Superfish: Für Adware muss Lenovo 7,3 Millionen US-Dollar zahlen

Vor drei Jahren fiel der Hardwareanbieter Lenovo durch Adware auf seinen Geräten auf, die die Sicherheitssoftware von Nutzern untergraben hatte. Jetzt zahle das Unternehmen 7,3 Millionen US-Dollar an die Teilnehmer einer Sammelklage (PDF), da diese ihre Privatsphäre aufs Spiel gesetzt haben. Das berichtet das IT-Security-Blog Hackread. Betroffen waren demnach 750.000 Laptops des Herstellers.

Stellenmarkt

1. M-net Telekommunikations GmbH, München
2. McService GmbH, München

Die infrage kommende Applikation wurde von Superfish entwickelt und ermöglichte durch schlechtes Softwaredesign einfache Man-in-the-Middle-Angriffe, auch wenn Nutzer andere Security-Software auf ihren Geräten installiert hatten.

"Während Lenovo mit den Anschuldigungen nicht übereinstimmt, sind wir erleichtert, den Fall nach 2,5 Jahren abschließen zu können. Heute sind uns keine Vorfälle bekannt, in denen eine dritte Partei die Schwachstellen ausgenutzt und Zugriff auf die Kommunikation der Nutzer erhalten hat", sagt Lenovo in einer Stellungnahme zum Fall. Das klingt danach, dass der Hersteller wohl noch immer nicht vollständig einsieht, dass er einen Fehler begangen hat. Das war bereits zum Anfang des Prozesses 2015 der Fall.

Bereits schon einmal eine Strafe gezahlt

Dabei hat das Unternehmen im Jahr 2017 schon einmal eine Strafe von 3,5 Millionen US-Dollar zahlen müssen - aus dem gleichen Grund. Zu diesem Zeitpunkt wurde auch festgelegt, dass Lenovo 20 Jahre lang strikte Auflagen erfüllen muss.

Dabei ist das chinesische Unternehmen nicht der einzige Kandidat, der unsichere Software auf Kundengeräten installiert. Auch der US-Anbieter Dell hatte ein sehr ähnliches Problem. Dort konnten Angreifer sogar recht einfach den privaten Schlüssel des Rootzertifikats von Nutzern erhalten. Der Konzern entschuldigte sich für den Vorfall und brachte später ein Update für die betroffene Software Dell Foundation Services heraus.