Anzeige
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Adware: Lenovo-Laptops durch Superfish-Adware angreifbar

Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger.
Eine Software namens Superfish sorgt auf Lenovo-Laptops für Ärger. (Bild: Elma/Wikimedia Commons/CC BY 2.0)

Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.

Anzeige

Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat.

Produktempfehlungen auf Webseiten eingeblendet

Superfish wird wohl schon seit mehreren Monaten auf Laptops vorinstalliert. Ein entsprechender Thread im Lenovo-Forum startete bereits im September 2014. Doch bislang ist das offenbar kaum aufgefallen. Im Januar 2015 hatte ein Lenovo-Mitarbeiter im selben Thread bestätigt, dass es sich bei Superfish um ein von Lenovo vorinstalliertes Programm handle und dass man es wegen einiger Probleme, die damit auftraten, vorerst nicht mehr auf neuen Geräten installieren werde. Weiterhin habe man Superfish gebeten, mittels eines Auto-Updates Probleme auf Geräten, auf denen die Software bereits installiert ist, zu beheben.

Grundsätzlich ist die Idee von Superfish, dass das Programm Bilder auf Webseiten durchsucht und anhand von Algorithmen versucht zu erkennen, was sich darauf befindet. Auf Basis dessen werden dem Nutzer passende Shopping-Angebote als Werbebanner angezeigt. Geradezu zynisch wirkt die Beschreibung des Lenovo-Angestellten im Forum: Die Funktion diene dazu, Nutzern zu helfen, visuell Angebote für Produkte zu finden, bei denen sie Schwierigkeiten haben, sie mittels einer textbasierten Suchmaschine zu finden.

Ein Root-Zertifikat für alle Lenovo-Laptops

Besonders heikel ist, wie diese Funktionsweise implementiert wurde: Um auch HTTPS-verschlüsselte Webseiten manipulieren zu können, installiert die Software ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Für aufgerufene Webseiten wird dann live von Superfish ein neues Zertifikat generiert. Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, auch dort wird das Zertifikat von Superfish installiert.

Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden. Es dürfte wohl nur eine Frage der Zeit sein, bis der entsprechende private Schlüssel aus der Software im Netz verbreitet wird.

Websockets funktionieren nicht mehr

Neben dieser gravierenden Sicherheitslücke sorgt Superfish offenbar auch für andere technische Probleme. Wie ein Nutzer in einem anderen Forenthread bei Lenovo berichtet, funktioniert die Websockets-Funktion von Browsern nicht, wenn Superfish installiert ist.

Wer einen betroffenen Laptop besitzt, sollte die entsprechende Software umgehend entfernen. Laut Forenthreads, die man im Netz findet, ist dies wohl über die normale Windows-Deinstallationsfunktion möglich. Der laufende Prozess trägt den Namen Visual Discovery und kann über den Task-Manager beendet werden. Allerdings wird das entsprechende Root-Zertifikat dabei nicht automatisch mitentfernt. Nutzer sollten also auf jeden Fall die vorinstallierten Root-Zertifikate prüfen und das Superfish-Zertifikat entfernen.

Die Firma Superfish, die hinter der entsprechenden Software steckt, gibt es seit 2012. Laut der eigenen Webseite hat Superfish seinen Sitz in Palo Alto, Kalifornien, eine Filiale befindet sich in Israel. Die bilderbasierte Suche, die entsprechende Werbeanzeigen einblendet, ist unter dem Namen Windowsshopper auch als Browser-Addon für Firefox, Chrome und den Internet Explorer verfügbar. Windowsshopper arbeitet allerdings technisch anders: Die Werbung wird über die Addon-Funktion des Browsers eingebunden, ein Root-Zertifikat wird nicht mitinstalliert.

Bloatware-Problematik

Ganz generell wirft der Vorfall ein Schlaglicht auf eine Problematik, die man mit heutiger Hardware immer häufiger hat: Auf den vorinstallierten Betriebssystemen ist bereits eine ganze Reihe von Programmen vorinstalliert, gerne spricht man dabei von Bloatware. Eine saubere Neuinstallation ist meist nicht möglich, da beispielsweise keine Windows-Installations-CD mitgeliefert wird. Auch auf Mobiltelefonen ist das Bloatware-Problem verbreitet. Nicht selten werden etwa Android-Telefone mit so vielen vorinstallierten Programmen ausgeliefert, dass mangels Speicherplatz nur noch wenige eigene Apps installiert werden können.

Klar ist: Diese vorinstallierte Software kann Sicherheitslücken oder unerwünschte Funktionen enthalten. Der Ubuntu-Entwickler Benjamin Mako Hill sieht in derartigen vorinstallierten Funktionen ein typisches Beispiel für etwas, das er Antifeatures nennt: Funktionen, die ein System hat, die sich aber explizit gegen die Interessen des Nutzers wenden.

Nachtrag vom 19. Februar 2015, 13:05 Uhr

Inzwischen gibt es einen Onlinetest, mit dem man prüfen kann, ob der eigene Rechner das Superfish-Root-Zertifikat enthält. Hierfür wurde der private Schlüssel aus der Superfish-Software extrahiert und das dazugehörige Passwort geknackt. Die Superfish-Software selbst können Personen, die diese analysieren möchten, hier herunterladen.

Nachtrag vom 19. Februar 2015, 17:09 Uhr

In der ursprünglichen Version dieses Artikels hatten wir geschrieben dass Firefox von Superfish nicht betroffen sei. Das hat sich als falsch herausgestellt, wir bitten diesen Fehler zu entschuldigen.


eye home zur Startseite
plutoniumsulfat 20. Feb 2015

Wenn ich die zusammenbauen lasse? Ist ein Rechner, der bei mir ankommt.

Lala Satalin... 20. Feb 2015

Kann Asus empfehlen, da ist nur sehr wenig Crapware drauf. Zumindest kann ich das bei der...

SoniX 20. Feb 2015

Hatt ich ca 1,5 Jahre im Einsatz; kann ich nicht empfehlen. Nachdem ich wieder zurück...

plutoniumsulfat 19. Feb 2015

Dafür stellt Microsoft Generic-Keys bereit.

Meh Lindi 19. Feb 2015

Zertifikat schon extrahiert: http://blog.erratasec.com/2015/02/extracting-superfish...

Kommentieren



Anzeige

  1. GET ONE Program Management Office - Senior Quality Manager (m/w)
    Daimler AG, Stuttgart
  2. Senior Project Manager - Healthcare (m/w)
    Fresenius Netcare GmbH, Bad Homburg
  3. Solution Architect (m/w) Business Solutions Group Functions
    IKEA IT Germany GmbH, Wiesbaden (Wallau)
  4. Web-Shop Entwickler (m/w)
    Graf-Dichtungen GmbH, München-Freiham

Detailsuche



Anzeige
Blu-ray-Angebote
  1. VORBESTELLBAR: Batman v Superman: Dawn of Justice Ultimate Collector's Edition (inkl. 3D-Steelbook & Batman Figur) (exklusiv bei Amazon
    139,99€
  2. VORBESTELLBAR: BÖHSE FÜR'S LEBEN [Blu-ray]
    36,99€
  3. 3 Blu-rays für 20 EUR
    (u. a. Spaceballs, Anastasia, Bullitt, Over the top, Space Jam)

Weitere Angebote


Folgen Sie uns
       


  1. Internetwirtschaft

    Das ist so was von 2006

  2. NVM Express und U.2

    Supermicro gibt SATA- und SAS-SSDs bald auf

  3. 100 MBit/s

    Telekom bringt 10.000 Haushalten in Großstadt Vectoring

  4. Zum Weltnichtrauchertag

    BSI warnt vor Malware in E-Zigaretten

  5. Analoges Radio

    UKW-Sendeanlage bei laufendem Betrieb umgezogen

  6. Kernel

    Linux 4.7-rc1 unterstützt AMDs Polaris

  7. Fehler in Blogsystem

    200.000 Zugangsdaten von SZ-Magazin kopiert

  8. Aufräumen von Prozessen beim Logout

    Systemd-Neuerung sorgt für Nutzerkontroversen

  9. Overwatch im Test

    Superhelden ohne Sammelsucht

  10. Mobilfunk

    Wirtschaftssenatorin will 5G-Testbed in Berlin durchsetzen



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
Xiaomi Mi5 im Test: Das fast perfekte Top-Smartphone
Xiaomi Mi5 im Test
Das fast perfekte Top-Smartphone
  1. Konkurrenz zu DJI Xiaomi mit Kampfpreis für Mi-Drohne
  2. YI 4K Xiaomi greift mit 4K-Actionkamera GoPro an

Hyperloop Global Challenge: Jeder will den Rohrpostzug
Hyperloop Global Challenge
Jeder will den Rohrpostzug
  1. Hyperloop HTT will seine Rohrpostzüge aus Marvel-Material bauen
  2. Hyperloop One Der Hyperloop fährt - wenn auch nur kurz
  3. Inductrack Hyperloop schwebt ohne Strom

Doom im Test: Die beste blöde Ballerorgie
Doom im Test
Die beste blöde Ballerorgie
  1. Doom im Technik-Test Im Nightmare-Mode erzittert die Grafikkarte
  2. id Software Doom wird Vulkan unterstützen
  3. Id Software PC-Spieler müssen 45 GByte von Steam laden

  1. Re: Fehlende Recherche seitens Golem und...

    bjs | 20:06

  2. Re: Kein Splitscreen

    Flatsch | 20:06

  3. Re: Bester Egoshooter seit langem

    Muhaha | 20:05

  4. Re: Lobbyirrsinn.

    Renegard | 20:05

  5. Re: Warum wohl kann man private WoW Server machen!?

    TheUnichi | 20:02


  1. 18:53

  2. 18:47

  3. 18:38

  4. 17:41

  5. 16:36

  6. 16:29

  7. 15:57

  8. 15:15


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel