Superfish

Der Skandal um die Adware von Superfish kostet Lenovo noch einmal 7,3 Millionen Dollar. Die Software unterwanderte Sicherheitsmechanismen von Nutzern und ermöglichte Man-in-the-Middle-Angriffe. Lenovo sieht den Fehler noch immer nicht ganz ein, sei aber froh, dass die Sache geklärt sei.

Im Rahmen des besonderen elektronischen Anwaltspostfachs (BeA) forderte die Bundesrechtsanwaltskammer ihre Mitglieder dazu auf, ein Root-Zertifikat zu installieren, zu dem der private Schlüssel öffentlich ist. Ein gravierendes Sicherheitsrisiko, das die Funktion von HTTPS aushebelt.
Von Hanno Böck

Ein Treiber von Savitech installiert Root-Zertifikate in Windows, mit denen theoretisch HTTPS-Verbindungen angegriffen werden können. Genutzt wird der USB-Audiotreiber in Geräten von Asus, Dell oder auch Audio-Technica. Die Zertifikate waren für Windows XP gedacht und wurden vergessen.

Weil das Unternehmen Adware auf den Rechnern der Nutzer installiert hat, muss Lenovo eine Strafe zahlen und 20 Jahre lang ein umfangreiches Sicherheitsprogramm für vorinstallierte Software nachweisen.

Zahlreiche Sicherheitsprodukte erlauben es, mittels lokal installierter Root-Zertifikate HTTPS-Verbindungen aufzubrechen. In einer Untersuchung sorgten alle getesteten Produkte für weniger Sicherheit. In vielen Fällen gibt es katastrophale Sicherheitslücken.
Von Hanno Böck

Die Antivirensoftware von Kaspersky liest bei TLS-Verbindungen mit und sorgt nebenbei dafür, dass die Zertifikatsprüfung ausgehebelt wird. Wieder einmal konnte Tavis Ormandy von Google damit zeigen, wie löchrig sogenannte Sicherheitssoftware ist.

In der kommenden Android-Version will Google mit einer umstrittenen Maßnahme verhindern, dass verschlüsselte Daten von Angreifern mitgelesen werden. Außerdem soll das Betriebssystem vor Erpressungstrojanern schützen.
Von Hauke Gierow

Der Wunsch nach Privatsphäre ist bei vielen Nutzern groß, Privacy-Boxen sollen dabei helfen. Wir haben uns vier aktuelle Modelle angeschaut - und sind nur von einem Gerät überzeugt.
Von Hauke Gierow

Lenovos Chef kündigte zwar im Interview vor einigen Wochen an, künftig sichere Software einsetzen zu wollen - im Fall eines Programms zur Dateiübertragung funktioniert das jedoch noch nicht besonders gut.

Lenovos Chef ist kein Fan von Microsofts kostenfreiem Windows-10-Update. Dem Softwareunternehmen sei es damit nicht gelungen, den PC-Markt wiederzubeleben. Um dennoch auf diesem Markt aktiv zu bleiben, will Lenovo auf Convertibles setzen - und sichere Software programmieren.

Ein Bluetooth-Treiber für Chips der Firma CSR installiert zwei Root-Zertifikate, mit denen der Besitzer des privaten Schlüssels HTTPS-Verbindungen angreifen könnte. Offenbar handelt es sich um Testzertifikate zur Treibersignierung während der Entwicklung.

Ein auf aktuellen Dell-Laptops vorinstalliertes Root-Zertifikat ermöglicht es Angreifern, nach Belieben HTTPS-Verbindungen mitzulesen. Eine fast identische Sicherheitslücke, verursacht durch das Programm Superfish, betraf vor einigen Monaten Lenovo-Laptops.

Ein dritter Fall von fraglichem Umgang mit Nutzerdaten ist bei Lenovo bekanntgeworden. Auf Geräten der Thinkpad-, Thinkcentre- und Thinkstation-Modellreihen kann sich Lenovo-Software befinden, die seit fast einem Jahr das Nutzerverhalten beobachtet.

Nach einer kompletten Neuinstallation von Windows auf einem Lenovo-Laptop wurde zur Überraschung eines Anwenders plötzlich auch ein Lenovo-Dienst gestartet. Er vermutete eine Art Bios-Rootkit und lag damit offenbar gar nicht so falsch.

Offenbar hat Samsung ein Einsehen: Die Blockade der automatischen Windows-Updates auf den Laptops des Herstellers soll aufgehoben werden. Das Samsung-Tool SW Update verhinderte auf einigen Rechnern die automatische Aktualisierung.

Nach Superfish das nächste Debakel mit vorinstallierter Software auf Windows-Laptops: Samsung liefert auf seinen Geräten ein Tool mit, das die automatische Update-Funktion von Windows deaktiviert.

Verschiedene Antiviren-Programme enthalten Features, um verschlüsselte HTTPS-Verbindungen zu scannen. Dabei gefährden sie die Sicherheit der Verschlüsselung. Besonders drastisch: In der aktuellen Version von Kaspersky ist die Freak-Sicherheitslücke noch nicht geschlossen.

Golem.de-Wochenrückblick Sicherheitsexperten haben in dieser Woche über Adware debattiert, wir haben das schnelle USB 3.1 getestet und am 1. März soll das riesige Solarflugzeug Solar Impulse 2 zu seiner Weltumrundung starten: sieben Tage, viele Meldungen - und ein guter Überblick.

Die Software Privdog hat noch mehr Sicherheitsprobleme als bislang bekannt. Das Programm, das auch von Comodo ausgeliefert wird, schickt sämtliche Webseiten-URLs, die ein Nutzer besucht, unverschlüsselt an den Hersteller.

Die Webseiten unter der Domain Lenovo.com waren vorübergehend unter der Kontrolle der Hackergruppe Lizard Squad. Sie griff offenbar auch E-Mails ab. Es soll sich um Vergeltung für die von Lenovo eingesetzte Adware Superfish handeln.

Die Software Privdog hebelt ähnlich wie Superfish den Schutz von HTTPS komplett aus. Pikant daran: Privdog wurde von Comodo beworben, einer der größten Zertifizierungsstellen für TLS-Zertifikate.

Die SSL-Interception-Technologie von Komodia wird auch von zahlreichen anderen Programmen verwendet. Außer in der Superfish-Adware findet sie sich in Trojanern, weiterer Adware und sogar in einem Anti-Adware-Tool von Lavasoft.

In der Affäre um die Adware Superfish leugnet deren Chef nun, dass sie ein Sicherheitsrisiko darstellt. Unterdessen gibt es von Lenovo ein Tool, um das Programm zu entfernen.

Golem.de-Wochenrückblick Sieben Tage, viele Meldungen - und ein guter Überblick: Im Video-Wochenrückblick fassen wir jeden Samstag die wichtigsten Ereignisse der Woche zusammen.

Nicht nur Lenovo ist betroffen: Die Technologie von Superfish, die die Sicherheit von HTTPS-Verbindungen auf Lenovo-Laptops gefährdet, kommt auch in diversen Jugendschutzfilterprodukten zum Einsatz. Lenovo leugnete zunächst, dass es überhaupt ein Problem gibt.

Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.