Update:
Inzwischen hat sich Lenovo zum Sachverhalt mit Superfish und besonders dem Zertifikat geäußert. So erklärt man, dass Superfisch keine Surfdaten oder ähnliches tracken würde. Man würde nur Fotos analysieren um ähnliche Produkte als Pop-Up anbieten zu können. What the F*ck?!
Weitaus beunruhigender ist natürlich die Tatsache mit dem Zerfikat, bzw seinem Privat-Key. Hier betont Lenovo allerdings, dass Buisness-Kunden sich keine Sorgen machen müssen, da Superfish „nur“ auf Consumer-Geräten installiert wurde.
Hier das Statemant von Lenovo:
Lenovo removed Superfish from the preloads of new consumer systems in January 2015. At the same time Superfish disabled existing Lenovo machines in market from activating Superfish. Superfish was preloaded onto a select number of consumer models only. Lenovo is thoroughly investigating all and any new concerns raised regarding Superfish.
Background information on Superfish
Superfish was preloaded onto select models of Lenovo consumer products only and is a technology that helps users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers that may have lower prices, helping users search for images without knowing exactly what an item is called or how to describe it in a typical text-based search engine.
The Superfish Visual Discovery engine analyzes an image 100% algorithmically, providing similar and near identical images in real time without the need for text tags or human intervention. When a user is interested in a product, Superfish will search instantly among more than 70,000 stores to find similar items and compare prices so the user can make the best decision on product and price.
Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted. Every session is independent. When using Superfish for the first time, the user is presented the Terms of User and Privacy Policy, and has option not to accept these terms, i.e., Superfish is then disabled.
Bloatware auf PCs kennt man ja bereits seit Jahren, auch bei Smartphones und Tablets ist dies nichts neues. Doch nun liefert der Hersteller Lenovo ein weiteres starkes Stück ab – Adware auf den eigenen Geräten.
Superfish – so ist die Adware, welche Lenovo seit Mitte 2014 auf die eigenen Geräte installiert bekannt. Über diese Software werden Nutzer auf Webseiten von Produkten geführt, die ganz klar unter der Kategorie Werbung einzustufen sind. Wer denkt, das sei ja alles nicht so schlimm, der sei gewarnt, denn es ist nur die Spitze des Eisberges! Zusätzlich installiert Superfish nämlich ein eigenes Zertifikat, welches es ermöglicht gesicherte Verbindung über HTTPS „abzuhören“. Diese als Man-in-the-Middle bekannte Angriffsmethode erlaubt die Entschlüsselung und somit das Auslesen der Verbindung.
Im Januar äußerte sich Lenovo bereits zu dieser Thematik, allerdings war damals nur die Tatsache bekannt, dass Superfish für ungewollte Pop-Ups sorgte und dies ja bekanntlich auch immer noch tut. Daraufhin teilte man mit, man werde an bereits ausgelieferte Geräte ein Update ausliefern, welches Superfish bis zur Behebung dieser Problematik deaktiviert. Auf neuen Geräten solle Superfish ebenfalls erst zum Einsatz kommen, sobald die Pop-Up Sache geklärt wäre. Doch der wirkliche „Nutzen“ dieser Software ist weiterhin unbekannt.
Zum Zertifikats-Desaster schweigt Lenovo bis zum aktuellen Zeitpunkt, eine Anfrage wurde ebenfalls bisher nicht beantwortet. Sollte dies passieren, reichen wir das Statement natürlich als Update nach.
Lenovo-Nutzer sollten am besten einen aktuellen Virenscanner über ihr System laufen lassen um auszuschließen, dass bereits ein Missbrauch durch das Superfish-Zertifikat stattfand. Ein Adware-Cleaner dürfte dann den Rest besorgen. Wie steht ihr zur Thematik? Stört euch Pop-Up Werbung am PC?
Quelle: The Next Web via: Caschys Blog
