Verschiedene aktuelle Laptops des Herstellers Lenovo werden mit einer vorinstallierten Software namens Superfish Visual Discovery ausgeliefert. Das Programm manipuliert Websites, die der Nutzer aufruft und fügt dort anhand eines Algorithmus Werbebanner ein, die den Nutzer auf Verkaufsangebote weiterleiten. Das alleine dürfte vielen Nutzern schon nicht gefallen. Noch gravierender ist, dass die Software eine riesige Sicherheitslücke mit sich bringt, die dazu führt, dass der komplette Schutz von verschlüsselten HTTPS-Verbindungen ausgehebelt wird.

Berichte über Superfish reichen schon einige Monate zurück, doch dass es sich dabei um ein großes Sicherheitsproblem handelt, war bislang offenbar niemandem aufgefallen. In einem Forum von Lenovo findet sich ein Thread vom September 2014, in dem sich ein Nutzer über Superfish beklagt. Erst im Januar antwortete darauf ein Lenovo-Mitarbeiter und bestätigte, dass Superfish von Lenovo auf Consumer-Geräten vorinstalliert wurde. Aufgrund von Problemen, unter anderem mit störenden Werbe-Pop-ups, habe man sich entschlossen, vorerst neue Geräte ohne Superfish auszuliefern. Für Geräte, die bereits ausgeliefert wurden, soll es ein automatisches Update von Superfish geben.

Grundsätzlich versucht Superfish, den Inhalt von Bildern auf Websites zu erkennen. Dazu werden dann passende Verkaufsangebote von verschiedenen Onlineshops eingeblendet. Laut Aussage des Lenovo-Mitarbeiters im Forum sei das für den Nutzer sogar ein toller Service: Sie könnten damit Kaufangebote erhalten, bei denen sie Schwierigkeiten hätten, diese über eine textbasierte Suchmaschine zu finden. Bedenken seien unbegründet, Superfish achte die Privatsphäre der Nutzer und erstelle keine Profile. Die Betroffenen zeigen sich allerdings alles andere als begeistert von Superfish.

Pikant ist, wie die Funktionalität des Programms Superfish implementiert wurde. Viele Websites werden heutzutage verschlüsselt über HTTPS ausgeliefert. Damit Superfish auch in diese seine Werbung einbinden kann, installiert das Programm ein sogenanntes Root-Zertifikat im Betriebssystem Windows. Mithilfe dieses Zertifikats kann Superfish dem Nutzer für verschlüsselte Websites wiederum eigene, gefälschte Zertifikate unterschieben.

Superfish-Zertifikat untergräbt Sicherheit von HTTPS

Das Problem dabei: Solche gefälschten Zertifikate kann nicht nur Superfish ausstellen, sondern jeder, der den entsprechenden Schlüssel aus der Software extrahiert. Sicherheitsexperten befürchten, dass genau das bald passieren wird.

Damit ist praktisch der gesamte Schutz, den die HTTPS-Verschlüsselung bietet, ausgehebelt. Denn die Zertifikate haben eigentlich nur einen Zweck: zu zeigen, dass hinter der Website zum Beispiel einer Bank wirklich die Bank steckt. Kriminelle aber, die in der Lage sind, gefälschte Zertifikate auszustellen, können den Nutzern der Lenovo-Laptops mittels einer sogenannten Man-in-the-Middle-Attacke manipulierte Onlinebanking-Websites unterschieben, aber auch Passwörter mitlesen und vieles mehr. Dazu müssen sie sich allerdings im selben Netzwerk befinden, zum Beispiel in einem Café oder am Flughafen, oder den Datenverkehr des Opfers unterwegs kontrollieren können, etwa bei einem Internetprovider.

Nutzer können die Superfish-Software zwar deinstallieren, allerdings bleibt das entsprechende Root-Zertifikat dann trotzdem im System gespeichert. Sprich: Auch wer Superfish entfernt, bleibt unverändert angreifbar. Um sich zu schützen, muss man das Superfish-Zertifikat manuell in der Zertifikatsverwaltung von Windows entfernen. Eine entsprechende Anleitung findet sich hier.

Der systemweite Zertifikatsspeicher wird vom Internet Explorer und von Chrome genutzt. Firefox nutzt seinen eigenen Zertifikatsspeicher, in den das Superfish-Zertifikat ebenfalls installiert wird, dort muss es auch entfernt werden.

Ddie Thinkpads von Lenovo sind aber auch deshalb so beliebt, weil sich viele Modelle sehr gut mit Linux-Betriebssystemen vertragen. Ein alternativer, allerdings vergleichsweise radikaler Weg, Superfish zu stoppen, ist deshalb der Wechsel von Windows zu Linux.