Lenovo Statement zur vorinstallierten Superfish-Adware
Heute Morgen berichteten wir über Superfish, einer Adware, die bei manchen Lenovo-Laptops vorinstalliert ist und dank eigenem Zertifikat auch HTTPS-Verbindungen „abhören“ kann. Den Artikel dazu findet Ihr hier. Nun erreichte uns ein Statement von Lenovo, welches wir Euch natürlich nicht vorenthalten wollen. Viel Neues geht aus diesem aber auch nicht hervor. Im Statement (unten in voller Länge) heißt es, dass seit Anfang 2015 nicht mehr auf Rechnern vorinstalliert ist und seit diesem Zeitpunkt auch keine Aktivierung von Superfish bei bereits auf dem Markt befindlichen Geräten stattfindet. Lenovo untersucht zudem alle Bedenken, die Superfish aufwirft.
Auch eine Erklärung, wie Superfish arbeitet, liefert Lenovo mit. Wie bereits im ursprünglichen Artikel erwähnt, untersucht die Software Bilder auf besuchten Webseiten, um direkt passende Werbung anzuzeigen. Dabei weiß Superfish aber nicht, wie ein Produkt heißt, oder wie man es textbasiert suchen würde. Auch trackt Superfish den Nutzer nicht, lernt also nicht vom Surfverhalten des Nutzers und speichert keinerlei Informationen. Es werden grundsätzlich nur die Bilder analysiert, um ähnliche Bilder (über Werbung) anzuzeigen. Texteingaben werden nicht gespeichert, außerdem ist jede Superfish-Session unabhängig.
Während diese Erklärung zwar etwas beruhigend ist, gibt es dennoch das Problem, dass mit dem Superfish-Zertifikat (beziehungsweise dessen Private Key) Angreifern eine Möglichkeit geboten wird, sichere Verbindungen abzuhören. Immerhin müssen sich Firmen, die Businees-Laptops von Lenovo einsetzen, keine großen Sorgen machen, Superfish wurde „nur“ bei Consumer-Produkten eingesetzt.
Hier das Statement von Lenovo im Wortlaut:
Superfish was previously included on some consumer notebook products shipped in a short window between October and December to help customers potentially discover interesting products while shopping. However, user feedback was not positive, and we responded quickly and decisively:
1) Superfish has completely disabled server side interactions (since January) on all Lenovo products so that the product is no longer active. This disables Superfish for all products in market.
2) Lenovo stopped preloading the software in January.
3) We will not preload this software in the future.
We have thoroughly investigated this technology and do not find any evidence to substantiate security concerns. But we know that users reacted to this issue with concern, and so we have taken direct action to stop shipping any products with this software. We will continue to review what we do and how we do it in order to ensure we put our user needs, experience and priorities first.
To be clear, Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted. Every session is independent. Users are given a choice whether or not to use the product. The relationship with Superfish is not financially significant; our goal was to enhance the experience for users. We recognize that the software did not meet that goal and have acted quickly and decisively.
We are providing support on our forums for any user with concerns. Our goal is to find technologies that best serve users. In this case, we have responded quickly to negative feedback, and taken decisive actions to ensure that we address these concerns. If users still wish to take further action, detail information is available at http://forums.lenovo.com.
Sobald es weitere Neuigkeiten gibt, werden wir Euch selbstverständlich darüber informieren.
Wird geladen ...
Ich mag die Lenovo-Notebooks. Aber wann folgt ein Hersteller endlich mal dem Willen der Nutzer und liefert seine Geräte einfach mal ohne Bloatware, Crapware etc.pp. aus ??? Oder gibt es wirklich DAU´s die sich über den Kram freuen oder für die es sogar ein Kaufgrund wäre ?!?! (Kann ja eigentlich nicht sein, da man keine Chance hat vorher zu erfahren was für Crap auf den Kisten ist).
Musste letztens auch schon wieder ein Vaio von Crapware befreien, da hatte eine uralte Norton-Version das Gerät über Jahre hinweg langsam in den Scheintot versetzt… und das bei einer Userin die außer Firefox und Office echt nix anderes gemacht hat mit dem Gerät !!! Eigentlich sollte man die Hersteller für so´n Schrott und unnötigen Aufwand mal zur Rechenschaft ziehen.
@Martin: Vielleicht ist Bloatware kein Kaufgrund, aber ich kenne genügend Nutzer, die sich eben nciht so gut auskennen und die vorinstallierten Programme oder Webseitenverknüpfungen tatsächlich nutzen. Ein eBay-Icon auf dem Desktop ist halt schneller geklickt als erst den Browser zu öffnen und dann eine Seite einzugeben. Genauso verhält es sich mit diversen Antiviren-Programmen. Ist da, wird genutzt. Für „uns“ schwer vorstellbar, aber so läuft es bei der Masse nunmal. Und das wird dann in der Tat auch als positiv von diesen Nutzern empfunden.
Bloatware ist weder dafür da usern das leben schwerer oder leichter zu machen. Es ist nur zum geldverdienen da. Für jeden Mist den der Hersteller draufpakt bekommt er Geld vom Anbieter. Dadurch wird teilweise der Laptop günstger.
Ich bin als IT-Techniker täglich mit solchen Geräten konfrontiert. Es ist aber leider so das viele Kunden diese „scheiße“ will. Habe immer mal wieder Kunden die sich beschweren wenn Sie nach einem Virus befall oder HDD Crash ne schöne Clean Installation bekommen ohne den ganzen Werbekram. Nach nem Tag kommen dann die Anrufen das und das Program fehlt (also wir sprechen nicht von Office, PDF Reader usw. sondern wirklich Bloatware, Crapware etc.pp) unglaublich….
Superfish macht aber doch sicherlich mehr als nur „Werbung“ anzeigen? Mir sind im letzten Jahr mehrere Fälle untergekommen wo im IE, und später dann in Chrome, sämtliche Suchergebnisse und Downloadlinks zu oft installierten Programmen ausgetauscht waren. Selbst die Eingabe der URL zum echten Chromedownload lieferte nicht den gewünschten Download.
Und das quasi sofort mit dem ersten Start des Notebooks – von Lenovo, oh Wunder – nach dem Kauf.
Ohne diese „Beigaben“ wären die Rechner eindeutig teuer. Ich bevorzuge auch durch Werbung subventionierte Rechner. Ich kann diese Programme ja löschen bzw. teilweise gar nicht erst aktivieren.
Dann halt gleich deinstallieren.
Verstehe ich das also richtig: Lenovo installiert ein Rootkit, dass alle Bilder im Browser einsammelt und mit einer großer Zahl Bilder abgleicht um mir dann Werbung mit den in den Bildern erschienenen Produkten anzuzeigen?! Und die haben die Chuzpe zu schreiben, dass ihr Rootkit Produkte anzeigt wenn der User interessiert ist – aber ohne das Verhalten zu beobachten?! Wie bitte stellt man denn Interesse fest ohne das Verhalten des Users zu beobachten…
Da hat jemand offensichtlich bis zur Schulter ins Klo gegriffen und versucht sich jetzt rauszureden…
Eine Software eines US-Unternehmens mit Verbindungen nach Israel die über einen automatischen Update-Mechanismus verfügt und ein nicht individuelles root-Zertifikat installiert das es erlaubt unbemerkt vom Durchschnittsanwender beliebige verschlüsselte Verbindungen zu intercepten.
Da knallen bei jedem Nachrichtendienst die Sektkorken.
@stefan „Und die haben die Chuzpe zu schreiben, dass ihr Rootkit Produkte anzeigt wenn der User interessiert ist – aber ohne das Verhalten zu beobachten?! Wie bitte stellt man denn Interesse fest ohne das Verhalten des Users zu beobachten…“ <- Indem sie nur die aktuellen Bilder der Website "untersuchen", aber nicht das Surfverhalten des Users mit einbeziehen.
@Passo Was sie meinen ist, dass sie da nichts speichern. Aber mir ist es ehrlich gesagt egal, ob ein Spanner nur durch mein Schlafzimmerfenster reinguckt oder auch noch Fotos macht. Ich will beides nicht.
Und auch der Hinweis, dass es sich ja „nur“ um die Bilder handelt ist eine absolute Frechheit von Lenovo. Es ist scheißegal welchen Art Inhalt sie da auspionieren – ich will das nicht.
Mal abgesehen von dem Problem, dass ihr Rootkit wohl auch noch ein Scheunentor zu meinem Rechner für alle möglichen anderen Angreifer ist.
In Lenovos Stellungnahme findet sich auch noch der Hinweis, dass sie den Dienst Serverseitig abgeschaltet haben – soll das jetzt bedeuten, dass ihr untergeschobenes Zertifikat auf den Geräten drauf bleibt?!
P.S.: Ich ärgere mich gerade massiv weil ich Lenovo bisher immer empfohlen habe. Der Imageschaden ist hoffentlich größer als die Einnahmen aus ihrem Bloatwaremist…
Uiuiuiuiiuiu http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html#.VOYKaKqG_Iw
@caschy: Soll das Passwort ein Scherz sein?! Unfassbar.
Das scheint schon länger Standard zu sein das Superfish mit vorinstalliert wird, bei Lenovo. Ich hatte mir zu Weihnachten einen Laptop gegönnt gehabt und war extrem verwundert das ich Werbung als Poup bekam, obwohl dazu keine Toolbar oder Addon installiert war. Superfish ist komplett Browserunabhängig. Bei der Säuberung des Gerätes hab ich nach den Namen diverser Programm recherchiert, zumindestens dort, wo mir nicht klar war, für was es überhaupt installiert ist. Dort hab ich erst Superfish erkannt. Entfernt und Ruhe war.
Ich bin der Meinung es sollte gesetzliche geregelt werden, das Geräte nur mit den Programmen ausgeliefert werden, die in der Beschreibung dabei stehen, damit man weiß, was einem erwartet.
Upps… dann wird wohl eine Entschuldigung gegenüber meiner Frau fällig. Dachte meine Frau hat versehentlich etwas mitinstalliert.
http://news.lenovo.com/article_display.cfm?article_id=1929
Hier eine LIste der potentiell betroffenen Desktop und Laptop-Modelle:
„To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product — servers or storage — and these products are in no way impacted.“