Dem chinesischen Hersteller Lenovo wird momentan im Internet vorgeworfen, dass auf neuen Consumer-Geräten Adware vorinstalliert sei. Diese Adware manipuliert Webseitenaufrufe so, dass produktbezogene Werbung eingeblendet wird.
Anzeige
Die Meldung findet sich initial im Lenovo Forum und wurde hier von thenextweb.com aufgegriffen. Zwischenzeitlich gibt es auch deutschsprachige Artikel bei golem.de, caschy und Dr. Windows.
Daher kann ich das "Beef" recht kompakt halten: Seit einigen Monaten ist auf Lenovo-Windows-Systemen eine Adware mit dem Namen Superfish von Visual Discovery vorinstalliert. Das Programm unterstützt eine visuelle Suche nach ähnlichen Bildern – was erst einmal nichts verwerfliches sein muss. In der Lenovo-Variante klinkt sich das Programm aber in den Browser ein und blendet beim Aufruf von Webseiten Produktempfehlungen ein, die zu den in der Seite abgerufenen Bildern passen.
So etwas habe ich vor wenigen Tagen erst im Artikel Adware: Wenn der Browser nur noch Werbung zeigt… drüben im 50+ Blog thematisiert. Dort ist es aber so, dass sich die Leute die Adware durch Software-Installationen selbst auf den Rechner holen.
Bei Lenovo ist es aber wohl so, dass der Klump bereits ab Werk vorinstalliert ist. Im Lenovo-Forum sind die Lenovo Y-50 Netbooks als "befallen" von Superfish genannt worden (dürfte aber wohl auch andere Modelle betreffen). Ich habe mal nachgeschaut: bei denen handelt es sich gemäß folgender Amazon.de Werbung keinesfalls um Billig-Modelle.
Ich habe auch Hinweise auf Lenovo G50 Notebooks gefunden, die Superfish enthalten. Was eine noch größere Sauerei ist: Die Adware installiert ein Root-Zertifikat, mit dem abgesicherte https-Verbindungen im Browser faktisch ausgehebelt werden – da der Besitzer des Zertifikats die Kommunikation mitlesen kann. Dies ist erforderlich, damit die Adware auch per https abgesicherte Browsersitzungen mitlesen und manipulieren kann. Nur der Firefox soll eigene Zertifikate verwenden. Das ist natürlich der Super-GAU – so, als ob die NSA ihre Trojaner auf allen Rechnern vorinstalliert ausliefert (obwohl, ausschließen würde ich das nicht, wenn ich so an Snowden und diesen Artikel Jubeln uns Hersteller NSA/GCHQ-gehackte Hardware unter? denke).
Anzeige
Der Thread im Lenovo-Forum ist schon am 21. November 2014 eröffnet worden, fand aber jetzt wohl erst Beachtung. Interessant ist auch dieser Tweet, der darauf hinweist, dass der vom Superfish-Dienst benutzte SSL-Schlüssel in etwas unüblicher Weise gespeichert wird. Kristian Köhntopp hat hier bei Google+ noch ein paar Zeilen zu geschrieben. Im Blog-Beitrag Extracting the SuperFish certificate analysiert jemand das Zertifikat.
In diesem Thread bestätigt ein Lenovo-Mitarbeiter (Mark_Lenovo, Moderator) im Forum, dass die Software von Lenovo vorinstalliert wird. Man habe jetzt diese Software auf Consumer-Maschinen "deaktiviert". Ab da geht die Post ab, und hier weist Nutzer gusat darauf hin, dass bei den Lenovo-Maschinen nicht zwischen Consumer und Geschäftskunden unterschieden werde. Viele Lenovo-Geräte laufen in Firmen und da wird es kritisch. Hier gibt es ein Artikel, der sich mit der Deinstallation befasst – ob es bei Lenovo passt, weiß ich nicht.
Ich denke, damit hat Lenovo sich komplett aus dem Markt rausgeschossen, was die Reputation als vertrauenswürdiger Hersteller betrifft. Oder wie seht ihr das?
Tipp: Auf dieser Webseite könnt ihr im Internet Explorer oder Google Chrome testen, ob Superfish bei euch werkelt.
PS: Bei Medion, die sind eine Tochter von Lenovo, ist es meiner Kenntnis nach bisher so, dass da keine Superfish-Adware vorinstalliert wird. Ich werde das aber gleich mal versuchen, das über meine Kanäle zu verifizieren.
Update: Ich habe mal geforscht und den Beitrag Superfish Adware auch auf Medion-Systemen? nachgeschoben. Und es gibt den zweiten Artikel Komodia SSL-Zertifikate faktisch überall – Teil V, der zeigt, dass das Ganze noch viel größer ist.
Update 1: Statement von Lenovo zum Sachverhalt – ohne weiteren Kommentar – – ihr bildet euch eure eigene Meinung (via) – hier noch eine weitere Statement-Seite direkt von Lenovo.
Lenovo removed Superfish from the preloads of new consumer systems in January 2015. At the same time Superfish disabled existing Lenovo machines in market from activating Superfish. Superfish was preloaded onto a select number of consumer models only. Lenovo is thoroughly investigating all and any new concerns raised regarding Superfish."
Background information on Superfish
Superfish was preloaded onto select models of Lenovo consumer products only and is a technology that helps users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers that may have lower prices, helping users search for images without knowing exactly what an item is called or how to describe it in a typical text-based search engine.
The Superfish Visual Discovery engine analyzes an image 100% algorithmically, providing similar and near identical images in real time without the need for text tags or human intervention. When a user is interested in a product, Superfish will search instantly among more than 70,000 stores to find similar items and compare prices so the user can make the best decision on product and price.
Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted. Every session is independent. When using Superfish for the first time, the user is presented the Terms of User and Privacy Policy, and has option not to accept these terms, i.e., Superfish is then disabled.
Update 2: Ein schöner Artikel mit Hinweisen zu den Sicherheitsaspekten und den betroffenen Modellen findet sich hier: Lenovo posts Superfish removal instructions, fails to acknowledge severity of problem. Über die Frage, wie lange das Fischlein auf Lenovo-Geräten vorinstalliert wurde, gibt es verschiedene Aussagen. Ich habe in diesem Dokument die Info gefunden, dass Superfish ab September 2014 vorinstalliert wurde – und es gibt die Aussage, dass die Aktion nur bei Dezember 2014 lief. Im gleichen Artikel und hier findet sich aber die Aussage, dass Superfish bereits 2010 mit anderer Software im "Bundle" verteilt wurde.
Eine schöne Beschreibung von Superfish und der Zertifikate-Problematik findet sich auch im Sophos-Blog.
Hier noch die Presseschau aus den US-Medien, die jetzt nachklappern.
Extracting the SuperFish certificate
Lenovo Is Breaking HTTPS Security on its Recent Laptops
Lenovo installs adware on its computers that could let hackers steal private data
How to Test Your PC for the New "Superfish" Security Vulnerability
New Lenovo PCs shipped with factory-installed adware
Can Lenovo Regain Consumer Trust After Secretly Installing Adware?
Ähnliche Artikel:
Lenovo Geräte mit Superfish-Adware verseucht
Komodia SSL-Zertifikate faktisch überall – Teil V
Windows Defender findet und entfernt Superfish
Links:
Lenovo-Artikel zur Deinstallation von Superfish
Anzeige
Auch auf einem Medion finden sich Spuren von diesem Fischlein.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extension Compatibility\{74F475FA-6C75-43BD-AAB9-ECDA6184F600}
Klaus
@Klaus: Beachte meinen Nachtrag unter Update zu den Medion-Systemen. Das ist nur ein Kompatibilitätseintrag.
Noch ein paar Nachträge aus dem Web.
Lenovo's Response to Its Dangerous Adware Is Astonishingly Clueless
Lenovo Security Advisory: LEN-2015-010
Superfish-Deinstallationsanleitung von Lenovo
Hier ein Auszug der betroffenen Produkte:
E-Series:
E10-30
Flex-Series:
Flex2 14, Flex2 15
Flex2 14D, Flex2 15D
Flex2 14 (BTM), Flex2 15 (BTM)
Flex 10
G-Series:
G410
G510
G40-70, G40-30, G40-45
G50-70, G50-30, G50-45
M-Series:
Miix2 – 8
Miix2 – 10
Miix2 – 11
S-Series:
S310
S410
S415; S415 Touch
S20-30, S20-30 Touch
S40-70
U-Series:
U330P
U430P
U330Touch
U430Touch
U540Touch
Y-Series:
Y430P
Y40-70
Y50-70
Yoga-Series:
Yoga2-11BTM
Yoga2-11HSW
Yoga2-13
Yoga2Pro-13
Z-Series:
Z40-70
Z40-75
Z50-70
Z50-75
Betroffen sind zudem nur Systeme, die zwischen Oktober und Dezember 2014 ausgeliefert wurden.
Update: Kristian Köhntopp fasst in diesem Posting noch ein paar Aspekte hinsichtlich des installierten Komodia CA Zertifikats zusammen.
Eine schöne Zusammenfassung der Zertifikatsabsicherung findet sich übrigens im Artikel Die Macht des Vertrauens: Der Fall „Superfish" wird zum Super-GAU im GData-Blog.