Software "Superfish" Sicherheitslücke auf Lenovo-Computern vorinstalliert

  • Die Software "Superfish" ist auf einigen Computern von Lenovo vorinstalliert und soll zusätzliche Werbeeinblendungen ermöglichen. Sie bietet aber offenbar auch Hackern Zugang.
  • Mit dem Programm sei es für Angreifer möglich, Zugriff auch auf verschlüsselte Verbindungen zu bekommen, etwa beim Onlinebanking. Das berichten Sicherheitsexperten.
  • Lenovo kündigte an, "Superfish" nicht mehr einzusetzen und die Sicherheitsprobleme zu untersuchen.

Lenovo-Software "Superfish" umgeht Verschlüsselung

Der Computerhersteller Lenovo hat eine Werbesoftware auf einigen seiner Rechner vorinstalliert. Die Software namens "Superfish" zeigt zusätzliche Werbung beim Suchen mit Google an. Doch das ist Berichten zufolge nicht alles: Die Software schaltet sich demnach auch zwischen sichere Verbindungen ein. Beim Aufruf vermeintlich verschlüsselter Webseiten etwa beim Online-Banking kann sich Superfish zwischenschalten, ohne dass die Nutzer davon etwas mitbekommen.

Sicherheitsexperten werfen Hersteller Sorglosigkeit vor

Lenovo bestätigte zunächst nur Teile der berichteten Funktionen der Software. Nutzer hätten gegen das Programm protestiert, daher spiele man es seit Januar nicht mehr vom Werk aus auf neue Computer auf. Sicherheitsexperten zeigten sich entsetzt. Superfish sei ein Alptraum, schrieb Marc Rogers, Sicherheitsfachmann beim Web-Dienstleister CloudFlare, auf seinem Blog. Nutzer könnten keiner vermeintlich sicheren Internetverbindung mehr trauen. Lenovo öffne Hackern Tür und Tor, schrieb Rogers. "Sie kompromittieren nicht nur SSL-verschlüsselte Verbindungen, sie tun es auch noch auf die sorgloseste, unsicherste Art, die man sich vorstellen kann." Unter anderem verwende die Software für alle Nutzer dasselbe Basis-Zertifikat - wer eines knackt, kann so potenziell alle Besitzer der betroffenen Geräte abhören.

Betroffen sein sollen Lenovo-Laptops Y50 und Z40

Bereits am Donnerstag erklärte ein Sicherheitsexperte, das Passwort für das zugrunde liegende Zertifikat geknackt zu haben. Lenovo bestätigte lediglich, dass die Software zusätzliche Werbung anzeigt habe. Auf das möglich Einklinken in sichere Netz-Verbindungen ging das Unternehmen hingegen nicht ein. Auch auf bereits verkauften Rechnern werde Superfish nicht mehr aktiviert. Die Software werde nicht mehr auf Lenovo-Rechnern eingesetzt. "Lenovo geht allen neuen Bedenken hinsichtlich Superfish genau nach", erklärte das Unternehmen. In einem weiteren Statement hieß es: "Wir haben diese Technologie genau untersucht und keine Nachweise gefunden, um die Sicherheitsbedenken zu bestätigen." Es blieb offen, ob Lenovo damit allein die Werbefunktion meinte. Die von der Firma Superfish im kalifornischen Palo Alto entwickelte Software ist spezialisiert auf die Internetsuche per Bilderkennung. Berichten in Nutzerforen zufolge sind die Lenovo-Laptops Y50 und Z40 sowie die Browser Chrome und Internet Explorer betroffen