Lenovo macht Laptops mit Adware Superfish unsicher

Von Klaus Ahrens

Aktuelle Laptops von Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Dies Programm manipuliert den Aufruf von Webseiten und fügt darin Werbung für Verkaufsangebote ein, die zu auf der jeweiligen Seite vorhandenen Bildern passen.

Schon das ist nicht in Ordnung und verfälscht nahezu jede Internetseite, aber die Krönung ist, dass die Software offenbar auch eine gefährliche Sicherheitslücke mitliefert, die die Sicherheit von HTTPS-Verbindungen vollständig aushebelt, nämlich ein in den Browsern voreingestelltes Root-Zertifikat.

Der dazu passende private Schlüssel ist Teil der Software Superfish selbst. Wer über diesen privaten Schlüssel verfügt, hat damit ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseiten-Zertifikate ausstellen kann, die wiederum von allen Lenovo-Laptops mit Superfish darauf ohne Warnung direkt akzeptiert werden.

Es ist sicher nur eine Frage der Zeit, bis der  private Schlüssel von Superfish aus der Software extrahiert und im Netz verbreitet wird. Weitere Details dazu finden Sie bei Golem.