Dass Laptop-Hersteller ihre Geräte mit Bloatware ausstatten, ist hinlänglich bekannt und verärgert viele Kunden seit Jahren. Was aktuell allerdings über Lenovo ans Tageslicht kommt, hat nichts mehr mit Bloatware zu tun und bringt Nutzer betroffener Geräte in Gefahr, HTTPS auf diesen irrelevant zu machen. Anscheinend werden (manche) Lenovo-Laptops seit Mitte 2014 mit einer Adware namens Superfish ausgeliefert. Über diese Adware werden Nutzern auf Webseiten Produkte als Werbung gezeigt, die durch eine Bilderkennung auf der Webseite selbst ermittelt werden. Das ist schon ein starkes Stück, aber nur die Spitze des Eisbergs. Es kommt nämlich noch schlimmer.

Superfish installiert auch ein eigenes Zertifikat. Dadurch ist es Superfish möglich, auch sichere Verbindungen „abzuhören“. Diese Technik ist als Man-in-the-Middle-Angriff bekannt, das Zertifikat ermöglicht eine Entschlüsselung der sicheren Verbindung durch die Software. Virenscanner erkennen Superfish und empfehlen die Deinstallation. Welche Geräte von Lenovo genau betroffen sind, ist bislang unklar.

Lenovo äußerte sich bereits im Januar zu Superfish, zu dem Zeitpunkt gingen Beschwerden ein, dass die Software für ungewollte Pop-Ups sorgte. Daraufhin wurde mitgeteilt, dass die Software auf bereits ausgelieferten Geräten per Auto-Update deaktiviert würde und auf neu ausgelieferten Geräten erst wieder zum Einsatz kommt, wenn das Problem gelöst ist. Das Problem waren damals aber die Pop-Ups, nicht das Zertifikat, dass eine Überwachung von sicheren Verbindungen ermöglicht.

Betroffen sind übrigens nur Nutzer von Google Chrome und vom Internet Explorer. Mozillas Firefox nutzt ein eigenes Zertifikats-Management, schließt das Superfish-Zertifikat dadurch aus. Lenovo gibt noch den Hinweis, dass Superfish nicht aktiv werden, wenn man die Nutzungsbedingungen beim Einrichten des Computers nicht akzeptiere. Womit wir wieder beim Thema Nutzungsbedingungen wären und der Frage, ob man Nutzern das Durchlesen dieser wirklich zumuten kann.

Bisher äußerte sich Lenovo nicht zum Zertifikats-Desaster. Wer einen PC von Lenovo nutzt, sollte diesen einmal nach Superfish durchsuchen und die Adware gegebenenfalls deinstallieren. Alternativ kann auch Firefox genutzt werden, um wenigstens die sicheren Verbindungen weiterhin sicher zu halten. Leider öffnet das Zertifikat nun Angreifern Tür und Tor, wie ein Kommentator bei Hacker News anmerkt. Der private Schlüssel könnte für andere Malware missbraucht werden und HTTPS-Verbindungen (bei Nutzung von Chrome oder Internet Explorer) nutzlos machen. Alle Verbindungen könnten dann überwacht werden.

UPDATE: Lenovo hat ein Statement zu Superfish herausgegeben. Dieses findet Ihr hier.

(Quelle: The Next Web)