Die Woche ging es ja im Internet rum – auf Lenovo-Computern war eine Software Superfish vorinstalliert, die den Nutzern beim Surfen Werbung eingeblendet hat. Im Blog-Beitrag versuche ich einen kurzen Überblick zu geben, was daran gefährlich ist, warum die Software runter muss und wie man testet, ob man betroffen ist.
Anzeige
Über den Lenovo-Skandal habe ich im Beitrag Superfish-Adware auf Lenovo-Computer vorinstalliert berichtet. Selbst Medien wie die Zeit oder Spiegel Online hatten die Nachricht. Bestimmte Geräte der chinesischen Firma Lenovo enthielten die Software Superfish. Aufgefallen ist es Benutzern, die sich beim Surfen über plötzlich eingeblendete Kaufempfehlungen wunderten und dann auf das potentiell unerwünschte Programm stießen. Zwischenzeitlich hat Lenovo reagiert und die Software von neuen Geräten entfernt. Betroffen waren, laut Lenovo, wohl Geräte, die im Zeitraum September bis Dezember 2014 ausgeliefert wurden.
Warum ist das so schlimm?
Dass Computerhersteller Software vorinstallieren, ist seit langem bekannt. Manche Software ist auch ganz brauchbar, anderes ärgerlich (speziell die 90-Tage-Versionen von Sicherheitssoftware oder die 30-Tage-Office-Probe). Die Computerhersteller bekommen dann ein paar Cents von den Herstellern der Probesoftware, weil letztere hoffen, dass die Käufer ein kostenpflichtiges Abonnement eingehen.
Bei der Software Superfish ist das aber nochmals eine Klasse anders – es handelt sich um sogenannte Adware, also Software, die Werbung einblendet. Ich hatte kürzlich schon im Artikel Adware: Wenn der Browser nur noch Werbung zeigt… auf das Problem hingewiesen. In diesem Artikel ging es um Adware, die der Benutzer selbst über installierte Software auf das System holt. Da ist es natürlich doppelt schlimm, wenn so etwas bereits vom Hersteller auf dem neu gekauften Computer oder Tablet vorinstalliert ist.
Katastrophe, nichts ist mehr sicher
Aber es kommt noch schlimmer. Im Browser kann man die Webseiten über das sogenannte http-Protokoll oder über das https-Protokoll abrufen. Das https-Protokoll kommt immer dann zum Einsatz, wenn geschützte Verbindungen benötigt werden, die sich nicht durch unbefugte Dritte mitlesen lassen sollen. Denken Sie an Online-Konten bei Bank, E-Mail-Anbieter, Webshops wie Amazon und so weiter. Hier muss man sicher sein, dass die Verbindung geschützt und nicht manipuliert werden kann.
Der Browser zeigt bei https-Verbindungen ein grünes Schloss in der Adresszeile. Ist das Schloss geschlossen, konnte man davon ausgehen, dass die Verbindung verschlüsselt und sicher war. Pendanten haben auf das Schloss geklickt und geschaut, von wem die sogenannten Zertifikate stammten. Diese geben an, wer für die sichere Verbindung bürgt. Wenn das Zertifikat auf den Betreiber der Webseite ausgestellt ist, kann man davon ausgehen, dass alles in Ordnung ist.
Die Software Superfish verwendet nun eine "Hilfssoftware" der Firma Komodia, die mit einem fiesen technischen Trick (über ein installiertes sogenanntes Root-Zertifikat, Details braucht man eigentlich nicht zu wissen) auch verschlüsselte https-Verbindungen mitlesen kann. Also im Klartext: Man macht Online-Banking und die Software von Komodia liest alles mit und kann sogar die Inhalte ändern. Dem Benutzer wird vom Browser aber weiter über das grüne Schloss signalisiert, dass alles sicher sei. Ein sicherheitstechnischer GAU, der gar nicht geht (die Firma Komodia wirbt sogar damit, dass sie alles mit abgesicherten Verbindungen anstellen können).
Nicht nur Superfish nutzt Komodia
Anzeige
Kann man Skandal noch steigern? Keine Ahnung, aber das Ganze weitet sich aus. Durch die Verbreitung des Superfish auf vielen Lenovo-Rechnern und die Tatsache, dass mit Komodia jetzt ein "Lauscher" auf dem Rechner sitzt, ist das System auch für kriminelle Zwecke angreifbarer geworden. Es sind zwar noch keine Fälle bekannt, aber Experten haben bereits einige Szenarien beschrieben, die ich lieber vermeiden möchte. Und es geht noch weiter: Nachdem Komodia in den Fokus der Sicherheitsforscher gerückt ist, hat man eine Reihe Produkte identifiziert, die diese Software ebenfalls mit verwenden.
Bin ich betroffen? Wie kann ich testen?
Obige Erklärungen sollen nur verdeutlichen: Wer Komodia und Superfish auf dem Rechner hat, ist gefährdet. Die spannende Frage ist nun: Bin ich betroffen. Hier gibt es die Möglichkeit, einen einfachen Test durch Aufrufen dieser Webseite auszuführen.
Die Seite ist zwar in Englisch, aber der obige Text mit dem Wörtchen Good (gut) sagt, dass mein System wahrscheinlich nicht betroffen ist (der Test hat nichts festgestellt). Es wurden auch keine Komodia Produkte auf meinem Rechner gefunden. Wichtig ist, dass dieser Test nicht mit dem Firefox-Browser funktioniert. Dieser benutzt seine eigenen Zertifikate, so dass der Test fehlschlägt.
Ich bin betroffen, was kann ich tun?
Sollte beim Test – möglicherweise in roter Schrift – eine Warnung kommen, dass der Rechner befallen ist, haben Sie zwei Möglichkeiten, den Superfish samt Zertifikaten loszuwerden.
- Microsoft hat den Windows Defender zwischenzeitlich aktualisiert, so dass der den Superfish erkennt und diesen vom System bereinigt. Unter Windows 8 und Windows 8.1 arbeitet der Defender ja auch als Virenscanner. Wichtig ist allerdings zu wissen, dass installierte Dritthersteller Virenschutzsoftware den Defender abschaltet.
- Die Firma Lenovo hat zwischenzeitlich auch reagiert und bietet ein Programm zum Entfernen der Superfish-Software für Windows an. Laden Sie sich das SuperfishRemovalTool.exe (5.70 MB) zur Entfernung der Software aus dem Internet herunter und führen Sie es unter Windows aus.
Im Anschluss können Sie ja den Rechner neu starten und den obigen Test auf Superfish erneut durchführen. Es sollten keine Warnungen mehr erscheinen. Gibt es trotzdem Warnungen? Man kann ggf. auch noch einen Versuch mit Hilfe dieses Computerbild-Artikels wagen. Hilft das nicht, würde ich das System einem Fachmann zur Inspektion übergeben. Ich hoffe, mit dem Artikel eine kleine Hilfestellung bezüglich Superfish und die damit verbundenen Probleme gegeben zu haben.
Ähnliche Artikel:
Superfish-Adware auf Lenovo-Computer vorinstalliert
Adware: Wenn der Browser nur noch Werbung zeigt…
Malware: Unerwünschte Browser-Hijacker als SW-Beifang
Anzeige
Nachtrag: Wenn man betroffen ist und der Windows Defender oder das Lenovo-Tools ausgeführt wurde, sollte man zur Sicherheit nochmals den Test, ob man betroffen ist ausführen. In diesem Beitrag beschreibe ich ein Szenario, in dem eventuell das System durch die automatischen Tools möglicherweise nicht wirklich gesäubert wird.