Lenovo-Systeme erneut mit einem unsicheren, vorinstallierten Tool unterwegs
Das Thema vorinstallierter Hersteller-Software, die entweder nicht wirklich das tut, was sie soll oder eben die ein oder andere eklatante Sicherheitslücke hat, ist nicht wirklich neu. Traf es im letzten Jahr schon Dells System Detect und auch das ein oder andere Zertifikat, hatte auch Lenovos Solution Center Mitte 2015 mit Superfish zu kämpfen. Nun warnt letzterer Hersteller erneut vor einer Software, die beim Kauf vieler Geräte mit Windows 10 schon vorinstalliert sein kann: Der Lenovo Accelerator Software.
Die Soft- (oder Bloat-) ware soll eigentlich ihrem Namen alle Ehre machen und unter Windows 10 den Start der Lenovo-eigenen Applikationen entsprechend beschleunigen. Wie Lenovo aber jetzt bekannt gab, fand der Sicherheitsexperte Mikhail Davidov von Duo Security bereits Ende Mai eine Verwundbarkeit innerhalb der Lenovo Accelerator Software. Durch dieses Leck wäre theoretisch eine Man-in-the-Middle-Attacke möglich, um Schadcode auf das betreffende System zu laden und auszuführen.
Die Verwundbarkeit an sich liegt in ihrem Updatemechanismus, bei Lenovo-Servern angefragt wird, ob eine Aktualisierung für die Software vorliegt. Der aktuelle, das Lenovo Security Advisory LEN-6718 betreffende Lösungsvorschlag sieht für betroffene Windows 10-Systeme erst einmal die Deinstallation des Programms vor. Wer also sein System nicht neu aufgesetzt hat, um die teils abstrusen Vorinstallation des jeweiligen Herstellers mit teils mehr, teils weniger sinnvoller Software zu umgehen, sollte nun einmal prüfen, ob sein System gegebenenfalls betroffen ist. Die Liste der Geräte seitens Lenovo sieht wie folgt aus:
Betroffene Lenovo-Notebooks:
- 305
- 700
- 300S
- 500/500S
- B40-30/B40-45/B40-45/B40-80
- B41-30/B41-35/B41-80
- B50-30/B50-30 Touch/B50-45/B50-80/B51-30/B51-35/B51-80
- E31-70/E31-80/E40-30/E40-80/E41-80/E50-30/E50-80/E51-80
- Edge 15
- Edge 2-1580
- Erazer N40-30/Erazer N40-45
- Erazer N50-45/Erazer N50-45
- Erazer Z41-70
- Erazer Z51-70
- FLEX 2 Pro
- FLEX 3
- FLEX 4
- K20-80
- K21-80
- K41-70/K41-80
- M41-70
- M51-80
- MIIX 3
- MIIX 700
- N41-35
- N51-35
- S21e-20
- S41-35/S41-70/S41-75
- TianYi 300
- U31-70
- U41-70
- V4000
- XiaoXin 700
- Y50-70/Y50-70 Touch
- Y50c
- Y700/Y700 Touch
- Y70-70 Touch
- Y900
- Yoga 2
- YOGA 3 14
- Yoga 3 Pro
- Yoga 300
- YOGA 500/YOGA 510
- YOGA 700/YOGA 710/YOGA 900/YOGA 900S
- Z41-70
- Z51-70
Betroffene Lenovo Desktop-Systeme:
- 50050C/50100E/50550A/50600I
- A3300
- A7300
- A8150
- B40
- C20
- C40
- C50
- C560
- D3000
- D5010/ D5050/ D5055
- F5005/ F5050/ F5055
- G5005/ G5010/ G5050/ G5055
- H3005
- H30-50
- H5005/ H5055
- H50-50
- IdeaCentre 200
- IdeaCentre 300/300S
- IdeaCentre 510/510S
- IdeaCentre 700
- M7300z
- M8300z/M8350z
- M9550z
- Yoga Home 500
Nennt Ihr eins der betroffenen Systeme Euer Eigen und setzt auf die herkömmliche Vorinstallation, die beim Kauf auf dem Gerät war, solltet Ihr – wie empfohlen – die betroffene Applikation deinstallieren, um so zumindest den theoretischen Schaden abzuwenden, bis Lenovo hier nachgebessert hat.
Auch alle Apple-Systeme sind permanent mit unsicheren Tools unterwegs. Da gehört auch vorinstallierte Bloatware wie z. B. iTunes.
Nur würde das Caschys Blog niemals so formulieren.
@Werner: Genau. Weil es bei dem Bericht über das Lenovo-Tool speziell um Apple und iTunes ging. Fahr den Rechner doch lieber runter und genieß das schöne Wetter, wie wär’s 🙂 ?
Bloatware? Nie gesehen. 😉
Auf jedem neuen Notebook machen wir erstmal ein Clean Install ohne Bloatware. Geht ja mit Windows 10 ganz einfach.
Seit Superfish würd ich eh nichts mehr von denen kaufen
@Andreas: Sympathisch, machen wir seit Jahren (herstellerunabhängig) auch immer. Kein Vergleich und das Gefühl, mit nem sauberen System zu starten, ist klasse.
Wie kann ich eigentlich auf meinem iPhone die Apple-Zwangs-Bloatware deinstallieren? Ich will keine Apple-Watch-Werbeapp.
@Andreas @Oliver:
gute und richtige Entscheidung. Oder so wie ich: Naked Hardware kaufen und (bestehendes oder separat erworbenes) OS installieren. Nachteil hierbei war alerdings immer der Updateprozess von Windows. Dauerte meist länger als das naked install selbst….
Seit meinem Umstieg auf den Pinguin 2014 spielt Bloat- und Crapware zum Glück keine Rolle mehr.
Ich möchte nicht auf die vorinstallierten Tools der Lenovo Thinkpad-Serie verzichten. Werbung ist mir bem nagelneuen Thinkpad noch nie entgegen geschossen. Mache ich etwas anders als ihr?
@Lara: Wenn Lenovo sauber gearbeitet hast, solltest du nichts davon merken, dass sie dich ausspionieren.
@Klaus? Nicht mehr als Google, Microsoft, stadt-bremerhaven.de und co. Also wohl alles gut, zumindest bei der Thinkpad-Serie und den zahlreichen nützlichen Tools von Backup bis hin zu Hadware-Checks. Möchte ich nicht drauf verzichten 🙂
Original Microsoft Windows 7/8/8.1/10 Iso ziehen und damit installieren. Fertig. Kann man auch gleich die Recovery Partition löschen und hat ein wenig mehr Platz.
Lenovo ist eh eine Drecks-Hersteller, so einen Müll wie mein Firmennotebook hab ich noch von keinem anderen Hersteller erlebt – nennt sich dann noch Business-Notebook.
Naja lenovo… wer kauft schon lenovo… heut zu tage