Lenovo installiert Adware auf neuen Rechnern und macht sichere Verbindungen irrelevant

Dass Laptop-Hersteller ihre Geräte mit Bloatware ausstatten, ist hinlänglich bekannt und verärgert viele Kunden seit Jahren. Was aktuell allerdings über Lenovo ans Tageslicht kommt, hat nichts mehr mit Bloatware zu tun und bringt Nutzer betroffener Geräte in Gefahr, HTTPS auf diesen irrelevant zu machen. Anscheinend werden (manche) Lenovo-Laptops seit Mitte 2014 mit einer Adware namens Superfish ausgeliefert. Über diese Adware werden Nutzern auf Webseiten Produkte als Werbung gezeigt, die durch eine Bilderkennung auf der Webseite selbst ermittelt werden. Das ist schon ein starkes Stück, aber nur die Spitze des Eisbergs. Es kommt nämlich noch schlimmer.

Superfish_01

Superfish installiert auch ein eigenes Zertifikat. Dadurch ist es Superfish möglich, auch sichere Verbindungen „abzuhören“. Diese Technik ist als Man-in-the-Middle-Angriff bekannt, das Zertifikat ermöglicht eine Entschlüsselung der sicheren Verbindung durch die Software. Virenscanner erkennen Superfish und empfehlen die Deinstallation. Welche Geräte von Lenovo genau betroffen sind, ist bislang unklar.

Lenovo äußerte sich bereits im Januar zu Superfish, zu dem Zeitpunkt gingen Beschwerden ein, dass die Software für ungewollte Pop-Ups sorgte. Daraufhin wurde mitgeteilt, dass die Software auf bereits ausgelieferten Geräten per Auto-Update deaktiviert würde und auf neu ausgelieferten Geräten erst wieder zum Einsatz kommt, wenn das Problem gelöst ist. Das Problem waren damals aber die Pop-Ups, nicht das Zertifikat, dass eine Überwachung von sicheren Verbindungen ermöglicht.

Betroffen sind übrigens nur Nutzer von Google Chrome und vom Internet Explorer. Mozillas Firefox nutzt ein eigenes Zertifikats-Management, schließt das Superfish-Zertifikat dadurch aus. Lenovo gibt noch den Hinweis, dass Superfish nicht aktiv werden, wenn man die Nutzungsbedingungen beim Einrichten des Computers nicht akzeptiere. Womit wir wieder beim Thema Nutzungsbedingungen wären und der Frage, ob man Nutzern das Durchlesen dieser wirklich zumuten kann.

Bisher äußerte sich Lenovo nicht zum Zertifikats-Desaster. Wer einen PC von Lenovo nutzt, sollte diesen einmal nach Superfish durchsuchen und die Adware gegebenenfalls deinstallieren. Alternativ kann auch Firefox genutzt werden, um wenigstens die sicheren Verbindungen weiterhin sicher zu halten. Leider öffnet das Zertifikat nun Angreifern Tür und Tor, wie ein Kommentator bei Hacker News anmerkt. Der private Schlüssel könnte für andere Malware missbraucht werden und HTTPS-Verbindungen (bei Nutzung von Chrome oder Internet Explorer) nutzlos machen. Alle Verbindungen könnten dann überwacht werden.

UPDATE: Lenovo hat ein Statement zu Superfish herausgegeben. Dieses findet Ihr hier.

(Quelle: The Next Web)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Avatar-Foto

*Mitglied der Redaktion 2013 bis 2019*

Neueste Beiträge

Mit dem Absenden eines Kommentars stimmst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Lenovo installiert ne Menge Schrott. Ich habe hier gerade ein Notebook auf dem Pokki installiert ist.
    Das Teil wieder vom Laptop herunterzubekommen ist sehr anstrengend.
    Besonders Ärgerlich ist, das beim Recovery nur 2 Optionen zur Auswahl stehen.
    Windows ohne Treiber und mit Treiber.
    Bei der 2. Option ist dann auch gleich die ganze Bloatware mit dabei.

  2. WTF? Superflat? Haben die sie noch alle bei Lenovo?

  3. Das Problem bei heutigen Laptops ist ja, dass man nichtmal mehr ne Recovery DVD oder n Produkt Key bekommt, um das Betriebssystem sauber neu zu installieren. Da ist dann eine (oder mehrere) Recovery Partition auf der Platte und von der darf man dann sein Betriebssystem zurücksetzen und sich die Bloatware wieder einfangen.
    Man muss dann bei Windows umständlich mit externen Tools den aktuellen Key seines Windows auslesen und sich bei Microsoft n passendes Iso ziehen und dann darf man erst formattieren. Macht man es vorher, steht man mit leeren Händen da und bekommt bestimmt vom Hersteller noch nicht mal Support.

    Die Hardware wird immer besser, aber die Rechte vom Kunden immer weiter beschnitten.

  4. Ich hatte mir einen günstigen Lenovo ohne Betriebssystem gekauft und mir Ubuntu draufgespielt. Es ist das erste Mal, dass ich von Windows weg bin und ich bin sehr zufrieden damit. Vielleicht ist das ja für den ein oder anderen auch eine Option?

  5. “Superflat“. Sorry, mal wieder die AutoKorrektur…

  6. Echt mies…. Ist schon schlimm genug das jede Menge sinnloser Programme mit an Bord sind die nicht zu Windows gehören

  7. Ich muss das leider bestätigen. Vor ein paar Tagen habe ich einen neuen Lenovo-Laptop eingerichtet – also: Einschalten, Windows aktivieren etc. und musste dann erst einmal in die Mittagspause. Nach einer Stunde kam ich zurück, der Laptop lief noch und war voll mit hunderten von Internet Explorer Fenstern mit Werbung inkl. Werbung für Pornoseiten. Bisher sah ich Lenovo wegen der Verarbeitungsqualität immer als erste Wahl. Aber mit dem Mist haben die bei mir echt verloren.

  8. Sascha Ostermaier says:

    @Fred Ahrens: Welches Modell war das? Auf meinem Yoga 3 Pro Testgerät (US-Version) gab es Superfish nicht (auch nach Neuinstallation des Systems nicht).

  9. @Sascha ein Y50-70 – in Deutschland gekauft.

  10. @Matthias:
    Wie bist Du genau vorgegangen? Ich würde das gerne mal für meinen HP machen. Wie findet man das passende ISO-Image? Bislang dachte ich immer es seien spezielle Herstellerversionen.

  11. Microsoft sollte endlich anfangen, seine Hardware komplett selbst zu bauen. Genau wie Apple.

  12. @Matthias
    man kann den Key auslesen und dann eine normales Image (was man gratis dln kann) installieren.

  13. Mein Kaspersky Antivirus bietet mir in den Einstellungen eine Option zur Überwachung sicherer Verbindungen an (Einstellungen > Erweitert > Netzwerk > Sichere Verbindungen untersuchen) und verwendet dabei meines Wissens auch so MITM-Spielereien mit eigenen Zertifikaten.

    Um Umkehrschluss macht das also die die gesamte SSL-Kommunikation nutzlos, da durch Malware prinzipiell die gesamte Kommunikation überwacht werden kann?!

  14. Mal ganz doof gefragt – wo genau muss ich überall suchen?

    Geprüft und ohne Befund sind bei mir:
    – unter „Programme & Features“
    – in den gespeicherten Zertifikaten
    – auf der Systempartition
    – Registry
    – zu startende Systemdienste (via msconfig)

    Irgendwas übersehen?

    LG Markus

  15. Eingeschränkt? Die User wollen das so und in ein Ultrabook passt nun mal kein Laufwerk rein. Die nächste Form sind USB Sticks.
    Also windows USB stick erstellen, von dem booten, alles formatieren, installieren, fertig.

    Kein Produktkey auf der Rückseite? Seit Windows 8 ist der „im UEFI BIOS“ gespeichert, um es mal simpel auszudrücken. Man brauch also keinen mehr eingeben.

  16. Ich frage mich ernsthaft, wie es zu sowas kommen kann – also mal ganz im Ernst. Lenovo muss wirklich denken, dass seine Kunden Trottel sind. Spätestens ab jetzt sind sie es wohl auch 🙂

  17. Ich habe hier gerade Spaß mit einem Sony Laptop um da Win7 zu installieren. Ohne Original CD von Sony ist das echter Sch***. Diese Windows Signature Edition von MS finde ich sehr interessant. Hoffe das setzt sich durch.

  18. Ich habe mir letzten Sommer einen gebrauchten ThinkPad T520 inkl. Windows 7 gegönnt. Wie kann ich überprüfen ob das Superfish drauf ist?

  19. Es ist vollkommen egal welche Hardware du kaufst und welches Betriebssystem auf dem Ding laufen soll.

    Es galten schon immer die folgendenen Regeln bei der Einrichtung eines Computers.

    1. Lösche alle Partitionen und lege dir neue Partitionen nach deine Wünschen an.
    2. Installiere das Betriebssystem deiner Wahl so schlank wie möglich.
    3. Installiere nur Software die du wirklich brauchst.

    Diese Regeln sind unumstößlich. Es ist allerdings wirklich ärgerlich, dass häufig keine Installations-Medien und Keys mehr beiliegen.

  20. Und genauso sowas ist der Grund wieso ich jeden PC erstmal komplett plätte und ein frisches Windows installiere 🙂
    Hab übrigens auch nen Lenovo-Laptop, finde das aber echt übel von Lenovo, sowas sollte man nicht machen, vor allem kosten die Dinger teils über 1000€ und dann noch so ne scheiße?

Es werden alle Kommentare moderiert. Lies auch bitte unsere Kommentarregeln:

Für eine offene Diskussion behalten wir uns vor, jeden Kommentar zu löschen, der nicht direkt auf das Thema abzielt oder nur den Zweck hat, Leser oder Autoren herabzuwürdigen. Wir möchten, dass respektvoll miteinander kommuniziert wird, so als ob die Diskussion mit real anwesenden Personen geführt wird. Dies machen wir für den Großteil unserer Leser, der sachlich und konstruktiv über ein Thema sprechen möchte - gerne auch mit Humor.

Du willst nichts verpassen?

Du hast die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren.