Lenovo wegen Superfish verklagt

Lenovo und der Adware-Anbieter Superfish sehen sich einer Klage gegenüber. Weil die beiden Hersteller die Adware “Superfish” auf ihrem Notebook vorinstalliert haben, klagt nung eine US-Amerikanerin wegen “betrügerischer Geschäftspraktiken”. Auf diese Weise sollen die beiden Unternehmen den PC anfällig für Malware und bösartige Angriffe gemacht haben. Laut Computerworld wirft die Klägerin Jessica Bennett Lenovo und Superfish zudem vor, ihre Privatsphäre verletzt und mit der Sammlung von Informationen über ihre Internetnutzung Geld verdient zu haben.

Bennet hat die Klage bei einem Bezirksgericht in Südkalifornien eingereicht, nachdem Lenovo die Installation von Superfish und das damit verbundene Sicherheitsrisiko eingeräumt hatte. Bennett fordert Schadenersatz in nicht genannter Höhe sowie die Zulassung als Sammelklage.

Superfish nutzt ein selbstsigniertes Root-Zertifikat, um mit HTTPS verschlüsselten Traffic zu entschlüsseln. Die Adware kann also die Verbindungsdaten aller besuchten Websites mitlesen, um unauffällig Inserate einzuschmuggeln.

Da das Zertifikat des Softwareherstellers Superfish in die Liste der Systemzertifikate von Windows aufgenommen ist, könnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Erste Beschwerden über Superfish auf Lenovo-Laptops tauchten im September 2014 auf. Bennett habe ihr Yoga-2-Laptop von Lenovo für geschäftliche Zwecke wie die Kommunikation mit Kunden gekauft. Beim Verfassen eines Blogeintrags für einen Kunden habe sie auf dessen Website “Spam-Werbung” mit “spärlich bekleideten Frauen” entdeckt. Nachdem sich auch auf anderen Websites unerwünschte Pop-up-Fenster geöffnet hätten, habe sie angenommen, auf ihrem Computer befinde sich eine Spyware oder sie sei gehackt worden. In Internetforen sei sie dann allerdings auf ähnliche Probleme anderer Besitzer von Lenovo-Laptops und die Adware Superfish als Ursache gestoßen.

Wie Ars Technica berichtet, hat sich Lenovo-CTO Peter Hortensius inzwischen in einem offenen Brief bei den Kunden entschuldigt, die zwischen September 2014 und Februar 2015 ein Lenovo-Laptop mit Superfish gekauft haben. “Wir haben die Berichte über die Sicherheitslücke der Software gesehen und sofort Maßnahmen ergriffen, um sie zu entfernen”, heißt es darin. “Das Problem hat selbstverständlich bei unseren Kunden, Partnern, denen, die sich für Lenovo interessieren, unserer Branche und der Technologie im Allgemeinen für Unruhe gesorgt. Dafür würde ich mich gerne entschuldigen.”

Künftig werde Lenovo mit Kunden und Sicherheitsexperten zusammenarbeiten, um bessere Richtlinien für vorinstallierte Software aufzustellen und auch die Meinungen “unserer schärfsten Kritiker” zu erfassen. Laut Ars Technica zeigt der Brief auch, dass Lenovo den Einsatz von Superfish ernsthaft bereut. Damit habe es sich auch deutlich von Superfish-CEO Adi Pinhas distanziert, der am Freitag erklärt habe, seine Software zum Einfügen von Anzeigen stelle kein Sicherheitsrisiko dar.

Tipp: Kennen Sie die Geschichte der Computerviren? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de