Adware: Lenovo-Laptops durch Superfish-Adware angreifbar
Eine Adware namens Superfish wird offenbar schon seit mehreren Monaten auf Laptops von Lenovo ausgeliefert. Diese fügt Werbung in fremde Webseiten ein und installiert dafür ein Root-Zertifikat - eine riesige Sicherheitslücke.
Diverse aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Das Programm manipuliert den Aufruf von Webseiten und fügt Werbung für Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das alleine wäre schon kritikwürdig, doch offenbar liefert die Software auch eine gefährliche Sicherheitslücke mit, die die Sicherheit von HTTPS-Verbindungen komplett aushebelt: ein in den Browsern voreingestelltes Root-Zertifikat.
Produktempfehlungen auf Webseiten eingeblendet
Superfish wird wohl schon seit mehreren Monaten auf Laptops vorinstalliert. Ein entsprechender Thread im Lenovo-Forum startete bereits im September 2014. Doch bislang ist das offenbar kaum aufgefallen. Im Januar 2015 hatte ein Lenovo-Mitarbeiter im selben Thread bestätigt, dass es sich bei Superfish um ein von Lenovo vorinstalliertes Programm handle und dass man es wegen einiger Probleme, die damit auftraten, vorerst nicht mehr auf neuen Geräten installieren werde. Weiterhin habe man Superfish gebeten, mittels eines Auto-Updates Probleme auf Geräten, auf denen die Software bereits installiert ist, zu beheben.
Grundsätzlich ist die Idee von Superfish, dass das Programm Bilder auf Webseiten durchsucht und anhand von Algorithmen versucht zu erkennen, was sich darauf befindet. Auf Basis dessen werden dem Nutzer passende Shopping-Angebote als Werbebanner angezeigt. Geradezu zynisch wirkt die Beschreibung des Lenovo-Angestellten im Forum: Die Funktion diene dazu, Nutzern zu helfen, visuell Angebote für Produkte zu finden, bei denen sie Schwierigkeiten haben, sie mittels einer textbasierten Suchmaschine zu finden.
Ein Root-Zertifikat für alle Lenovo-Laptops
Besonders heikel ist, wie diese Funktionsweise implementiert wurde: Um auch HTTPS-verschlüsselte Webseiten manipulieren zu können, installiert die Software ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Für aufgerufene Webseiten wird dann live von Superfish ein neues Zertifikat generiert. Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, auch dort wird das Zertifikat von Superfish installiert.
Wie der Chrome-Entwickler Chris Palmer auf Twitter mitteilte, ist das Root-Zertifikat auf verschiedenen betroffenen Systemen identisch. Der passende private Schlüssel ist Teil der Superfish-Software selbst. Wer diesen Schlüssel besitzt, hat also ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseitenzertifikate ausstellen kann, die von allen betroffenen Lenovo-Laptops ohne Warnung direkt akzeptiert werden. Es dürfte wohl nur eine Frage der Zeit sein, bis der entsprechende private Schlüssel aus der Software im Netz verbreitet wird.
Websockets funktionieren nicht mehr
Neben dieser gravierenden Sicherheitslücke sorgt Superfish offenbar auch für andere technische Probleme. Wie ein Nutzer in einem anderen Forenthread bei Lenovo berichtet, funktioniert die Websockets-Funktion von Browsern nicht, wenn Superfish installiert ist.
Wer einen betroffenen Laptop besitzt, sollte die entsprechende Software umgehend entfernen. Laut Forenthreads, die man im Netz findet, ist dies wohl über die normale Windows-Deinstallationsfunktion möglich. Der laufende Prozess trägt den Namen Visual Discovery und kann über den Task-Manager beendet werden. Allerdings wird das entsprechende Root-Zertifikat dabei nicht automatisch mitentfernt. Nutzer sollten also auf jeden Fall die vorinstallierten Root-Zertifikate prüfen und das Superfish-Zertifikat entfernen.
Die Firma Superfish, die hinter der entsprechenden Software steckt, gibt es seit 2012. Laut der eigenen Webseite hat Superfish seinen Sitz in Palo Alto, Kalifornien, eine Filiale befindet sich in Israel. Die bilderbasierte Suche, die entsprechende Werbeanzeigen einblendet, ist unter dem Namen Windowsshopper auch als Browser-Addon für Firefox, Chrome und den Internet Explorer verfügbar. Windowsshopper arbeitet allerdings technisch anders: Die Werbung wird über die Addon-Funktion des Browsers eingebunden, ein Root-Zertifikat wird nicht mitinstalliert.
Bloatware-Problematik
Ganz generell wirft der Vorfall ein Schlaglicht auf eine Problematik, die man mit heutiger Hardware immer häufiger hat: Auf den vorinstallierten Betriebssystemen ist bereits eine ganze Reihe von Programmen vorinstalliert, gerne spricht man dabei von Bloatware. Eine saubere Neuinstallation ist meist nicht möglich, da beispielsweise keine Windows-Installations-CD mitgeliefert wird. Auch auf Mobiltelefonen ist das Bloatware-Problem verbreitet. Nicht selten werden etwa Android-Telefone mit so vielen vorinstallierten Programmen ausgeliefert, dass mangels Speicherplatz nur noch wenige eigene Apps installiert werden können.
Klar ist: Diese vorinstallierte Software kann Sicherheitslücken oder unerwünschte Funktionen enthalten. Der Ubuntu-Entwickler Benjamin Mako Hill sieht in derartigen vorinstallierten Funktionen ein typisches Beispiel für etwas, das er Antifeatures nennt: Funktionen, die ein System hat, die sich aber explizit gegen die Interessen des Nutzers wenden.
Nachtrag vom 19. Februar 2015, 13:05 Uhr
Inzwischen gibt es einen Onlinetest, mit dem man prüfen kann, ob der eigene Rechner das Superfish-Root-Zertifikat enthält. Hierfür wurde der private Schlüssel aus der Superfish-Software extrahiert und das dazugehörige Passwort geknackt. Die Superfish-Software selbst können Personen, die diese analysieren möchten, hier herunterladen.
Nachtrag vom 19. Februar 2015, 17:09 Uhr
In der ursprünglichen Version dieses Artikels hatten wir geschrieben dass Firefox von Superfish nicht betroffen sei. Das hat sich als falsch herausgestellt, wir bitten diesen Fehler zu entschuldigen.
Wenn ich die zusammenbauen lasse? Ist ein Rechner, der bei mir ankommt.
Kann Asus empfehlen, da ist nur sehr wenig Crapware drauf. Zumindest kann ich das bei der...
Hatt ich ca 1,5 Jahre im Einsatz; kann ich nicht empfehlen. Nachdem ich wieder zurück...
Dafür stellt Microsoft Generic-Keys bereit.