"Superfish"

Lenovo-Notebooks spionierten Nutzer aus

Simon verantwortet auf Computerwoche online redaktionell leitend überwiegend alle Themen rund um IT-Sicherheit, Risiko-Management, Compliance und Datenschutz. Er entwickelt darüber hinaus innovative Darstellungsformate, beschäftigt sich besonders gerne mit Datenanalyse und -visualisierung und steht für Reportagen und Interviews vor der Kamera. Außerdem betreut der studierte Media Producer den täglichen Früh-Newsletter der Computerwoche. Aufgaben in der Traffic- und Keyword-Analyse, dem Content Management sowie die inoffizielle Funktion "redaktioneller Fußballexperte" runden sein Profil ab.
PC- und Notebook-Hersteller Lenovo verkaufte Notebooks mit der Adware "Superfish", die unerwünschte Werbung im Browser platzierte und HTTPS-Verbindungen mittels Man-in-the-Middle-Zertifikat auslesen konnte. Lenovo gibt sich reumütig und gelobt Besserung.

Betroffen sind Nutzerberichten zufolge mindestens alle Consumer-Modelle, die von Mitte 2014 bis Ende Januar 2015 in den Handel gingen. "Superfish" ist hier von Haus aus vorinstalliert, muss aber beim ersten Browserstart vom Nutzer noch bestätigt werden. Die Adware umfasst einen Proxyserver, über den sie Browsercache und Session-Traffic abfragt und Drittanbieter-Werbeanzeigen auf Google-Ergebnisseiten und Websites im Internet Explorer und Google Chrome platziert. Community-Administrator Mark Hopkins verteidigte dieses Vorgehen bereits Ende Januar im Lenovo-Nutzerforum: "Die Software hilft Nutzern bei der bildbasierten Produktrecherche." Die Nutzer könnten die Aktivierung von Superfish ganz einfach beim Einrichten des Notebooks verhindern, indem sie seinen Nutzungsbedingungen nicht zustimmten.

Community-Administrator Mark Hopkins versuchte schon vor drei Wochen, die Nutzer zu beruhigen und kündigte eine Überarbeitung von "Superfish" an.
Community-Administrator Mark Hopkins versuchte schon vor drei Wochen, die Nutzer zu beruhigen und kündigte eine Überarbeitung von "Superfish" an.

Hopkins kündigte wegen der massiven Nutzerproteste an, die Software "vorübergehend wieder aus dem Angebot zu nehmen, bis einige technische Probleme behoben sind." Zahlreiche Nutzer hatten sich über unerwünschte Pop-up-Fenster beschwert, die während des Surfens aufkamen und die durch Superfish ausgelöst wurden.

Eigenes MITM-Zertifikat

Was sich nach einer vergleichsweise harmlosen Adware anhört, bekommt nun aber einen neuen, weitaus gefährlicheren Dreh - neuen Nutzerberichten zufolge beinhaltet das Programm auch ein gefälschtes, selbstsigniertes Man-in-the-Middle-Zertifikat, durch das das Programm in der Lage sein würde, sichere HTTPS-Verbindungen, beispielsweise zu Banking-Seiten, auszulesen. Lenovo-Nutzer veröffentlichten Beweis-Screenshots und beklagten, dass nicht einmal eine Deinstallation der Software das Zertifikat entfernen könne. Sicheres Surfen sei nur mit dem Firefox möglich, weil dieser mit einer eigenen Zertifikats-Datenbank arbeitet und das Superfish-Zertifikat nicht akzeptiere.

Hopkins erklärt: "Superfish-Technologie basiert allein auf Kontext und Bildern und nicht auf Nutzerverhalten. Die Software legt keine Nutzerprofile an und überwacht den Nutzer auch nicht. Sie weiß nicht, wer der Nutzer ist und kann ihn auch nicht wiedererkennen. Jede Session für sich funktioniert unabhängig." Pikant: Britische Geheimdienste hatten die Nutzung von Lenovo-Geräten in den eigenen Reihen bereits vor fast zwei Jahren untersagt. Sie könnten zu leicht gehackt werden, hieß es damals.

Update 20. Februar: Test-Tool, Firefox auch betroffen?

Mittlerweile hat sich Lenovo-CTO Peter Hortensius zu "Superfish" geäußert: Betroffen seien nur Notebooks, die zwischen Oktober und Dezember 2014 verkauft wurden, seit Anfang diesen Jahres werde die Adware nicht mehr vorinstalliert, auch künftig nicht. Das Zerfikat sei aber auch nach der Deinstallation von "Superfish" tatsächlich noch immer auf dem System - der Hersteller stellt einen "Superfish CA Test" bereit, über den betroffene Nutzer testen können, ob sich das Zertifikat noch auf ihrem System befindet.

"Wir haben es versaut", gab Hortensius unumwunden zu. "Anders kann ich es nicht sagen. Wir versuchen nicht, es zu vertuschen, sondern versuchen alles, das Problem für unsere Kunden zu lösen und sicherzustellen, dass so etwas nicht noch einmal vorkommt."

Dass Firefox-Nutzer übrigens nicht von der Zertifikats-Spionage betroffen seien, stellt die Electronic Frontier Foundation (EFF) in Frage. Sie entdeckte 44.000 Man-in-the-Middle-Zertifikate, die mit dem Superfish-Zertifikat signiert waren, im Rahmen ihres "SSL Observatory Project". Dieses Projekt sammelt Daten von Firefox-Browsern, in denen das Add-on "HTTPS Everywhere" installiert ist. "Das beweist entweder, das Superfish sein Zertifikat auch in den Firefox-Root-Store gebracht hat oder, dass eine große Zahl von Firefox-Nutzern Zertifikats-Warnungen, die von Superfish-Attacken ausgelöst wurden, einfach weggeklickt haben", erklärte die EFF in einem Blogpost.