Lenovo hat hier einen richtig bösen Fail begangen und zusammen mit der Installation von Bloatware (aus Usersicht sinnlos installierte Software auf PCs und Laptops) eine Adware mit dem Namen Superfish ausgeliefert! Auf diese wurde man aufmerksam, als sich User über plötzlich auftauchende PopUps beschwert haben! Doch damit nicht genug, dass die Software Superfish auf Webseiten Werbung anzeigt – die Software besitzt auch ein eigenes Zertifikat die es ermöglicht sichere Verbindungen abzuhören! Superfish ist sozusagen in der Lage einen sauberen Man-In-The-Middle-Angriff zu fahren! Doch damit nicht genug – findige Leute (Hacker) sind nun auf eine Möglichkeit gestoßen dieses private Superfish Zertifikat für ihre Zwecke zu nutzen und so öffnet das Superfish Zertifikat, welches von Lenovo installiert wurde den bösen Jungs ein schönes Tor um sich in HTTPS Verbindungen einzuklinken!
Wer ist davon betroffen?
– Lenovo Laptop Besitzer die ihren Rechner im Jahr 2014 / 2015 gekauft haben
– das Zertifikatsproblem tritt beim Einsatz vom Internet Explorer und dem Browser Chrome auf – Firefox Nutzer sind vom Zertifikationsproblem nicht betroffen
Folgende Maschinen wurden mit Superfish ausgeliefert:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Ein kleines Plus gibt es! Denn wie es scheint, hat Lenovo versucht nur bei „normalen“ Konsumer die „Extramark“ zu verdienen. Die Business-Geräte (ThinkPad) wurden nicht mit Superfish ausgeliefert.
Wie steht Lenovo dazu?
Zuerst hat Lenovo die Sache herunter gespielt und die Sache verharmlost. Zum Teil ging man auch einfach her und deaktivierte die Software per Softwareupdate! Allerdings behielt man sich vor die Software wieder zu aktivieren, wenn das Problem gelöst sei! Doch durch die Deaktivierung der Software wurde nicht das Zertifikat gelöscht, welches ein erhebliches Sicherheitsrisiko dar stellt!
Jetzt ruder jedoch Lenovo durch den Mediendruck zurück und veröffentlicht ein Superfish Removal Tool.
Den Download finden betroffene User hier:
Superfish Uninstall Anleitung – Superfish Removal Tool – Download
Für alle die es interessiert:
Hier das nun offizielle Statement von Lenovo!
Ubrigens!
Microsoft arbeitet auch an der Erkennung des Sicherheitsproblems und liefert demnächst ein Update aus, welches das Problem ganz automatisch beheben soll. So sollen auch Nutzer eingefangen werden, welche nicht ständig die Technews im Internet lesen!
Superfish an sich ist übrigens kein unbeschriebenes Blatt und wurde von Microsofts schon vor längerer Zeit blockiert, da das Add-On zum Absturz des IEs geführt hat!
Superfish ist unter der Bezeichung Trojan:Win32/Superfisch.A im Defender gelistet, wurde jedoch bislang nur als „problematisch“ eingestuft!
Tags:
- Lenovo sicherheitslücke
- superfish zertifikat fail