Lenovo installiert Adware auf neuen Rechnern und macht sichere Verbindungen irrelevant
Dass Laptop-Hersteller ihre Geräte mit Bloatware ausstatten, ist hinlänglich bekannt und verärgert viele Kunden seit Jahren. Was aktuell allerdings über Lenovo ans Tageslicht kommt, hat nichts mehr mit Bloatware zu tun und bringt Nutzer betroffener Geräte in Gefahr, HTTPS auf diesen irrelevant zu machen. Anscheinend werden (manche) Lenovo-Laptops seit Mitte 2014 mit einer Adware namens Superfish ausgeliefert. Über diese Adware werden Nutzern auf Webseiten Produkte als Werbung gezeigt, die durch eine Bilderkennung auf der Webseite selbst ermittelt werden. Das ist schon ein starkes Stück, aber nur die Spitze des Eisbergs. Es kommt nämlich noch schlimmer.
Superfish installiert auch ein eigenes Zertifikat. Dadurch ist es Superfish möglich, auch sichere Verbindungen „abzuhören“. Diese Technik ist als Man-in-the-Middle-Angriff bekannt, das Zertifikat ermöglicht eine Entschlüsselung der sicheren Verbindung durch die Software. Virenscanner erkennen Superfish und empfehlen die Deinstallation. Welche Geräte von Lenovo genau betroffen sind, ist bislang unklar.
Lenovo äußerte sich bereits im Januar zu Superfish, zu dem Zeitpunkt gingen Beschwerden ein, dass die Software für ungewollte Pop-Ups sorgte. Daraufhin wurde mitgeteilt, dass die Software auf bereits ausgelieferten Geräten per Auto-Update deaktiviert würde und auf neu ausgelieferten Geräten erst wieder zum Einsatz kommt, wenn das Problem gelöst ist. Das Problem waren damals aber die Pop-Ups, nicht das Zertifikat, dass eine Überwachung von sicheren Verbindungen ermöglicht.
Betroffen sind übrigens nur Nutzer von Google Chrome und vom Internet Explorer. Mozillas Firefox nutzt ein eigenes Zertifikats-Management, schließt das Superfish-Zertifikat dadurch aus. Lenovo gibt noch den Hinweis, dass Superfish nicht aktiv werden, wenn man die Nutzungsbedingungen beim Einrichten des Computers nicht akzeptiere. Womit wir wieder beim Thema Nutzungsbedingungen wären und der Frage, ob man Nutzern das Durchlesen dieser wirklich zumuten kann.
Bisher äußerte sich Lenovo nicht zum Zertifikats-Desaster. Wer einen PC von Lenovo nutzt, sollte diesen einmal nach Superfish durchsuchen und die Adware gegebenenfalls deinstallieren. Alternativ kann auch Firefox genutzt werden, um wenigstens die sicheren Verbindungen weiterhin sicher zu halten. Leider öffnet das Zertifikat nun Angreifern Tür und Tor, wie ein Kommentator bei Hacker News anmerkt. Der private Schlüssel könnte für andere Malware missbraucht werden und HTTPS-Verbindungen (bei Nutzung von Chrome oder Internet Explorer) nutzlos machen. Alle Verbindungen könnten dann überwacht werden.
UPDATE: Lenovo hat ein Statement zu Superfish herausgegeben. Dieses findet Ihr hier.
(Quelle: The Next Web)
@Silvio. Leider nicht einfach machbar. Es gibt keinen Windows-Datenträger. Ich muss micht dem von Lenovo vorinstallierten System leben und frage mich daher, wie ich die Adware finde und sie komplett lösche.
Edit: …mit dem von Lenovo….
So, gerade mal einen HP Desktop getestet – in der Registry finde ich im Schlüssel
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}
einen Key namens DllName (Typ: REG_SZ) mit dem Wert „SuperfishIEAddon.dll;SuperfishIEAddon.dll“ (ja doppelt)
Vielleicht ein generelleres Problem, wenn man sich das System nicht selber auf Null setzt? Die Datei selbst existiert übrigens NICHT auf dem System – ein Schläfer?
Oder letztlich doch weit harmloser oder gar schlimmer als vermutet? denn: Ein FRISCH aufgesetzter PC (nein, keine Recovery o.ä. sondern eine echte WIN-CD – erhalten via MS-Landesrahmenvertrag für Hochschulen) hat auch diesen Registry-Key mit dem entsprechenden Schlüssel :-/
LG Markus
Aber das Windows Ansich ist doch schon adware, darüber regt sich keiner auf,
Klar ist das von Lenovo nicht vorteilhaft für den Ruf, aber ich werde weiterhin Lenovo empfehlen, weil ich sowieso nur Laptops empfehle die ohne OS ausgeliefert werden und rate dann zu Linux.
@Markus Maier Den Eintrag habe ich auch, aber auf nem halbwegs frisch installierten normalo Desktop, also nicht von irgend einem Hersteller.
Finde aber via total commander keine Datei die *Superfish* enthält.
Das gute alte Autoruns von Sysinternals kann auch nichts mit Superfish. Hmm sehr komisch das Ganze
Lenovo ist für mich schon vor Jahren komplett gestorben. Wenn es eine Firma nicht schafft, ein Business-Gerät im Wert von über 1.500 € innerhalb von 3 Monaten zu reparieren und am Ende sogar dem Kunden dafür noch die Schuld geben will, dann ist für mich da keine Luft mehr für weiteres Probieren. Lenovo lebt doch sowieso nur noch vom alten Ruf der ThinkPads. Und den ruinieren sie jetzt eben Stück für Stück.
@Jonas
Du kannst nur das Windows Installation Medium Creation Tool von Microsoft laden, dieses lädt dir das komplette sauber Image auf den USB Stick und so kannst du Win 8.1 neu installieren ohne Eingabe eines Produkt Keys dieser ist ja generell im UEFI Bio gespeichert
Darum kaufe ich Laptops nur ohne Betriebssystem.
Dies ist jedoch eine völlig neue Qualität und Lenovo nun für mich gestorben.
Auch von Motorola Geräten werde ich mich nun fernhalten. Die gehören denen ja auch.
Denn wer einmal lügt dem glaubt man nicht und wer einmal so fundamental auf die
Kunden kackt dem kauft man nichts mehr ab, so einfach ist das!
Hammer. Der Mist lässt sich aber wenigstens ohne große Zicken deinstallieren, oder?
@Markus Maier: Was du dort gefunden hast ist eine Kompatibilitätsliste für IE-Extensions… und das Superfish-AddIn wird halt offiziell supportet. Im benannten Reg-Key steht sogar noch ein FWLink zu Microsoft welcher sich mit Problemen rund um das AddIn befasst: http://go.microsoft.com/fwlink/?LinkID=211979
Zur Problematik Betriebssystem und Win-Key sichern von neuem Labtop. Bevor das neue Labtop zum ersten Mal gestartet wird, habe ich die eingebaute originale Festplatte im Labtop auf eine externe leere Festplatte gleicher Größe geklont. Sollte ich nun das Betriebssystem mit Win-Key neu aufsetzen müssen, spiele ich einfach den Klon von der externen Sicherungsfestplatte wieder auf die interne Festplatte vom Labtop zurück.
Zum klonen und zurückspielen habe ich die Festplatte aus dem Labtop vorher ausgebaut und nach dem klonen eben wieder eingebaut. Somit habe ich jetzt immer eine Sicherungskopie des Betriebssystem mit dem Win-Key vom Rechner im Originalzustand. Hat sehr gut funktioniert mit einem neuen HP Probook mit Win 7 Pro und der Free Backup Software AOMEI Backupper Standard im Januar 2015.
Das löst natürlich nicht das Problem der vom Hersteller des Labtops zusätzlich installierten Software, was bei HP auch einfach zuviel ist und nicht benötigt wird. Aber mit einem Festplattenklon in der Tasche, kann man auf dem neuem Labtop erst einmal viel rumprobieren und Unnützes deinstallieren mit der Sicherheit, den neuen Rechner jederzeit in den originalen Auslieferungszustand zurücksetzen zu können.
Hi @Sascha Ostermaier bzw @Caschy, macht doch mal einen Artikel darüber, wie man vom neuem Labtop mit UEFI-Bios den originalen Win-Key sichert, da die neuen Labtops ja keine Key-Aufkleber mehr haben! Die beschriebenen Tools wie Windows Product Key Viewer, Magical Jelly Bean Keyfinder etc. lesen eben nur den Installations-Key vom PC-Hersteller aus, aber nicht den richtigen Product-Key zum installierten Windows auf dem jeweiligen PC. Wäre interessant gerade auch für Win 7, um mit einer legalen Win ISO aus dem Netz den PC neu aufzusetzen und zu aktivieren.
@kunstheldt: Schreibfehler… Soll natürlich durchgehend Laptop im Kommentar heißen. Bitte suchen und ersetzen. 😉
Da hat wer wohl das Passwort für den privaten Schlüssel geknackt:
http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html#.VOX7nmGG-b0
Also bei mir hat Superfish auch im Firefox an den Zertifikaten rumgefummelt. Siehe Screenshot: https://drive.google.com/file/d/0BwifwK9wS6X9ZEN1dWFTSGtBREk/view?usp=sharing
@Jonas Adware zu entfernen ist keine Option. Es sei denn du weißt genau wo es steckt und kennst das komplette System in seiner unkompromittierten Version. Du müsstest jede Datei auf Plausibilität prüfen und Checksummen prüfen. Wer hat die Zeit? Niemand. Deswegen boomt diese Bloatware-Branche so. -> Saubere Neuinstallation geht schneller und ist sicherer.
Auch wenn ich mich wiederhole, die drei oben von mir genannten Punkte sind Best Practice und nicht zu umgehen. Ich mache das so, seitdem man Computer mit eingebauten Festplatten und installierten Betriebssystemen kaufen kann.
Es gibt auch immer einen Weg um an die eigene Seriennummer zu kommen. Auch passende Installationsmedien bekommt man.
Leider muss man dafür eben Aufwand treiben. Die Verursacher gehen davon aus, dass es niemand tut.
Einen Computer ohne OS zu kaufen kommt unterm Strich manchmal teurer, ist aber vermutlich stressfreier.
@Sascha dass, statt das im ersten Wort.
@ Fred Ahrens: geht aber los hier mit Pornos. Man kann übertreiben…
Certificate hin oder her, solange as Cert lokal ist und eine Malware es auf euren Rechner schafft sich dort anzudocken, dann wärs doch eh egal, weil der Rechner eh anfällig gewesen ist und man dann kein MITM braucht sondern die Malware eh schon am Endbenutzer direkt ist um alles „abzuhören“. Was nutzt dann die beste Verschlüsselung wenn jemand einem bereits über die Schulter guckt und alles sehen kann was der User sieht oder eingibt.
Wir empfehlen immer erst Mal alles platt machen und dann neu drauf. Kostet Zeit aber die Kunden haben mehr Platz auf der Platte und er wird defintiv schneller.