Superfish-Adware: Lenovo kommt mit 3,5 Millionen Dollar Strafe davon

Lenovo wird 3,5 Millionen Dollar Strafe bezahlen und werde künftig die Erlaubnis von Nutzern abfragen, bevor solche Programme auf den Rechnern installiert werden. Im Jahr 2014 hatte Lenovo Rechner verkauft, auf denen das Programm VisualDiscovery des Adware-Anbieters Superfish installiert war.

Diese Software stellte nicht nur ein Sicherheitsleck dar, sondern unterdrückte auch die Meldungen von Browsern, wenn Nutzer bösartige Seiten aufriefen. Die Software wurde den Nutzern zudem ungefragt untergejubelt. Mehrere Hunderttausend Geräte wurden mit dieser Software vorinstalliert. Verschiedene Sicherheitslösungen erkannten die Software als Schädling. Zumal diese auch sensible Nutzerinformationen wie etwa Sozialversicherungsnummern auf den Geräten ausspähte und diese an die Server von Superfish sendete, wie die Federal Trade Commoission mitteilt.

Auf einer Web-Seite von LastPass können Anwender überprüfen, ob sie von der Adware betroffen sind. (Screenshot: Cnet.de)

Nachdem bereits einige Nutzer gegen Lenovo wegen der Verbreitung der Software geklagt hatten, entfernte Lenovo die Software anfang 2015 wieder von den Rechnern.

“Lenovo hat die Privatsphäre der Nutzer verletzt, als es über eine vorinstallierte Software auch sensible Informationen abgriff, ohne den Anwender darüber zu informieren oder die Erlaubnis dafür einzuholen”, kommentierte FTC-Chairman Maureen Ohlhausen in einer Mitteilung .

Lenovo kommentierte die Einigung mit der FTC. Der Hersteller weise zwar die Vorwürfe der FTC zurück, sei aber zufrieden, nach mehr als zweieinhalb Jahren, diese Sache aus der Welt schaffen zu könnnen. Es seien auch keine Fälle bekannt, in denen Unberechtigte über die Software auf die Systeme von Nutzern zugriffen, wie Lenovo gegenüber der Nachrichtenagentur Reuters in einer Email erklärt.

Ausgewähltes Whitepaper

Optimierungsbedarf bei Logistikprozessen?

Die Lösung lautet: Dokumentenmanagement. Erfahren Sie im kostenlosen E-Book, wie ein Dokumentenmanagement-System (DMS) Ihnen helfen kann, Ihre Logistikprozesse zu verbessern – von der Artikelnummer bis zur Zustellung. Lesen Sie außerdem, wie Sie ein DMS auch im laufenden Betrieb zeit- und kostensparend implementieren können.

Die Superfish-Malware hatte es durchaus in sich. Die Software nutzte ein selbstsigniertes Root-Zertifikat, um mit HTTPS verschlüsselten Traffic zu entschlüsseln. So konnte die Adware alle Verbindungsdaten sämtlicher besuchter Websites mitlesen, um dann entsprechende Werbung anzeigen zu können.

Da das Zertifikat des Softwareherstellers Superfish in die Liste der Systemzertifikate von Windows aufgenommen ist, konnte es auch von anderen für bösartige Man-in-the-Middle-Angriffe benutzt werden.

Erste Beschwerden über Superfish auf Lenovo-Laptops tauchten im September 2014 auf. Eine der Klägerinen habe ihr Yoga-2-Laptop von Lenovo für geschäftliche Zwecke wie die Kommunikation mit Kunden gekauft. Beim Verfassen eines Blogeintrags für einen Kunden habe sie auf dessen Website “Spam-Werbung” mit “spärlich bekleideten Frauen” entdeckt. Nachdem sich auch auf anderen Websites unerwünschte Pop-up-Fenster geöffnet hätten, habe sie angenommen, auf ihrem Computer befinde sich eine Spyware oder sie sei gehackt worden. In Internetforen sei sie dann allerdings auf ähnliche Probleme anderer Besitzer von Lenovo-Laptops und die Adware Superfish als Ursache gestoßen.

Webinar

Digitalisierung fängt mit Software Defined Networking an

In diesem Webinar am 18. Oktober werden Ihnen die unterschiedlichen Wege, ein Software Defined Network aufzubauen, aus strategischer Sicht erklärt sowie die Vorteile der einzelnen Wege aufgezeigt. Außerdem erfahren Sie, welche Aspekte es bei der Auswahl von Technologien und Partnern zu beachten gilt und wie sich auf Grundlage eines SDN eine Vielzahl von Initiativen zur Digitalisierung schnell umsetzen lässt.

Lenovo-CTO Peter Hortensius hatte sich in einem offenen Brief bei Kunden entschuldigt, die zwischen September 2014 und Februar 2015 ein Lenovo-Laptop mit Superfish gekauft haben. “Wir haben die Berichte über die Sicherheitslücke der Software gesehen und sofort Maßnahmen ergriffen, um sie zu entfernen”, heißt es darin. “Das Problem hat selbstverständlich bei unseren Kunden, Partnern, denen, die sich für Lenovo interessieren, unserer Branche und der Technologie im Allgemeinen für Unruhe gesorgt. Dafür würde ich mich gerne entschuldigen.”

Ob die Betroffenen Nutzer durch die Zahlung an die FTC entschädigt werden, ist derzeit nicht bekannt. Lenovo hatte 2015 zudem mit einem Sicherheitsleck in einer Systemsteuerungssoftware zu kämpfen. Auch andere Hersteller wie Dell waren von vergleichbaren Problemen betroffen.

Redaktion

Recent Posts

Bau-Spezialist Schöck: Migration von SAP ECC ERP auf S/4HANA

Bau- und Fertigungsspezialist investiert in die S/4HANA-Migration und geht mit RISE WITH SAP in die…

1 Tag ago

Pure Storage: Cloud, KI und Energieeffizienz

Trends 2025: Rasante Entwicklungen bei Automatisierung, KI und in vielen anderen Bereichen lassen Unternehmen nicht…

2 Tagen ago

GenKI verbessert Datenmanagement und Angebotsgenauigkeit

DHL Supply Chain nutzt generative KI-Anwendungen für Datenbereinigung und präzisere Beantwortung von Angebotsanforderungen (RFQ).

3 Tagen ago

Rolls-Royce Power Systems nutzt industrielle KI aus der IFS Cloud​

Marke mtu will globale Serviceabläufe optimieren und strategische Ziele hinsichtlich Effizienz, Nachhaltigkeit und Wachstum unterstützen.

3 Tagen ago

Thomas-Krenn.AG: viele Pflichten, knappe Ressourcen, mehr freie IT-Welt

IT-Infrastruktur-Trends 2025: Open-Source-Projekte sowie aufwändige regulatorische und Pflichtaufgaben werden das Jahr prägen.

3 Tagen ago

Stadt Kempen nutzt Onsite Colocation-Lösung

IT-Systeme werden vor Ort in einem hochsicheren IT-Safe betrieben, ohne auf bauliche Maßnahmen wie die…

4 Tagen ago