Aktuelle Laptops des chinesischen Herstellers Lenovo liefern eine Adware namens Superfish Visual Discovery mit. Dies Schadprogramm manipuliert den Aufruf von Webseiten und fügt dort Werbung für Verkaufsangebote ein, die zu den auf der jeweiligen Seite vorhandenen Bildern passen.
Schon das verfälscht nahezu jede aufgerufene Internetseite, aber die Krönung des Ganzen ist, dass die Software auch eine gefährliche Sicherheitslücke mitliefert, die die Sicherheit bei HTTPS-Verbindungen komplett aushebelt: ein Root-Zertifikat, das in den Browsern voreingestellt ist.
Der zu dem Zertifikat passende private Schlüssel ist Teil der Software Superfish selbst. Wer diesen privaten Schlüssel hat, verfügt damit über ein Root-Zertifikat samt privatem Schlüssel, mit dem er beliebige Webseiten-Zertifikate ausstellen kann, die wiederum von allen Lenovo-Laptops mit installiertem Superfish darauf ohne Warnung direkt akzeptiert werden.
Es ist wohl nur eine Frage der Zeit, bis der private Schlüssel von Superfish aus der Software extrahiert und dann im Netz verbreitet wird. Weitere Details finden Sie bei Golem.
