Lenovo liefert Laptops mit vorinstallierter Adware aus. Die Software "Superfish" blendet nicht nur ungefragt Werbung ein, sondern stellt auch ein Sicherheitsproblem dar. Betroffene sollten sie umgehend deinstallieren.

Auf einigen Laptops von Lenovo befindet sich ein vorinstalliertes Programm namens Superfish. Die Software wird seit mehreren Monaten mit aktuellen Geräten ausgeliefert. Sie ist beim Browsen im Hintergrund aktiv und blendet auf Websites und bei der Google-Suche ungefragt passende Werbeanzeigen ein.

Offenbar stellt Superfish aber auch ein akutes Sicherheitsrisiko dar, denn mit Hilfe der Software sind Angreifer in der Lage, den Schutz von verschlüsselten HTTPS-Verbindungen auszuhebeln. Bei HTTPS erstellt der Browser für die Kommunikation mit dem Server einen Schlüssel, mit dem die Datenübertragung chiffriert wird. Dieser sei, so "Golem", bei Superfish Teil der Software, was zu einem ernsthaften Sicherheitsproblem führe: Wer diesen Schlüssel besitze, könne selbst beliebig Zertifikate ausstellen, die von allen Lenovo-Laptops ohne Warnung akzeptiert würden, denn das Superfish-Zertifikat sei auf allen Geräten identisch.

Angreifer könnten so über eine vermeintlich sichere Verbindung sämtliche Informationen ausspähen, ohne dass das Opfer etwas davon mitbekommt. Das Vorgehen, bei dem sich eine dritte Partei unbemerkt zwischen Browser und Server schaltet, wird als Man-In-The-Middle-Attacke bezeichnet.

Mehr als nur ungewollt 

Lenovo bezeichnet die "Superfish Visual Discovery" als "potenziell ungewolltes Programm" (PUP). Es solle den Nutzern dabei helfen, potenziell interessante Produkte im Internet besser zu finden, schreibt ein Mitarbeiter. Doch Sicherheitsexperten und besorgte Nutzer im Lenovo-Forum, sehen in Superfish Adware oder potenziell gefährliche Malware. Antiviren-Programme erkennen die Software laut "The Next Web" als Virus und legen eine Deinstallation nahe.

Das Problem: Um auch auf solchen Webseiten Werbung zu platzieren, die über eine gesicherte Verbindung aufgerufen werden, erstellt Superfish ohne das Wissen der Nutzer ein eigenes Stammzertifikat im Systemspeicher von Windows, der zum Beispiel vom Internet Explorer und von Google Chrome benutzt wird. Firefox greift auf einen eigenen Zertifikatsspeicher zurück und ist deshalb nicht betroffen.

Was sind Stammzertifikate?

Zertifikate dienen der sicheren Identifizierung im Internet, sie beglaubigen die Identität von Banken und anderen verschlüsselten Seiten - wie eine Art digitaler Personalausweis. Sie werden, wie "Com-Magazin" erklärt, von externen Zertifizierungsstellen vergeben, private Unternehmen, die die Identität der Betreiber einer Webseite überprüfen. In Deutschland sind das zum Beispiel die drei zu Symantec gehörenden Firmen Verisign, TC Trustcenter und Geotrust sowie die unabhängige PWS Group. Die Unterschriften wichtiger Zertifizierungsstellen sind die sogenannten Stamm- oder Root-Zertifikate. Alle Zertifikate, die mit einem dieser Stammzertifikate unterschrieben sind, werden vom Browser automatisch als sicher eingestuft.

Am Besten deinstallieren

Experten empfehlen, die Software umgehend zu deinstallieren, sofern sie sich auf dem eigenen Laptop befindet - laut "Engadget" wurde sie bisher bereits auf den Modellen G40, Y40 und Z50 gefunden, betroffen sind aber wahrscheinlich alle Consumer-Modelle, die im letzten Halbjahr verkauft wurden. Das geht über den Eintrag "Programme" in der Systemsteuerung. Die Software ist bekannt unter den Namen "Superfish", "Visual Discovery" oder "Similarproducts". Wer Superfish nicht gleich löschen möchte, kann den laufenden Prozess über den Task Manager beenden, dort heißt er "Visual Discovery". Den Task Manager erreicht man über die Tastenkombination Strg+Alt+Entf oder über einen Rechtsklick auf die Taskleiste, Visual Discovery findet sich unter dem Reiter "Dienste". Ein Youtube-Nutzer hat dafür eigens eine Videoanleitung erstellt.

Außerdem sollten die entsprechenden Einträge im Zertifikatsspeicher von Windows gelöscht werden. Die Zertifikatsverwaltung erreicht man, indem man das Startmenü öffnet und dann "certmgr.msc" im Suchfeld eingibt. Um Änderungen vorzunehmen oder einzelne Einträge zu löschen, muss man als Administrator angemeldet sein.

Lenovo hat auf die Vorwürfe reagiert und angekündigt, dass das Unternehmen vorerst keine Laptops mit Superfish mehr ausliefern wolle, bis das Sicherheitsproblem gelöst sei. Bei bereits verkauften Geräten solle ein automatische Update von Superfish die Sicherheitslücke schließen. Gänzlich auf die Installation von Superfish verzichten will man bei Lenovo offenbar nicht.