Windows Defender erkennt und löscht in der aktuellen Fasssung die auf Lenovo-Notebooks ab Werk installierte Adware Superfish. Auch das Stammzertifikat entfernt das in Windows integrierte Sicherheitsprodukt. Firefox-Anwender müssen allerdings das Zertifikat aufgrund der im Mozilla-Browser integrierten Zertifikatsverwaltung manuell löschen oder zum inzwischen von Lenovo veröffentlichten Uninstall-Tool greifen. Der Hersteller hat außerdem eine manuelle Deinstallationsanleitung veröffentlicht.
Lenovo hat sich inzwischen für die Installation des Adware-Tools entschuldigt. Allerdings bestreitet das Unternehmen, von der durch Superfish und dem dazugeörigen Stammzertifikat verursachten Sicherheitsbedrohung gewusst zu haben.
Mittlerweile aber warnt der Hersteller nun selbst vor dem Programm. Auch das US-Cert hat inzwischen eine Warnung zu Superfish herausgegeben. Zuvor hatte Lenovos Chief Technology Officer Peter Hortensius im Gespräch mit dem Wall Street Journal eingerämt, dass Lenovo die auf Notebooks zwischen September und Dezember 2014 vorinstallierte Adware nicht sorgfältig genug geprüft hatte.
Von einem Sicherheitsprblem wollte er aber nichts wissen. “Wir haben diese Technologie gründlich untersucht und keine Hinweise gefunden, um Sicherheitsbedenken zu belegen.” Der Hersteller spielte zudem die monetäre Motivation für die Vorinstallation der bedenklichen Adware herunter: “Die Geschäftsbeziehung mit Superfish ist finanziell nicht bedeutsam.”
Diese und ähnliche Sätze sind in der offiziellen Stellungnahme inzwischen nicht mehr zu finden. In einem Advisory beschreibt der Hersteller Schwachstellen der von ihm installierten Software und weist auch darauf hin, dass eine einfache Deinstallation von Superfish nicht genügt, da das gefährliche Root-Zertifikat zurückbleibt. Aufgelistet sind dort weiterhin die betroffenen Notebooks aus den Modellreihen, auf denen laut Lenovo Superfish ab September 2014 vorinstalliert wurde. Lenovo betont außerdem, die Software sei niemals auf seinen ThinkPad-Notebooks, Desktop-PCs oder Smartphones installiert worden.
Superfish sorgt allerdings nicht nur für Werbung, sondern zugleich für ein hohes Sicherheitsrisiko. Die Gefährdung entsteht durch ein selbstsigniertes Root-Zertifikat, die der Software die Entschlüsselung von mit HTTPS verschlüsseltem Traffic erlaubt. Sie kann dadurch die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln. Da das Zertifikat des Softwareherstellers in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.
Wie Robert Graham von der Sicherheitsfirma Errata Security darlegt, ist das alles andere als theoretisch. Er benötigte demnach gerade einmal drei Stunden, um die Sicherheitsvorkehrungen von Superfish auszuhebeln und das Passwort zu knacken. “Ich kann die verschlüsselte Kommunikation der Opfer von Superfish (Leute mit Lenovo-Notebooks) abfangen, während ich mich in einem Café mit WLAN-Hotspot in ihrer Nähe aufhalte”, schreibt er in einem Blogeintrag. Dem stimmt Sicherheitsexperte Graham Cluley zu. “Die von Lenovo installierte Superfish-Adware führt effektiv einen Man-in-the-Middle-Angriff durch und kann Ihre gesicherte Kommunikation aufbrechen – und das nur, um ein paar lästige Inserate zeigen zu können. Wenn Sie Superfish auf Ihrem Computer haben, dann können Sie Ihren sicheren Verbindungen zu Websites nicht mehr vertrauen.” Als besonders gefährlich sieht er an, dass Superfish die legitimen Zertifikate etwa einer Bank durch sein eigenes ersetzt, um Werbung einschleusen zu können. Da die Adware dasselbe Zertifikat für jede besuchte Site nutze, sei es für einen bösartigen Angreifer nicht mehr besonders schwierig, das für seine Zwecke zu nutzen.
“Damit ist das System ab Werk kompromittiert und als trojanisiert zu betrachten”, stellt der Berliner Informatiker Kristian Köhntopp auf seiner Google+-Seite fest. Das Problem betrifft sowohl Microsofts Internet Explorer als auch Googles Chrome auf Windows-Systemen. Firefox ist offenbar nicht betroffen, da es einen eigenen Zertifikatsspeicher einsetzt.
Die Electronic Frontier Foundation (EFF) legte dar, dass das Sicherheitsrisiko offenbar noch umfangreicher ist als zunächst angenommen. Mindestens Chrome, Internet Explorer und Safari für Windows seien auf den Lenovo-Notebooks mit vorinstallierter Adware betroffen. Auch die Nutzer von Firefox sollen gefährdet sein, da Superfish sein riskantes Zertifikat auch in dessen Zertifikatsspeicher ablegt. Die EFF veröffentlichte dazu eine Schritt-für-Schritt-Anleitung zur Entfernung des Adware. Filippo.io bietet mit Badfish einen Browsertest an, um eine eventuelle Gefährdung durch Superfish zu bestimmen.
[mit Material von Kai Schmerer, ZDNet.de]
Tipp: Wie gut kennen Sie die Geschichte der Viren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de
DDoS-Angriffe haben seit dem Beginn des Krieges zwischen Russland und der Ukraine an Häufigkeit und…
Lieferkettenplanung in Deutschland auf Basis von Excel bei 37 Prozent der befragten Unternehmen im Einsatz.
Bedienpersonal von Fertigungsanalagen soll mögliche Risiken auch ohne Cybersecurity-Fachwissen erkennen und minimieren können.
Schiffl IT: Anomalien im Netzwerkverkehr und in den Systemen in Echtzeit identifizieren.
Absicherung der IT-Infrastruktur erfolgt über die Zero Trust Exchange-Plattform von Zscaler.
Maschinen können mit neuen Verfahren lernen, nicht nur Vorhersagen zu treffen, sondern auch mit kausalen…
