Lenovo will Tool zum vollständigen Entfernen von Superfish bereitstellen [UPDATE]

Sicherheit
Hacker-Angriff (Bild Shutterstock)

Der CTO des chinesischen Unternehmens spielt die Sicherheitsrisiken nach wie vor als “theoretische Probleme” herunter. Trotzdem gibt er die kurzfristige Bereitstellung eines Tools zur kompletten Entfernung der Adware bekannt. Eine einfache Deinstallation beseitigt die Bedrohung nicht. Das zusätzlich installierte Root-Zertifikat wird damit nämlich nicht gelöscht.

Nach schwerwiegenden Anschuldigungen durch Security-Experten hat Lenovo angekündigt, kurzfristig ein Tool zum vollständigen Entfernen der Adware Superfish Visual Discovery verfügbar zu machen. Zugleich redete ein Unternehmensvertreter die mit dem Programm einhergehenden Sicherheitsrisiken immer noch als “theoretische Probleme” schön. Lenovo habe keinerlei Erkenntnisse darüber, dass etwas Bösartiges in der Hinsicht passiert sei.

shutterstock-hacker-angriff-daten-lolloj-300 (Bild: Shutterstock)

Lenovos Chief Technology Officer (CTO) Peter Hortensius gestand im Gespräch mit dem Wall Street Journal ein, dass Lenovo die auf seinen Notebooks vorinstallierte Adware nicht gründlich genug geprüft hatte. Die Software sei ausgewählt worden, um “die Shopping-Erfahrung der Nutzer zu verbessern. Die Rückmeldungen der Nutzer besagten, dass sie nicht nützlich war, und deshalb haben wir sie deaktiviert. Unsere Reputation bedeutet uns alles, und letztlich bestimmen unsere Produkte unseren Ruf.”

Superfish führt aber nicht nur zu potenziell unerwünschter Werbung, sondern birgt gleichzeitig auch ein hohes Sicherheitsrisiko. Die Bedrohung resultiert aus einem selbstsignierten Root-Zertifikat, das der Software die Entschlüsselung von mit HTTPS verschlüsseltem Datenverkehr gestattet. Dadurch kann sie die Verbindungsdaten sämtlicher besuchter Websites mitlesen, um dezent Inserate einzuschmuggeln. Da das Zertifikat des Softwareanbieters in der Liste der Windows-Systemzertifikate verzeichnet ist, könnte es womöglich auch von Hackern für Man-in-the-Middle-Angriffe missbraucht werden.

Wie Robert Graham vom Sicherheitsunternehmen Errata Security ausführt, ist das alles andere als theoretisch. Er brauchte demzufolge gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish zu umgehen und das Passwort zu knacken. “Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte”, schreibt er in einem Blogbeitrag.

Eine erste Stellungnahme des chinesischen Anbieters war trotzdem derart beschwichtigend formuliert, dass sie eine verheerende Resonanz auslöste. “Lenovos Reaktion auf seine gefährliche Adware ist erstaunlich ahnungslos”, urteilt etwa Wired. Lenovo habe gewissermaßen mit den Schultern gezuckt und darauf bestanden, dass es kein Sicherheitsproblem gibt, monierte auch Techdirt.

Die Electronic Frontier Foundation (EFF) erklärte, dass das Sicherheitsrisiko anscheinend noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware von potenziellen Angriffen betroffen. Auch die Anwender von Firefox sollen gefährdet sein, da Superfish sein fragliches Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF publizierte zudem eine Schritt-für-Schritt-Anleitung zur Entfernung der Adware. Filippo.io liefert mit Badfish indes einen Browsertest, um eine potenzielle Bedrohung durch Superfish feststellen zu können.

“Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen”, hieß es zunächst in Lenovos Stellungnahme. Der Anbieter spielte darüber hinaus die wirtschaftliche Motivation für die Vorinstallation der kritischen Adware herunter: “Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.”

Solche und ähnliche Sätze sind in der offiziellen Stellungnahme aber mittlerweile nicht mehr zu finden. In einem Advisory erläutert der Hersteller Schwachstellen der von ihm ab Werk installierten Software und weist des Weiteren darauf hin, dass eine schlichte Deinstallation von Superfish nicht ausreicht, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort ferner die betroffenen Notebooks aus den Modellreihen, auf welchen Lenovo zufolge Superfish ab September 2014 vorinstalliert wurde. Lenovo hebt zudem hervor, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-Rechnern oder Smartphones installiert worden.

[UPDATE 21.2.2015 13.08 Uhr]

Inzwischen hat Lenovo das Uninstall-Tool für die Adware Superfish veröffentlicht. Microsoft hat zudem Windows Defender aktualisiert, wodurch das in Windows integrierte Anti-Malware-Programm Superfish erkennt und löscht. Firefox-Anwender sollten aber überprüfen, ob das installierte Stammzertifikat von Superfish auch in der im Mozilla-Browser integrierten Zertifikatsverwaltung gelöscht wurde.

 

[mit Material von Bernd Kling, ZDNet.de]

Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de

Anklicken um die Biografie des Autors zu lesen  Anklicken um die Biografie des Autors zu verbergen