Die Freude über ein neue Notebooks, Komplett-PCs, Tablets und Smartphones erfährt häufig einen gewaltigen Dämpfer, wenn das vorinstallierte Betriebssystem gestartet wird. Denn neben dem Betriebssystem befindet sich auch eine Reihe vorinstallierter Programmen auf dem Rechner, die lästig sein können. Oder wie sich im Fall von Lenovo herausstellt, auch gefährlich.
Eigentlich soll die mit Lenovo-Geräten ausgelieferte Adware namens "Superfish" nur themenbezogene Werbung einblenden, indem sie Bilder auf Webseiten analysiert und entsprechende visuelle Werbeangebote ("Visual Discovery") einblendet. Das alleine ist vielen Nutzern bereits ein Graus, wie ein Ende September 2014 in der Lenovo-Community eröffnetes Thema zeigt.
Aufgrund der Beschwerden hatte Lenovo zwischenzeitlich reagiert und lieferte "Superfish" vorerst nicht mehr mit seinen Geräten aus. Es sollte nachoptimiert werden, sodass Anwender sich von der Werbung nicht mehr gestört fühlen, bereits ausgelieferte Systeme sollten mit einem automatischen Update versorgt werden.
("Superfish" liest mit. Bildquelle: User "zibartsk" in der Lenovo-Community)
Damit könnte die Angelegenheit beendet sein, hätte sich nicht herausgestellt, auf welche Mittel "Supferfish" zurückgreift, um Webseite-Inhalte zu analysieren. Zu diesem Zweck installiert "Superfish" ein eigenes Root-Zertifikat im Windows Zertifikatspeicher, wodurch die Adware auch die Inhalte gesicherter Verbindungen auswerten kann. Betroffen sind sämtliche Anwendungen, die auf den Zertifikatspeicher von Windows zurückgreifen - etwa der Internet Explorer oder Google Chrome. Nicht betroffen ist jedoch Mozillas Firefox, der über eine eigene Zertifikatverwaltung verfügt.
Diese Methode ist auch bei man-in-the-middle Attacken beliebt, durch die sich Kriminelle Zugang zu Informationen wie Passwörtern oder Kreditkartendaten verschaffen. Insofern ist "Superfish" nicht nur lästig, sondern auch ein enormes Sicherheitsrisiko. Denn auch wenn "Superfish" deinstalliert wird, bleibt das Zertifikat im System.
("Superfish" in der Zertifikatverwaltung. Bildquelle: User "zibartsk" in der Lenovo-Community)
Um den Zertifikatspeicher aufzurufen, muss die Zertifikatverwaltung via certmgr.msc ausgeführt werden. Im Ordner "Vertrauensürdige Stammzertifizierungsstellen/Zertifikate" ist ein von der "Superfish, Inc." ausgestelltes Zertifikat unverzüglich zu löschen sofern es vorhanden ist.