Lenovo
20.02.2015, 11:04 Uhr
«Das haben wir ziemlich versaut»
Lenovo arbeitet an einem Tool, um die gefährliche Adware Superfish von seinen Laptops entfernen zu können. Doch so ganz will die Firma ihre Fehler nach wie vor nicht eingestehen.
Lenovo gibt zu, dass sie auf ihren Laptops eine Bloatware installieren, die zu massiven Sicherheitsproblemen fhrt. «Das haben wir ziemlich versaut», sagte Lenovo CTO Peter Hortensius in einem Interview. «Es gibt keine anderen Worten dafür. Wir versuchen nicht, irgendetwas zu verstecken.» Obwohl sich Nutzer seit September über die Anwendung Superfish beschweren, wurde erst krzlich bekannt, wie gefährlich sie tatsächlich ist. Superfish installiert nach Aktivierung ihr eigenes Root-Zertifikat im Zertifikatsspeicher von Windows. Daraus generiert Superfish SSL-Zeritifkate, wenn der User HTTPS-Webseiten aufruft. Superfish ist damit ein Man-in-the-Middle-Proxy zwischen dem Nutzer und den eigentlich sicheren Webseiten. «Ich habe derzeit einige sehr peinlich berührte Entwickler in meinem Team,» sagte Hortensius.
Lenovo Schweiz weiss wenig
Lenovo hat mittlerweile bekannt gegeben, welche Modelle davon betroffen sind. Wurde gestern in einem offiziellen Statement von «ein paar» gesprochen, wird mit der Liste klar, dass es fast alle Modelle sind, welche Lenovo zwischen September und Dezember 2014 herstellte:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
- Y Series: Y430P, Y40-70, Y50-70
- Z Series: Z40-75, Z50-75, Z40-70, Z50-70
- S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30
- Touch Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11 Y
- OGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E Series: E10-30
Welche davon in der Schweiz erhältlich sind oder waren, konnte uns Lenovo Schweiz nicht sagen.
Aus Adware wird Malware
Ursprünglich war Superfish dazu gedacht, Nutzern eine visuelle Unterstützung bei der Suche nach Produkten zu finden. Dazu manipuliert Superfish den Aufruf von Webseiten und blendet Verkaufsangebote ein, die zu Bildern auf der jeweiligen Seite passen. Das störte die Nutzer derart, dass Lenovo die Aktivierung im Januar deaktivierte. Damals allerdings nur, um Probleme mit Pop-ups in den Griff zu bekommen. Die Software oder das Root-Zertifikat wurden nicht entfernt. Lenovo sind die Sicherheitslücken gemäss eigener Aussage nicht aufgefallen, bis sie öffentlich gemacht wurden. In der Zwischenzeit hat man eine Anleitung herausgegeben, mit der Superfish vom Computer entfernt werden kann. Lenovo bestätigt aber, dass auch wenn die Software manuell deinstalliert wird, das Root-Zertifikat erhalten bleibt. Deshalb arbeite man an einem Clean-up-Toop, sagte Peter Hortensius. «Wir werden alles tun, dass dieses Problem schnell gelöst wird und dass so etwas nie wieder vorkommt.»
Überflüssiger Kommentar
Ein fahler Beigeschmack bleibt bei der Geschichte aber. Denn Peter Hortensius sagt auch, dass er nicht mit den Sicherheitsexperten, die Superfish aufs massivste kritisieren, argumentieren wolle. Diese aber würden mit «theoretischen Sorgen» argumentieren. Während Lenovo «kein konkreter Fall vorliegt, bei dem Superfish für Schaden verantwortlich war.»