Achtung: Gefährliche adware Superfish in Lenovo Factory-Install

gazpel

New member
Themenstarter
Registriert
2 März 2008
Beiträge
553
-- Update --

advisory von lenovo


Da der private key des Zertifikats mittlerweile geknackt ist können Betroffene sehr leicht angegriffen werden.
Das Zertifikat gilt auch als Signatur für Software es ist also nicht nur beim Surfen gefährlich.
Jeder der davon betroffen ist sollte es umgehend entfernen.

Test:
Ob man betroffen ist kann man hier testen.
Wenn der Browser keine Zertifikatswarnmeldung anzeigt ist man betroffen!

ibmthink hat eine Liste betroffener Serien gepostet.

Erste Hilfe:

Automatisch:
Anleitung von Lenovo mit Removal-Tool
Windows Defender kann es auch entfernen

Manuell:
1. Superfish (Visual Discovery) deinstallieren. (neue Deinstallationsanleitung )
2. Das superfish Zertifikat löschen: windows, firefox/thunderbird

Nachdem alle Zertifikate entfernt wurden muss auch noch der browsercache gelöscht werden.
Um sicher zu gehen dass alles OK ist den Test erneut durchführen!

Weiterführende Empfehlungen:
1. Daten sichern
2. Betriebssystem neu installieren (Nicht über die recovery partition oder davon erstellen Medien!)
a) Windows clean-install
b) Linux Ubuntu Schnelleinstieg
3. Mit dem sauberen Betriebssystem sämtliche Passwörter zu Online-Accounts ändern die auf dem betroffenen System eingegeben wurden, angefangen beim primären E-Mail Account.

Links
Pressemitteilung von Lenovo
heise
chip

-- Originalpost --
Nennt sich superfish und klinkt sich auch in SSL Verbindungen ein (mit einem eigenen Zertifikat) was ein immenses Sicherheitsrisiko darstellt.

Betroffen sind mindestens die Geräte der Y,P und Z Serien, aber paranoid wie ich bin empfehle ich auch allen anderen Thinkpad Besitzern die noch mit der Factory-Install unterwegs sind eine clean-install.

http://www.engadget.com/2015/02/19/lenovo-superfish-adware-preinstalled/

https://forums.lenovo.com/t5/Lenovo...-adware-spam-Superfish-powerd-by/td-p/1726839
 
Zuletzt bearbeitet:
"We have thoroughly investigated this technology and do not find any evidence to substantiate security concerns ..."
Genau das ist ja das Problem ;-)
 
How to destroy a reputation in one step. :facepalm:

Au man Lenovo, ich war drauf und dran ein Teil von euch zu kaufen. Nun muss ich mir das noch mal überlegen...
 
Erst richtig Mist bauen und dann weiter lügen.
> The relationship with Superfish is not financially significant; our goal was to enhance the experience for users.
Ne, ist klar. Denk doch auch mal einer an die User!!1!
 
Auf Tagesschau wird übrigens diese Trennung zwischen Consumer- und Business-Abteilung auch nicht gezogen. [IRONIE]Da wird es garantiert so einige geben, die dieser PR-Gag zum Kauf eines Lenovo-Geräts verführt[/IRONIE]. :facepalm:
 
leider ohne Anleitung zur Löschung des Zertifikats.
"This article will be updated with additional instructions on clean up of deactivated files and removal of certificate shortly."
anscheinend kann/sind die mitarbeiter von lenovo nicht mal fähig eine suchmaschine zu benutzen. *fail* *doppelfacepalm*


Sie müssen mindestens Mitglied der Gruppe Benutzer oder ‎Lokale Administratoren sein, um dieses Verfahren ausführen zu können. Überprüfen Sie die Details unter "Weitere Überlegungen" in diesem Thema.
So löschen Sie ein Zertifikat
  • Öffnen Sie das Zertifikat-Snap-In für einen Benutzer, Computer oder Dienst.
  • Klicken Sie in der Konsolenstruktur unter dem logischen Speicher, der das zu löschende Zertifikat enthält, auf Zertifikate.
  • Klicken Sie im Detailbereich auf das Zertifikat, das Sie löschen möchten. (Um mehrere Zertifikate auszuwählen, halten Sie STRG gedrückt, und klicken Sie auf die einzelnen Zertifikate.)
  • Klicken Sie im Menü Aktion auf Löschen.
  • Klicken Sie auf Ja, wenn Sie das Zertifikat endgültig löschen möchten.
ZitatQuelle : https://technet.microsoft.com/de-ch/library/cc772354.aspx
 
Ich habe den Eingangspost mal ein bischen aufgebessert. Verbesserungsvorschläge baue ich gerne ein, oder wer die Rechte dazu hat kann diese auch gerne selbst einfügen. Passwörter ändern mag paranoid sein, aber durch die MITM können die nunmal abgegriffen worden sein.

Da die recovery partition (und alle damit erstellen Installationsmedien) ebenfalls infiziert sind, sollte man diese ggfs. einfach löschen. Stellt lenovo den Betroffenen eine neue recovery oder saubere Medien bereit?
 
Zuletzt bearbeitet:
Das schlägt dem Fass die Krone ins Gesicht: Nach Lenovos Deinstallationsanleitung, *trommelwirbel*
[h=4]Superfish will be removed from Program Files and Program Data directories, files in user directory will stay intact for the privacy reason. Registry entry and root certificate will remain as well. The Superfish service will stop working as soon as it is uninstalled via above process, and following reboot.[/h]
Quelle: http://forums.lenovo.com/t5/Lenovo-...lDiscovery-Superfish-application/ta-p/2029206

Das root-Zertifikat bleibt installiert? Einmal "episches Verkacken für 500, bitte". Da bleibt nur die Hoffnung, dass es Lenovo so weh tut (schwarz auf weiß in den Bilanzen), dass da für lange Zeit keiner mehr auf solche Ideen kommt. Nichtmal ihre Schadensbegrenzungsabteilung ist fähig, aber wen überrascht das jetzt noch.
 
Modellliste der betroffenen Geräte:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
 
Bei mir in der Uni würde es sich fast lohnen, ein Infoblatt aufzuhängen... alleine in meinen aktuellen Vorlesungen mit ca. 100 Leuten dürfte die Zahl an (nach der Liste wohl potentiell betroffenen) Uxx0, Miix2-10 und Yoga deutlich zweistellig sein. :D
 
Wirklich eine unglaubliche Sache... Welcher BWL'ler hat da denn gedacht: "Ach, bei den Billigmodellen merkt das hoffentlich keiner und wir verdienen ordentlich Kohle"? (Sorry an anwesende BWL'ler für diese Stammtisch-Pauschalaussage) Mann mann mann, sowas kann man nicht machen. Und dann im Lenovo-Forum das ganze zunächst noch verteidigen à la "Das ist keine Adware, die hilft den nicht so Computer-affinen Nutzern!", "Jetzt aber nicht über den Unterschied zwischen PUP (Potentially Unwanted Program) und Adware diskutieren, nur weil du das Programm nicht magst", "wir meinten es doch nur gut" und "Ach? Das kam schlecht an? Na dann sind wir die barmherzigen Samariter und hören auf die Kunden, deinstallieren also die Software wieder". Das ist unglaublich frech und zerstört mein Vertrauen in Lenovo ziemlich. Wer weiß, was sie noch so alles vorinstalliert haben, vorinstallieren und vorinstallieren werden - nächstes Mal vielleicht versteckter, damit die Sache länger dauert bis sie auffliegt?
Alle, die sich außerdem noch über die Sicherheitsbedenken geäußert haben und Links dazu gepostet haben, wurden auch noch zensiert, da man ja "keine Anleitungen zum illegalen Umgehen von Sperren, Passwörtern, Fingerabdrücken und Co." posten darf - dass Lenovo selbst das mit der Software selbst als MITM macht und es nur darum ging? Egal, schnell zensieren.

Zusammen mit dem abgestürzten Support (laut c't Statistiken), kann man Lenovo inzwischen wirklich nicht mehr uneingeschränkt empfehlen. Auch wenn die Hardware top ist - wenn kein Support und dann noch solche Kundenver***e dahinter steckt, muss man das überdenken...

Bei mir in der Uni würde es sich fast lohnen, ein Infoblatt aufzuhängen... alleine in meinen aktuellen Vorlesungen mit ca. 100 Leuten dürfte die Zahl an (nach der Liste wohl potentiell betroffenen) Uxx0, Miix2-10 und Yoga deutlich zweistellig sein. :D
Echt? Bei uns sind die Laptopmarken ziemlich quer Beet verstreut in den Vorlseungen und bei den Lenovos wüsste ich gerade nur von einen Yoga. Ansonsten nur ein S und ein X, der Rest an Lenovos in den Vorlesungen ist meist aus der T-Serie hier :) Die Institute haben aber tatsächlich größtenteils Lenovos, aber auch da sind es meist T, außer wenn die Profs direkt drauf schreiben, dann X-Tablets.
 
Rein objektiv gesehen ist es echt ordentlich schiefgelaufen... erst die Entscheidung, das überhaupt zu installieren, und dann die Art und Weise, damit umzugehen - lange nicht anerkennen inkl. Hinweisen à la "Argueing with a mod is against the community rules" im Forum :D, dann zugeben und jetzt behaupten, es sei ja gar nicht so gravierend...

Echt? Bei uns sind die Laptopmarken ziemlich quer Beet verstreut in den Vorlseungen und bei den Lenovos wüsste ich gerade nur von einen Yoga. Ansonsten nur ein S und ein X, der Rest an Lenovos in den Vorlesungen ist meist aus der T-Serie hier :) Die Institute haben aber tatsächlich größtenteils Lenovos, aber auch da sind es meist T, außer wenn die Profs direkt drauf schreiben, dann X-Tablets.
Klar, bei den Profs bzw. in den Instituten sind es, wenn Lenovo, dann meist Thinkpads - aber unter den Studenten würde ich den Anteil von Apple und Lenovo zusammen auf ca. 75% schätzen, etwa hälftig verteilt. Gerade das U330 und das Miix2-10 sieht man (wohl durch die Angebote von Campuspoint etc. im letzten Jahr) darunter ziemlich häufig ;)
 
Noch ein sehr quickiger Schnelltest:

certmgr.msc in die Suchleiste eingeben und unter Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate nachsehen, ob der Superfish Inc. da auftaucht.

---
certmgr_msc_superfish.jpg
---​

Wenn nicht, ok. :)
 
Normal müßte ja da Superfish unter den installierten Programmen auftauchen oder? Hab zwar nur ThinkPads aber das macht mich nachdenklich, Schützen kann man sich zwar sowieso nicht, siehe NSA und Festplattenhersteller.
 
Achtung: Entgegen anderslautender Meldungen ist Firefox doch betroffen (nach dem 1. Reboot)
Also bitte, auch noch in den Firefox-Zertifikaten nachsehen.
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben