Superfish: Lenovo wird wegen Sicherheitslücke verklagt

Am Donnerstag letzte Woche wurde bekannt, dass etliche Lenovo-Notebooks mit der Software Superfish ausgeliefert wurden. Die Software selbst ist nicht unbedingt gefährlich, da es sich um eine Bildbasierte Suche für Werbe-Banner in Browsern handelt. Die Installation eines eignen Zertifikats machte die Sache erst so gefährlich und genau dafür wird Lenovo nun verklagt.

Die US-Bürgerin Jessica Bennett hat eine Sammelklage sowohl gegen Lenovo als auch Komodia, als Entwickler der Such-Software Superfish. Als Begründung gibt die US-Bürgerin und Bloggerin betrügerische Geschäftspraktiken, das bewusste Verletzen der Privatsphäre von Nutzern sowie das Tracken der Surfgewohnheiten durch beide Unternehmen an. Zwar hat Lenovo mittlerweile ein Tool zum Entfernen der Superfish-Software zum Download bereitgestellt, aber der Image-Schaden dürfte nicht mehr zu bereinigen sein. Zumindest nicht auf kurzfristige Sicht.

Dabei ist die Software an sich gar nicht so gefährlich, zumindest nicht wofür sie mal gedacht war. Superfish ist im Prinzip ein Programm, welches anhand der Surfgewohnheiten passende Werbung einblendet, um so Nutzern die passenden Produkte zur gerade besuchten Website anzubieten. Technisch werden dazu auf der jeweiligen Website verfügbare Bilder gescannt und das unabhängig von einer gesicherten Verbindung über HTTPS.

Was die Superfish-Sache jedoch so gefährlich macht ist der Fakt, dass die Software ein eigenes Root-Zertifikat installiert, und auf diese Weise HTTPS-Verbindungen unterwandert (zum Beitrag). Mit Hilfe dieses Root-Zertifikats sind sogenannte Man-in-the-Middle-Angriffe möglich. Damit wird ein Angriff beschrieben, bei welchem Angreifer ohne das man es bemerkt, die gesendeten und empfangenen manipulieren können.

Ob das äußerst fragwürdige Root-Zertifikat von Superfish auf dem eigenen Rechner ist, kann mit diesem Online-Tool von Filippo Valsorda ganz einfach selbst testen.

[Quelle: PCWorld]