Superfish auf Lenovo-Laptops: Vorinstallierte Adware brach HTTPS-Verschlüsselung

Im Februar 2015 wurde bekannt, dass Lenovo – einer der weltweit größten PC-Hersteller – auf seinen Consumer-Laptops eine Software namens „Superfish Visual Discovery" vorinstalliert hatte. Was als harmloses Adware-Programm für visuelle Produktsuche vermarktet wurde, entpuppte sich als schwerwiegende Sicherheitslücke: Superfish installierte ein eigenes Root-Zertifikat und unterwanderte damit die gesamte HTTPS-Verschlüsselung des Browsers. Jeder Angreifer im selben Netzwerk konnte verschlüsselten Datenverkehr mitlesen – Passwörter, Bankdaten, E-Mails.

Der Vorfall

Lenovo hatte Superfish Visual Discovery zwischen September 2014 und Januar 2015 auf einer Reihe von Consumer-Laptops vorinstalliert. Die Software sollte Nutzern beim Online-Shopping helfen, indem sie Bilder auf Webseiten analysierte und ähnliche Produkte zu günstigeren Preisen vorschlug. Klingt harmlos – war es aber nicht.

Am 19. Februar 2015 veröffentlichte der Sicherheitsforscher Marc Rogers eine detaillierte Analyse, die zeigte, wie Superfish funktionierte: Die Software installierte ein selbstsigniertes Root-Zertifikat im Windows-Zertifikatspeicher und verwendete eine Bibliothek namens „SSL Digestor" (entwickelt von der israelischen Firma Komodia), um sich als Man-in-the-Middle in jede HTTPS-Verbindung einzuklinken.

Das Root-Zertifikat war auf allen betroffenen Lenovo-Laptops identisch – mit demselben privaten Schlüssel. Sicherheitsforscher Robert Graham extrahierte den privaten Schlüssel innerhalb weniger Stunden. Das bedeutete: Jeder, der den Schlüssel kannte, konnte den gesamten HTTPS-Verkehr jedes betroffenen Lenovo-Laptops entschlüsseln. In einem öffentlichen WLAN – im Café, am Flughafen, im Hotel – hätte ein Angreifer Bankdaten, Passwörter und private Nachrichten mitlesen können.

Lenovo reagierte zunächst defensiv, räumte aber schließlich den Fehler ein und stellte ein Entfernungstool bereit. Im September 2017 einigte sich Lenovo mit der US-Handelsaufsichtsbehörde FTC auf einen Vergleich: Das Unternehmen musste 3,5 Millionen Dollar zahlen und sich verpflichten, künftig keine vorinstallierte Software mehr zu liefern, die Sicherheitsfunktionen untergräbt. Microsoft, Mozilla und Google aktualisierten ihre Browser und Zertifikatslisten, um Superfish-Zertifikate zu blockieren.

Wie der Angriff funktionierte

Der Superfish-Vorfall zeigt, wie vorinstallierte Software zum Einfallstor wird:

Stufe 1 – Die Vorinstallation: Lenovo installierte Superfish Visual Discovery als Teil des Betriebssystem-Images auf der Systempartition neuer Laptops. Beim ersten Einschalten war die Software bereits aktiv. Der Nutzer hatte keine Wahl – und wurde nicht über die Sicherheitsimplikationen informiert.

Stufe 2 – Die Root-Zertifikat-Installation: Superfish installierte ein eigenes Root-CA-Zertifikat im Windows-Zertifikatspeicher. Dieses Zertifikat wurde von Windows und allen darauf basierenden Browsern (Chrome, Internet Explorer, Edge) als vertrauenswürdig eingestuft. Firefox war nicht betroffen, da er einen eigenen Zertifikatspeicher nutzt.

Stufe 3 – Der HTTPS-Proxy: Mit dem Root-Zertifikat konnte Superfish sich als Man-in-the-Middle in jede HTTPS-Verbindung einklinken. Wenn Du zum Beispiel Deine Bank-Website aufrufst, stellte Superfish zwei Verbindungen her: eine zur echten Bank-Website und eine zu Deinem Browser. Für Deinen Browser sah es so aus, als wäre die Verbindung sicher – das grüne Schloss wurde angezeigt. In Wirklichkeit las Superfish den gesamten Datenverkehr mit.

Stufe 4 – Das Sicherheitsdesaster: Da der private Schlüssel des Root-Zertifikats auf allen Lenovo-Laptops identisch war, konnte jeder Angreifer, der den Schlüssel kannte, dieselbe Man-in-the-Middle-Technik verwenden. In einem öffentlichen WLAN hätte ein Angreifer ein gefälschtes Zertifikat für jede beliebige Website erstellen können – und der Lenovo-Laptop hätte es als vertrauenswürdig akzeptiert.

Warum Virenscanner versagten

Der Superfish-Fall offenbart eine blinde Stelle in der gesamten Sicherheitsbranche:

• Vorinstallierte Software wird nicht als Malware erkannt. Superfish wurde vom Hersteller des Laptops installiert. Virenscanner stufen herstellerseitig vorinstallierte Software als vertrauenswürdig ein. Lenovo war ein vertrauenswürdiger Hersteller – und trotzdem lieferte das Unternehmen eine Software aus, die HTTPS-Verschlüsselung brach.
• Das Root-Zertifikat war „legal". Es wurde durch einen kontrollierten Installationsprozess eingerichtet, nicht durch einen Exploit. Aus Sicht des Virenscanners war die Zertifikatsinstallation ein normaler Administratorvorgang.
• Adware ist eine Grauzone. Viele Virenscanner erkannten Superfish bestenfalls als „PUP" (Potentially Unwanted Program) – aber nicht als Malware. Die Standardeinstellungen der meisten Scanner ignorierten PUPs.
• Die Komodia-Bibliothek war signiert. Die SSL-Intercepting-Bibliothek hatte eine gültige digitale Signatur. Scanner, die auf Code-Signaturen vertrauten, ließen sie passieren.

So hätte Deep Freeze geschützt

Deep Freeze bietet in diesem speziellen Fall einen ungewöhnlichen, aber äußerst wirkungsvollen Schutz:

1. Bei einem Neugerät: Der Clean-Install-Ansatz. Die beste Praxis bei einem neuen Laptop ist ein sauberer Windows-Install ohne Herstellersoftware. Wenn Du danach Deep Freeze aktivierst, wird dieses saubere System zum eingefrorenen Zustand. Superfish wäre nie Teil Deines Systems gewesen.

1. Wenn Superfish bereits installiert war: Nehmen wir an, Du hättest den Lenovo-Laptop mit Superfish erhalten und Deep Freeze aktiviert, bevor Du das Problem kanntest. In diesem Fall wäre Superfish Teil des eingefrorenen Zustands gewesen – und Deep Freeze hätte das Problem nicht gelöst. Hier zeigt sich: Deep Freeze schützt den Zustand, den Du einfrierst. Deshalb ist es entscheidend, mit einem sauberen System zu starten.

1. Schutz vor nachträglicher Kompromittierung: Der eigentliche Wert von Deep Freeze in diesem Szenario liegt im Schutz vor den Folgen. Wenn ein Angreifer die Superfish-Schwachstelle ausgenutzt hätte, um Malware auf Deinem Rechner zu installieren – etwa einen Keylogger oder einen Remote-Access-Trojaner – wäre diese Malware beim nächsten Neustart verschwunden. Deep Freeze hätte die Folgeschäden eliminiert.

1. Schutz vor ähnlichen Angriffen: Nicht nur Lenovo hat fragwürdige Software vorinstalliert. Dell, HP und andere Hersteller wurden ebenfalls wegen vorinstallierter Root-Zertifikate kritisiert. Wenn Du einen neuen Rechner mit einem sauberen Windows-Install und Deep Freeze einrichtest, bist Du gegen alle Formen von Bloatware geschützt.

Die Lehre

• Vertraue keinem Hersteller blind. Lenovo ist ein seriöser Hersteller – und trotzdem installierte das Unternehmen Software, die HTTPS-Verschlüsselung brach. Vorinstallierte Software ist ein Risiko.
• Ein sauberes System ist die Grundlage für alles. Bevor Du Deep Freeze aktivierst, stelle sicher, dass Dein System sauber ist. Eine frische Windows-Installation ohne Herstellersoftware ist der beste Ausgangspunkt.
• HTTPS ist nur so sicher wie der Zertifikatspeicher. Wenn ein manipuliertes Root-Zertifikat im Speicher liegt, ist die gesamte Verschlüsselung wertlos. Deep Freeze schützt den Zertifikatspeicher nach dem Einfrieren vor jeder Änderung.
• Deep Freeze und ein Clean Install ergänzen sich perfekt. Sauberes System installieren, Deep Freeze aktivieren, fertig. Keine Bloatware, keine manipulierten Zertifikate, keine versteckten Hintertüren.
• Die eingefrorene Systempartition schützt vor Folgeschäden. Selbst wenn eine Schwachstelle wie Superfish ausgenutzt wird, um Malware nachzuladen – nach dem Neustart ist alles weg.