Lenovo installiert Adware auf neuen Rechnern und macht sichere Verbindungen irrelevant

Dass Laptop-Hersteller ihre Geräte mit Bloatware ausstatten, ist hinlänglich bekannt und verärgert viele Kunden seit Jahren. Was aktuell allerdings über Lenovo ans Tageslicht kommt, hat nichts mehr mit Bloatware zu tun und bringt Nutzer betroffener Geräte in Gefahr, HTTPS auf diesen irrelevant zu machen. Anscheinend werden (manche) Lenovo-Laptops seit Mitte 2014 mit einer Adware namens Superfish ausgeliefert. Über diese Adware werden Nutzern auf Webseiten Produkte als Werbung gezeigt, die durch eine Bilderkennung auf der Webseite selbst ermittelt werden. Das ist schon ein starkes Stück, aber nur die Spitze des Eisbergs. Es kommt nämlich noch schlimmer.

Superfish_01

Superfish installiert auch ein eigenes Zertifikat. Dadurch ist es Superfish möglich, auch sichere Verbindungen „abzuhören“. Diese Technik ist als Man-in-the-Middle-Angriff bekannt, das Zertifikat ermöglicht eine Entschlüsselung der sicheren Verbindung durch die Software. Virenscanner erkennen Superfish und empfehlen die Deinstallation. Welche Geräte von Lenovo genau betroffen sind, ist bislang unklar.

Lenovo äußerte sich bereits im Januar zu Superfish, zu dem Zeitpunkt gingen Beschwerden ein, dass die Software für ungewollte Pop-Ups sorgte. Daraufhin wurde mitgeteilt, dass die Software auf bereits ausgelieferten Geräten per Auto-Update deaktiviert würde und auf neu ausgelieferten Geräten erst wieder zum Einsatz kommt, wenn das Problem gelöst ist. Das Problem waren damals aber die Pop-Ups, nicht das Zertifikat, dass eine Überwachung von sicheren Verbindungen ermöglicht.

Betroffen sind übrigens nur Nutzer von Google Chrome und vom Internet Explorer. Mozillas Firefox nutzt ein eigenes Zertifikats-Management, schließt das Superfish-Zertifikat dadurch aus. Lenovo gibt noch den Hinweis, dass Superfish nicht aktiv werden, wenn man die Nutzungsbedingungen beim Einrichten des Computers nicht akzeptiere. Womit wir wieder beim Thema Nutzungsbedingungen wären und der Frage, ob man Nutzern das Durchlesen dieser wirklich zumuten kann.

Bisher äußerte sich Lenovo nicht zum Zertifikats-Desaster. Wer einen PC von Lenovo nutzt, sollte diesen einmal nach Superfish durchsuchen und die Adware gegebenenfalls deinstallieren. Alternativ kann auch Firefox genutzt werden, um wenigstens die sicheren Verbindungen weiterhin sicher zu halten. Leider öffnet das Zertifikat nun Angreifern Tür und Tor, wie ein Kommentator bei Hacker News anmerkt. Der private Schlüssel könnte für andere Malware missbraucht werden und HTTPS-Verbindungen (bei Nutzung von Chrome oder Internet Explorer) nutzlos machen. Alle Verbindungen könnten dann überwacht werden.

UPDATE: Lenovo hat ein Statement zu Superfish herausgegeben. Dieses findet Ihr hier.

(Quelle: The Next Web)

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

Sascha Ostermaier

Technik-Freund und App-Fan. In den späten 70ern des letzten Jahrtausends geboren und somit viele technische Fortschritte live miterlebt. Vater der weltbesten Tochter (wie wohl jeder Vater) und Immer-Noch-Nicht-Ehemann der besten Frau der Welt. Außerdem zu finden bei Twitter (privater Account mit nicht immer sinnbehafteten Inhalten) und Instagram. PayPal-Kaffeespende an den Autor.

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

38 Kommentare

  1. Lenovo installiert ne Menge Schrott. Ich habe hier gerade ein Notebook auf dem Pokki installiert ist.
    Das Teil wieder vom Laptop herunterzubekommen ist sehr anstrengend.
    Besonders Ärgerlich ist, das beim Recovery nur 2 Optionen zur Auswahl stehen.
    Windows ohne Treiber und mit Treiber.
    Bei der 2. Option ist dann auch gleich die ganze Bloatware mit dabei.

  2. WTF? Superflat? Haben die sie noch alle bei Lenovo?

  3. Das Problem bei heutigen Laptops ist ja, dass man nichtmal mehr ne Recovery DVD oder n Produkt Key bekommt, um das Betriebssystem sauber neu zu installieren. Da ist dann eine (oder mehrere) Recovery Partition auf der Platte und von der darf man dann sein Betriebssystem zurücksetzen und sich die Bloatware wieder einfangen.
    Man muss dann bei Windows umständlich mit externen Tools den aktuellen Key seines Windows auslesen und sich bei Microsoft n passendes Iso ziehen und dann darf man erst formattieren. Macht man es vorher, steht man mit leeren Händen da und bekommt bestimmt vom Hersteller noch nicht mal Support.

    Die Hardware wird immer besser, aber die Rechte vom Kunden immer weiter beschnitten.

  4. Ich hatte mir einen günstigen Lenovo ohne Betriebssystem gekauft und mir Ubuntu draufgespielt. Es ist das erste Mal, dass ich von Windows weg bin und ich bin sehr zufrieden damit. Vielleicht ist das ja für den ein oder anderen auch eine Option?

  5. “Superflat“. Sorry, mal wieder die AutoKorrektur…

  6. Echt mies…. Ist schon schlimm genug das jede Menge sinnloser Programme mit an Bord sind die nicht zu Windows gehören

  7. Ich muss das leider bestätigen. Vor ein paar Tagen habe ich einen neuen Lenovo-Laptop eingerichtet – also: Einschalten, Windows aktivieren etc. und musste dann erst einmal in die Mittagspause. Nach einer Stunde kam ich zurück, der Laptop lief noch und war voll mit hunderten von Internet Explorer Fenstern mit Werbung inkl. Werbung für Pornoseiten. Bisher sah ich Lenovo wegen der Verarbeitungsqualität immer als erste Wahl. Aber mit dem Mist haben die bei mir echt verloren.

  8. Sascha Ostermaier says:

    @Fred Ahrens: Welches Modell war das? Auf meinem Yoga 3 Pro Testgerät (US-Version) gab es Superfish nicht (auch nach Neuinstallation des Systems nicht).

  9. @Sascha ein Y50-70 – in Deutschland gekauft.

  10. @Matthias:
    Wie bist Du genau vorgegangen? Ich würde das gerne mal für meinen HP machen. Wie findet man das passende ISO-Image? Bislang dachte ich immer es seien spezielle Herstellerversionen.

  11. Microsoft sollte endlich anfangen, seine Hardware komplett selbst zu bauen. Genau wie Apple.

  12. @Matthias
    man kann den Key auslesen und dann eine normales Image (was man gratis dln kann) installieren.

  13. Mein Kaspersky Antivirus bietet mir in den Einstellungen eine Option zur Überwachung sicherer Verbindungen an (Einstellungen > Erweitert > Netzwerk > Sichere Verbindungen untersuchen) und verwendet dabei meines Wissens auch so MITM-Spielereien mit eigenen Zertifikaten.

    Um Umkehrschluss macht das also die die gesamte SSL-Kommunikation nutzlos, da durch Malware prinzipiell die gesamte Kommunikation überwacht werden kann?!

  14. Mal ganz doof gefragt – wo genau muss ich überall suchen?

    Geprüft und ohne Befund sind bei mir:
    – unter „Programme & Features“
    – in den gespeicherten Zertifikaten
    – auf der Systempartition
    – Registry
    – zu startende Systemdienste (via msconfig)

    Irgendwas übersehen?

    LG Markus

  15. Eingeschränkt? Die User wollen das so und in ein Ultrabook passt nun mal kein Laufwerk rein. Die nächste Form sind USB Sticks.
    Also windows USB stick erstellen, von dem booten, alles formatieren, installieren, fertig.

    Kein Produktkey auf der Rückseite? Seit Windows 8 ist der „im UEFI BIOS“ gespeichert, um es mal simpel auszudrücken. Man brauch also keinen mehr eingeben.

  16. Ich frage mich ernsthaft, wie es zu sowas kommen kann – also mal ganz im Ernst. Lenovo muss wirklich denken, dass seine Kunden Trottel sind. Spätestens ab jetzt sind sie es wohl auch 🙂

  17. Ich habe hier gerade Spaß mit einem Sony Laptop um da Win7 zu installieren. Ohne Original CD von Sony ist das echter Sch***. Diese Windows Signature Edition von MS finde ich sehr interessant. Hoffe das setzt sich durch.

  18. Ich habe mir letzten Sommer einen gebrauchten ThinkPad T520 inkl. Windows 7 gegönnt. Wie kann ich überprüfen ob das Superfish drauf ist?

  19. Es ist vollkommen egal welche Hardware du kaufst und welches Betriebssystem auf dem Ding laufen soll.

    Es galten schon immer die folgendenen Regeln bei der Einrichtung eines Computers.

    1. Lösche alle Partitionen und lege dir neue Partitionen nach deine Wünschen an.
    2. Installiere das Betriebssystem deiner Wahl so schlank wie möglich.
    3. Installiere nur Software die du wirklich brauchst.

    Diese Regeln sind unumstößlich. Es ist allerdings wirklich ärgerlich, dass häufig keine Installations-Medien und Keys mehr beiliegen.

  20. Und genauso sowas ist der Grund wieso ich jeden PC erstmal komplett plätte und ein frisches Windows installiere 🙂
    Hab übrigens auch nen Lenovo-Laptop, finde das aber echt übel von Lenovo, sowas sollte man nicht machen, vor allem kosten die Dinger teils über 1000€ und dann noch so ne scheiße?

  21. @Silvio. Leider nicht einfach machbar. Es gibt keinen Windows-Datenträger. Ich muss micht dem von Lenovo vorinstallierten System leben und frage mich daher, wie ich die Adware finde und sie komplett lösche.

  22. Edit: …mit dem von Lenovo….

  23. So, gerade mal einen HP Desktop getestet – in der Registry finde ich im Schlüssel

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}

    einen Key namens DllName (Typ: REG_SZ) mit dem Wert „SuperfishIEAddon.dll;SuperfishIEAddon.dll“ (ja doppelt)

    Vielleicht ein generelleres Problem, wenn man sich das System nicht selber auf Null setzt? Die Datei selbst existiert übrigens NICHT auf dem System – ein Schläfer?

    Oder letztlich doch weit harmloser oder gar schlimmer als vermutet? denn: Ein FRISCH aufgesetzter PC (nein, keine Recovery o.ä. sondern eine echte WIN-CD – erhalten via MS-Landesrahmenvertrag für Hochschulen) hat auch diesen Registry-Key mit dem entsprechenden Schlüssel :-/

    LG Markus

  24. Großer penis says:

    Aber das Windows Ansich ist doch schon adware, darüber regt sich keiner auf,
    Klar ist das von Lenovo nicht vorteilhaft für den Ruf, aber ich werde weiterhin Lenovo empfehlen, weil ich sowieso nur Laptops empfehle die ohne OS ausgeliefert werden und rate dann zu Linux.

  25. @Markus Maier Den Eintrag habe ich auch, aber auf nem halbwegs frisch installierten normalo Desktop, also nicht von irgend einem Hersteller.
    Finde aber via total commander keine Datei die *Superfish* enthält.
    Das gute alte Autoruns von Sysinternals kann auch nichts mit Superfish. Hmm sehr komisch das Ganze

  26. Lenovo ist für mich schon vor Jahren komplett gestorben. Wenn es eine Firma nicht schafft, ein Business-Gerät im Wert von über 1.500 € innerhalb von 3 Monaten zu reparieren und am Ende sogar dem Kunden dafür noch die Schuld geben will, dann ist für mich da keine Luft mehr für weiteres Probieren. Lenovo lebt doch sowieso nur noch vom alten Ruf der ThinkPads. Und den ruinieren sie jetzt eben Stück für Stück.

  27. @Jonas
    Du kannst nur das Windows Installation Medium Creation Tool von Microsoft laden, dieses lädt dir das komplette sauber Image auf den USB Stick und so kannst du Win 8.1 neu installieren ohne Eingabe eines Produkt Keys dieser ist ja generell im UEFI Bio gespeichert

  28. Darum kaufe ich Laptops nur ohne Betriebssystem.
    Dies ist jedoch eine völlig neue Qualität und Lenovo nun für mich gestorben.
    Auch von Motorola Geräten werde ich mich nun fernhalten. Die gehören denen ja auch.
    Denn wer einmal lügt dem glaubt man nicht und wer einmal so fundamental auf die
    Kunden kackt dem kauft man nichts mehr ab, so einfach ist das!

  29. Hammer. Der Mist lässt sich aber wenigstens ohne große Zicken deinstallieren, oder?

  30. @Markus Maier: Was du dort gefunden hast ist eine Kompatibilitätsliste für IE-Extensions… und das Superfish-AddIn wird halt offiziell supportet. Im benannten Reg-Key steht sogar noch ein FWLink zu Microsoft welcher sich mit Problemen rund um das AddIn befasst: http://go.microsoft.com/fwlink/?LinkID=211979

  31. Zur Problematik Betriebssystem und Win-Key sichern von neuem Labtop. Bevor das neue Labtop zum ersten Mal gestartet wird, habe ich die eingebaute originale Festplatte im Labtop auf eine externe leere Festplatte gleicher Größe geklont. Sollte ich nun das Betriebssystem mit Win-Key neu aufsetzen müssen, spiele ich einfach den Klon von der externen Sicherungsfestplatte wieder auf die interne Festplatte vom Labtop zurück.

    Zum klonen und zurückspielen habe ich die Festplatte aus dem Labtop vorher ausgebaut und nach dem klonen eben wieder eingebaut. Somit habe ich jetzt immer eine Sicherungskopie des Betriebssystem mit dem Win-Key vom Rechner im Originalzustand. Hat sehr gut funktioniert mit einem neuen HP Probook mit Win 7 Pro und der Free Backup Software AOMEI Backupper Standard im Januar 2015.

    Das löst natürlich nicht das Problem der vom Hersteller des Labtops zusätzlich installierten Software, was bei HP auch einfach zuviel ist und nicht benötigt wird. Aber mit einem Festplattenklon in der Tasche, kann man auf dem neuem Labtop erst einmal viel rumprobieren und Unnützes deinstallieren mit der Sicherheit, den neuen Rechner jederzeit in den originalen Auslieferungszustand zurücksetzen zu können.

    Hi @Sascha Ostermaier bzw @Caschy, macht doch mal einen Artikel darüber, wie man vom neuem Labtop mit UEFI-Bios den originalen Win-Key sichert, da die neuen Labtops ja keine Key-Aufkleber mehr haben! Die beschriebenen Tools wie Windows Product Key Viewer, Magical Jelly Bean Keyfinder etc. lesen eben nur den Installations-Key vom PC-Hersteller aus, aber nicht den richtigen Product-Key zum installierten Windows auf dem jeweiligen PC. Wäre interessant gerade auch für Win 7, um mit einer legalen Win ISO aus dem Netz den PC neu aufzusetzen und zu aktivieren.

  32. @kunstheldt: Schreibfehler… Soll natürlich durchgehend Laptop im Kommentar heißen. Bitte suchen und ersetzen. 😉

  33. Also bei mir hat Superfish auch im Firefox an den Zertifikaten rumgefummelt. Siehe Screenshot: https://drive.google.com/file/d/0BwifwK9wS6X9ZEN1dWFTSGtBREk/view?usp=sharing

  34. @Jonas Adware zu entfernen ist keine Option. Es sei denn du weißt genau wo es steckt und kennst das komplette System in seiner unkompromittierten Version. Du müsstest jede Datei auf Plausibilität prüfen und Checksummen prüfen. Wer hat die Zeit? Niemand. Deswegen boomt diese Bloatware-Branche so. -> Saubere Neuinstallation geht schneller und ist sicherer.

    Auch wenn ich mich wiederhole, die drei oben von mir genannten Punkte sind Best Practice und nicht zu umgehen. Ich mache das so, seitdem man Computer mit eingebauten Festplatten und installierten Betriebssystemen kaufen kann.

    Es gibt auch immer einen Weg um an die eigene Seriennummer zu kommen. Auch passende Installationsmedien bekommt man.

    Leider muss man dafür eben Aufwand treiben. Die Verursacher gehen davon aus, dass es niemand tut.

    Einen Computer ohne OS zu kaufen kommt unterm Strich manchmal teurer, ist aber vermutlich stressfreier.

  35. @Sascha dass, statt das im ersten Wort.

    @ Fred Ahrens: geht aber los hier mit Pornos. Man kann übertreiben…

  36. Certificate hin oder her, solange as Cert lokal ist und eine Malware es auf euren Rechner schafft sich dort anzudocken, dann wärs doch eh egal, weil der Rechner eh anfällig gewesen ist und man dann kein MITM braucht sondern die Malware eh schon am Endbenutzer direkt ist um alles „abzuhören“. Was nutzt dann die beste Verschlüsselung wenn jemand einem bereits über die Schulter guckt und alles sehen kann was der User sieht oder eingibt.

  37. Wir empfehlen immer erst Mal alles platt machen und dann neu drauf. Kostet Zeit aber die Kunden haben mehr Platz auf der Platte und er wird defintiv schneller.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.