Sicherheitslücke

Superfish: Un­sich­er­es Le­novo-Notebook-Programm ist ein "Alptraum"

Ein peinlicher Vorfall untergräbt den guten Ruf von Lenovo als Hersteller: Eine zwangsweise vorinstallierte Software öffnet auf Notebooks nicht nur Lenovo, sondern auch Hackern Tür und Tor. Wir schildern den aktuellen Fall.
Von mit Material von dpa
AAA
Teilen

Der Computerhersteller Lenovo hat ein besonders aggressives Programm auf einigen seiner Rechner vorinstalliert. Die Software namens Superfish zeigt zusätzliche Werbung beim Internetsurfen an. Doch das ist Berichten zufolge nicht alles: Die Software schaltet sich demnach auch zwischen sichere Verbindungen. Beim Aufruf vermeintlich sicherer Webseiten, etwa beim Online-Banking, kann sich Superfish einwählen, ohne dass die Nutzer davon etwas mitbekommen. Sicherheitsexperten zeigten sich entsetzt.

Superfish Visual Discovery sei ein Alptraum, schrieb Marc Rogers, Sicherheitsfachmann bei dem Web-Dienstleister CloudFlare, auf seinem Blog. Nutzer könnten keiner vermeintlich sicheren Internetverbindung mehr trauen. Lenovo öffne Hackern Tür und Tor, schrieb Rogers. "Sie kompromittieren nicht nur SSL-verschlüsselte Verbindungen, sie tun es auch noch auf die sorgloseste, unsicherste Art, die man sich vorstellen kann."

Software sollte eigentlich nur personalisierte Werbung anzeigen

Das betroffenen Lenovo Y50Das betroffenen Lenovo Y50 Die von der Firma Superfish im kalifornischen Palo Alto entwickelte Software ist spezialisiert auf die Internetsuche per Bilderkennung. Die Software soll Bilder auf Webseiten erkennen, auf denen der Nutzer gerade surft. Aufgrund dieser gesammelten Informationen sollen dem Nutzer dann Verkaufsangebote von Online-Shops angezeigt werden, von denen die Software meint, dass sie für den Surfer relevant sein könnten.

Lenovo bestätigte zunächst nur, dass die Software auf den Nutzer zugeschnittene Werbung anzeigt. Im Januar habe Lenovo aufgehört, die Software auf neuen Modellen vorzuinstallieren, erklärte das Unternehmen. Auf bereits verkauften Rechnern werde Superfish nicht mehr aktiviert. "Lenovo geht allen neuen Bedenken hinsichtlich Superfish genau nach", erklärte das Unternehmen. Berichten in Nutzerforen zufolge sind die Lenovo-Laptops Y50 und Z40 sowie die Browser Chrome und Internet Explorer betroffen, Firefox allerdings nicht.

"Man-in-the-Middle"-Angriff verbunden mit gefälschtem Zertifikat

Marc Rogers bezeichnet die Kompromittierung als klassischen "Man-in-the-Middle"-Angriff, der üblicherweise nur von Hackern verwendet wird, um persönliche Informationen wie beispielsweise Accountdaten aus einer Internetkommunikation abzufangen. Ein hinterhältiger Bestandteil der Superfish-Software - außer ihrer Einbruchsfunktion in SSL-Verbindungen - ist der Missbrauch von Zertifikaten. Im Zertifikatsspeicher von Windows installiert die Software nämlich ein als "sicher" eingestuftes Root-Zertifikat samt privatem Schlüsel. Dieses Zertifikat ist auf allen Rechnern offensichtlich identisch.

Beim Aufruf einer Webseite generiert Superfish ein neues Zertifikat. Mit dem privaten Schlüssel können beliebige Webseiten-Zertifikate ausgestellt werden, die das Laptop ohne weitere Nachfrage als sicher akzeptiert. So kann Lenovo und so können auch Hacker bei Kenntnis dieses privaten Schlüssels dem Computer weitere Schädlinge unterschieben. Kommen Hacker an das Schlüsselpaar, können sie dieses ebenfalls dazu benutzen, um unsichere Webseiten aufzusetzen, von denen aus der Rechner des Nutzers angegriffen und infiziert wird. Laut Marc Rogers hat Lenovo ein überholtes SHA1-Zertifikat statt des heute üblichen SHA-256-Zertifikats und eine knackbare 1024-Bit-RSA-Verschlüsselung benutzt, was beides alleine schon als grobe Fahrlässigkeit einzustufen ist.

Das Perfide dabei ist: Die Superfish-Software kann der Nutzer über die Software-Deinstallationsroutine von Windows problemlos entfernen. Der Schlüssel bleibt aber im Zertifikatsspeicher von Windows gespeichert und muss manuell aufgespürt und entfernt werden. Chrome und Internet Explorer sind übrigens deswegen betroffen, weil sie den Zertifikatsspeicher von Windows mitnutzen. Mozilla Firefox verwendet seinen eigenen Zertifikatsspeicher.

Das sollten Betroffene jetzt unternehmen

Testen lässt sich die Verwundbarkeit des eigenen Lenovo-Rechners auf der Seite canibesuperphished.com [Link entfernt] . Die Seite wird nur angezeigt, wenn das Zertifikat und die Software auf dem Rechner installiert und aktiv sind. Ist der Rechner nicht in Gefahr, erscheint bei Internet Explorer der Hinweis "Es besteht ein Problem mit dem Sicherheitszertifikat der Website. Das Sicherheitszertifikat dieser Website wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt."

Nach der Deinstallation der Superfish-Software sollten Betroffene nach dieser Anleitung von Microsoft den Zertifikatsspeicher aufrufen und dort das Superfish-Zertifikat entfernen.

Seit der Übernahme der PC-Sparte von IBM galt Lenovo als zuverlässiger Lieferant - insbesondere für Geschäftskunden. Es bleibt abzuwarten, ob dieser Vorfall am seriösen Image des Unternehmens kratzen kann. Das Problem der Bloatware, also für den Nutzer oft sinnlos vorinstallierter Hersteller-Software, das wir auch in Bezug auf Samsung-Smartphones thematisiert haben, sollte nun auf breiter Basis diskutiert werden.

Teilen

Mehr zum Thema Sicherheit