Lenovo: Gefährliches Sicherheitsloch auf Notebooks wegen Adware Supferfish
Notebook-Besitzer aufgepasst! Auf verschiedenen Notebooks von Lenovo gibt es ein gewaltiges Sicherheitsloch: Superfish. Die vorinstallierte Adware blendet ungefragt Werbung ein und stand bereits mehrfach in der Kritik. Die Software legt ein eigenes Root-Zertifkat auf dem Notebook ab. Damit tut sich für Besitzer eines Rechners, auf dem Superfish eingesetzt wurde, im Zuge einer möglichen Man-in-the-Middle-Attacke ein sehr gefährliches Sicherheitsleck auf.
Nach reichlich Zögern hat Lenovo auf Druck von Experten und der Öffentlichkeit endlich reagiert und das Sicherheitsproblem nun auch offiziell bestätigt. Von diesem Sicherheitsloch können Lenovo Notebooks betroffen sein, die zwischen September 2014 und Februar 2015 geliefert wurden. Lenovo listet folgende Modelle:
- E-Series: E10-30
- Flex-Series: Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10
- G-Series: G410, G510, G40-70, G40-30, G40-45, G50-70, G50-30, G50-45
- M-Series: Miix2 - 8, Miix2 - 10, Miix2 - 11
- S-Series: S310, S410, S415, S415 Touch, S20-30, S20-30 Touch, S40-70
- U-Series: U330P, U430P, U330Touch, U430Touch, U540Touch
- Y-Series: Y430P, Y40-70, Y50-70
- Yoga-Series: Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13
- Z-Series: Z40-70, Z40-75, Z50-70, Z50-75
Sollten sie zu diesem Kundenkreis zählen und eines der angeführten Geräte in besagtem Zeitraum gekauft haben, dann sollten sie sofort handeln und zunächst überprüfen ob sie möglicherweise bereits unmittelbar von dieser Sicherheitsproblematik betroffen sind. Unten finden sie den Link zu dem Superfish CA Test von Filippo Valsorda, mit dem sie ganz schnell und einfach mit verschiedenen Browsern überprüfen können, ob sich besagtes Root-Zertikat schon auf ihrem Laptop befindet.
Sollte der Check positiv ausfallen oder die Adware Superfish sogar noch aktiv sein, dann befolgen sie bitte die Anleitung von Lenovo zur Entfernung von Superfish oder wenden sich direkt an den Lenovo-Support. Laut Lenovo wurde Superfish inzwischen für alle Lenovo-Produkte deaktiviert und wird von Lenovo nicht mehr verwendet.
Für Lenovo entwickelt sich die "Superfish"-Adware-Affäre aber dennoch mehr und mehr zu einem Supergau. Aktuell werden Lenovos zweifelhafte Praktiken von der US-Presse (WSJ, Bloomberg) regelrecht in der Luft zerrissen. Robert Graham bleibt sachlich und hat zum "Superfish-Gate" ein paar wichtige Fakten nachgelegt. Die Electronic Frontier Foundation ist da aber weitaus weniger zimperlich und nennt das ganze Fiasko so: "Lenovo has not just injected ads in a wildly inappropriate manner, but engineered a massive security catastrophe for its users."
Neben dem gewaltigen Imageschaden für Lenovo, dürften sich in Kürze auch die Gerichte mit der "Superfish-Affäre" auseinandersetzen. Und es ist damit zu rechnen, dass dies erst die Spitze des Eisbergs im Zusammenhang mit der Adware ist. Nicht zuletzt deshalb, weil Superfish als Adware nicht nur bei Lenovo zum Einsatz kam, sondern auch in zahlreichen Produkten anderer Hersteller zu finden ist.
Quelle(n)
Lenovo Superfish Vulnerability: http://support.lenovo.com/de/de/product_security/superfish
Lenovo Superfish Uninstall Instructions: http://support.lenovo.com/de/de/product_security/superfish_uninstall
Extracting the SuperFish certificate: http://blog.erratasec.com/2015/02/extracting-superfish-certificate.html
Superfish CA Test: https://filippo.io/Badfish/
Make your own Superfish infected VM: https://blog.filippo.io/make-your-own-superfish-infected-vm/