Superfish: Unsicheres Lenovo-Notebook-Programm ist ein "Alptraum"
Das betroffenen Lenovo Y50
Bild: Lenovo
Der Computerhersteller Lenovo hat ein besonders
aggressives Programm auf einigen seiner Rechner vorinstalliert. Die
Software namens Superfish zeigt zusätzliche Werbung beim
Internetsurfen an. Doch das ist Berichten zufolge nicht alles: Die
Software schaltet sich demnach auch zwischen sichere Verbindungen.
Beim Aufruf vermeintlich sicherer Webseiten, etwa beim
Online-Banking, kann sich Superfish einwählen, ohne dass die Nutzer
davon etwas mitbekommen. Sicherheitsexperten zeigten sich entsetzt.
Superfish Visual Discovery sei ein Alptraum, schrieb Marc Rogers, Sicherheitsfachmann bei dem Web-Dienstleister CloudFlare, auf seinem Blog. Nutzer könnten keiner vermeintlich sicheren Internetverbindung mehr trauen. Lenovo öffne Hackern Tür und Tor, schrieb Rogers. "Sie kompromittieren nicht nur SSL-verschlüsselte Verbindungen, sie tun es auch noch auf die sorgloseste, unsicherste Art, die man sich vorstellen kann."
Software sollte eigentlich nur personalisierte Werbung anzeigen
Das betroffenen Lenovo Y50
Bild: Lenovo
Die von der Firma Superfish im kalifornischen Palo Alto entwickelte
Software ist spezialisiert auf die Internetsuche per Bilderkennung. Die Software soll Bilder auf Webseiten erkennen, auf denen der Nutzer gerade surft. Aufgrund dieser gesammelten Informationen sollen dem Nutzer dann Verkaufsangebote von Online-Shops angezeigt werden, von denen die Software meint, dass sie für den Surfer relevant sein könnten.
Lenovo bestätigte zunächst nur, dass die Software auf den Nutzer zugeschnittene Werbung anzeigt. Im Januar habe Lenovo aufgehört, die Software auf neuen Modellen vorzuinstallieren, erklärte das Unternehmen. Auf bereits verkauften Rechnern werde Superfish nicht mehr aktiviert. "Lenovo geht allen neuen Bedenken hinsichtlich Superfish genau nach", erklärte das Unternehmen. Berichten in Nutzerforen zufolge sind die Lenovo-Laptops Y50 und Z40 sowie die Browser Chrome und Internet Explorer betroffen, Firefox allerdings nicht.
"Man-in-the-Middle"-Angriff verbunden mit gefälschtem Zertifikat
Marc Rogers bezeichnet die Kompromittierung als klassischen "Man-in-the-Middle"-Angriff, der üblicherweise nur von Hackern verwendet wird, um persönliche Informationen wie beispielsweise Accountdaten aus einer Internetkommunikation abzufangen. Ein hinterhältiger Bestandteil der Superfish-Software - außer ihrer Einbruchsfunktion in SSL-Verbindungen - ist der Missbrauch von Zertifikaten. Im Zertifikatsspeicher von Windows installiert die Software nämlich ein als "sicher" eingestuftes Root-Zertifikat samt privatem Schlüsel. Dieses Zertifikat ist auf allen Rechnern offensichtlich identisch.
Beim Aufruf einer Webseite generiert Superfish ein neues Zertifikat. Mit dem privaten Schlüssel können beliebige Webseiten-Zertifikate ausgestellt werden, die das Laptop ohne weitere Nachfrage als sicher akzeptiert. So kann Lenovo und so können auch Hacker bei Kenntnis dieses privaten Schlüssels dem Computer weitere Schädlinge unterschieben. Kommen Hacker an das Schlüsselpaar, können sie dieses ebenfalls dazu benutzen, um unsichere Webseiten aufzusetzen, von denen aus der Rechner des Nutzers angegriffen und infiziert wird. Laut Marc Rogers hat Lenovo ein überholtes SHA1-Zertifikat statt des heute üblichen SHA-256-Zertifikats und eine knackbare 1024-Bit-RSA-Verschlüsselung benutzt, was beides alleine schon als grobe Fahrlässigkeit einzustufen ist.
Das Perfide dabei ist: Die Superfish-Software kann der Nutzer über die Software-Deinstallationsroutine von Windows problemlos entfernen. Der Schlüssel bleibt aber im Zertifikatsspeicher von Windows gespeichert und muss manuell aufgespürt und entfernt werden. Chrome und Internet Explorer sind übrigens deswegen betroffen, weil sie den Zertifikatsspeicher von Windows mitnutzen. Mozilla Firefox verwendet seinen eigenen Zertifikatsspeicher.
Das sollten Betroffene jetzt unternehmen
Testen lässt sich die Verwundbarkeit des eigenen Lenovo-Rechners auf der Seite canibesuperphished.com [Link entfernt] . Die Seite wird nur angezeigt, wenn das Zertifikat und die Software auf dem Rechner installiert und aktiv sind. Ist der Rechner nicht in Gefahr, erscheint bei Internet Explorer der Hinweis "Es besteht ein Problem mit dem Sicherheitszertifikat der Website. Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt."
Nach der Deinstallation der Superfish-Software sollten Betroffene nach dieser Anleitung von Microsoft den Zertifikatsspeicher aufrufen und dort das Superfish-Zertifikat entfernen.
Seit der Übernahme der PC-Sparte von IBM galt Lenovo als zuverlässiger Lieferant - insbesondere für Geschäftskunden. Es bleibt abzuwarten, ob dieser Vorfall am seriösen Image des Unternehmens kratzen kann. Das Problem der Bloatware, also für den Nutzer oft sinnlos vorinstallierter Hersteller-Software, das wir auch in Bezug auf Samsung-Smartphones thematisiert haben, sollte nun auf breiter Basis diskutiert werden.