine Problematik, die man mit heutiger Hardware immer häufiger hat: Auf den vorinstallierten Betriebssystemen ist bereits eine ganze Reihe von Programmen vorinstalliert, gerne spricht man dabei von Bloatware. Eine saubere Neuinstallation ist meist nicht möglich, da beispielsweise keine Windows-Installations-CD mitgeliefert wird. Auch auf Mobiltelefonen ist das Bloatware-Problem verbreitet. Nicht selten werden etwa Android-Telefone mit so vielen vorinstallierten Programmen ausgeliefert, dass mangels Speicherplatz nur noch wenige eigene Apps installiert werden können.

Klar ist: Diese vorinstallierte Software kann Sicherheitslücken oder unerwünschte Funktionen enthalten. Der Ubuntu-Entwickler Benjamin Mako Hill sieht in derartigen vorinstallierten Funktionen ein typisches Beispiel für etwas, das er Antifeatures nennt: Funktionen, die ein System hat, die sich aber explizit gegen die Interessen des Nutzers wenden.

Nachtrag vom 19. Februar 2015, 13:05 Uhr

Inzwischen gibt es einen Onlinetest, mit dem man prüfen kann, ob der eigene Rechner das Superfish-Root-Zertifikat enthält. Hierfür wurde der private Schlüssel aus der Superfish-Software extrahiert und das dazugehörige Passwort geknackt. Die Superfish-Software selbst können Personen, die diese analysieren möchten, hier herunterladen.

Nachtrag vom 19. Februar 2015, 17:09 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben dass Firefox von Superfish nicht betroffen sei. Das hat sich als falsch herausgestellt, wir bitten diesen Fehler zu entschuldigen.


eye home zur Startseite
plutoniumsulfat 20. Feb 2015

Wenn ich die zusammenbauen lasse? Ist ein Rechner, der bei mir ankommt.

Lala Satalin... 20. Feb 2015

Kann Asus empfehlen, da ist nur sehr wenig Crapware drauf. Zumindest kann ich das bei der...

SoniX 20. Feb 2015

Hatt ich ca 1,5 Jahre im Einsatz; kann ich nicht empfehlen. Nachdem ich wieder zurück...

plutoniumsulfat 19. Feb 2015

Dafür stellt Microsoft Generic-Keys bereit.

Meh Lindi 19. Feb 2015

Zertifikat schon extrahiert: http://blog.erratasec.com/2015/02/extracting-superfish...



Anzeige

Stellenmarkt
  1. Teledyne LeCroy GmbH, Heidelberg
  2. andavis GmbH, Nürnberg
  3. [bu:st] GmbH, München
  4. Robert Bosch GmbH, Stuttgart-Feuerbach


Anzeige
Hardware-Angebote
  1. (Core i5-6600K + Geforce GTX 1070 OC)

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Sicherheitskonzeption für das App-getriebene Geschäft
  2. Mehr dazu im aktuellen Whitepaper von Bitdefender
  3. Globale SAP-Anwendungsunterstützung durch Outsourcing


  1. Industrie- und Handelskammern

    1&1 Versatel bekommt Großauftrag für Glasfaser

  2. Chakracore

    Javascript-Engine von Edge-Browser läuft auf OS X und Linux

  3. Kinderroboter Myon

    Einauge lernt, Einauge hat Körper

  4. Passwort Manager

    Lastpass behebt kritische Lücke

  5. Fest angestellt

    Wie viele Informatiker es in Deutschland gibt

  6. Nytro XM1440

    Seagate kündigt M.2-SSD mit 2 TByte an

  7. Pix

    So stellt sich Microsoft Research die bessere Kamera-App vor

  8. Nach Missbrauchsvorwürfen

    Die große Abrechnung mit Jacob Appelbaum

  9. VR-Headset

    Fove Inc verpasst dem Fove ein neues Aussehen

  10. John Legere

    T-Mobile sieht eigenes Mobilfunknetz von Google und Facebook



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Digitalisierung: Darf ich am Sabbat mit meinem Lautsprecher reden?
Digitalisierung
Darf ich am Sabbat mit meinem Lautsprecher reden?
  1. Smart City Der Bürger gestaltet mit
  2. Internetwirtschaft Das ist so was von 2006
  3. Das Internet der Menschen "Industrie 4.0 verbannt Menschen nicht aus Werkhallen"

Geforce GTX 1060 im Test: Knapper Konter
Geforce GTX 1060 im Test
Knapper Konter
  1. Quadro P6000/P5000 Nvidia kündigt Profi-Karten mit GP102-Vollausbau an
  2. Grafikkarte Nvidia bringt neue Titan X mit GP102-Chip für 1200 US-Dollar
  3. Notebooks Nvidia bringt Pascal-Grafikchips für Mobile im August

Schrott im Netz: Wie Social Bots das Internet gefährden
Schrott im Netz
Wie Social Bots das Internet gefährden
  1. Hardware und Software Facebook legt 360-Grad-Kamera offen
  2. Olympische Spiele Firmen dürfen #Rio2016 im sozialen Netz nicht verwenden
  3. Social Media Ein Netzwerk wie ein Glücksspielautomat

  1. Re: Aus welchem Jahr stammt der Akku?

    PiranhA | 12:22

  2. Eine wirklich gute Camera-App müsste...

    GaliMali | 12:22

  3. Re: Was will uns der Artikel sagen?

    Schattenwerk | 12:20

  4. Re: Jailbreak sinnvoll?

    No name089 | 12:15

  5. Re: Völlig unwichtig - 14 km/h weniger hätten...

    der_wahre_hannes | 12:15


  1. 12:37

  2. 12:29

  3. 12:00

  4. 11:38

  5. 11:23

  6. 10:54

  7. 10:48

  8. 10:07


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel