Superfish CA-Zertifikat im Windows-KeystoreIm Februar 2015 wurde Lenovo
wegen der Installation der von Superfish entwickelten VisualDiscovery-Malware auf Laptops verurteilt. Bei näherer Betrachtung stellte sich heraus, dass es sich um eine typische Malware handelt, die den Datenverkehr abhört, Suchanfragen analysiert und Anzeigen auf Seiten von Websites von Drittanbietern einfügt. Die Anwendung fängt ab, einschließlich HTTPS-Verkehr. Zu diesem Zweck installiert es das Superfish-Stammzertifizierungsstellenzertifikat im Windows-Schlüsselspeicher (mit einem privaten Schlüssel) und überträgt den gesamten Datenverkehr zwischen dem Host und dem Browser, wobei das Zertifikat durch ein eigenes ersetzt wird. Ein einfaches Bruteforce-
Wörterbuch mit 2203 Wörtern unter Verwendung des
Pemcrack- Zertifikat-
Crackers bestimmte das Kennwort für den privaten
Komodia- Schlüssel.
Im Allgemeinen kam die Geschichte äußerst unangenehm heraus. Es stellte sich heraus, dass diese Malware seit September 2014 auf Lenovo Laptops installiert ist.
Weitere Untersuchungen ergaben, dass auf 750.000 Laptops der folgenden Modelle insgesamt Malware installiert war: E-Serie, Edge-Serie, Flex-Serie, G-Serie, Miix-Serie, S-Serie, U-Serie, Y-Serie, Yoga-Serie und Z-Serie.
Die Malware drang nicht nur in den Datenverkehr des verschlüsselten Benutzers ein, sondern bot dank des privaten Schlüssels aus dem Zertifikat mit einem einfachen Kennwort möglicherweise die Möglichkeit für einen Angreifer eines Drittanbieters, einen MitM-Angriff durchzuführen, der die Vertraulichkeit von Informationen, einschließlich Finanzdaten usw., gefährdet.
Privater Schlüssel für das Superfish CA-ZertifikatNach dem Ausbruch des Skandals veröffentlichte Lenovo
ein Tool zum automatischen Entfernen von Superfish und Anweisungen zum manuellen Entfernen. Aber das rettete sie nicht vor der Bestrafung. Zunächst kam es zu Vergeltungsmaßnahmen in Form eines
Hackerangriffs mit der Verunstaltung von Lenovo.com , und nun musste das chinesische Unternehmen den verletzten Laptop-Besitzern eine Entschädigung zahlen.
Gegen Lenovo wurde beim Bundesbezirksgericht im nördlichen Distrikt von Kalifornien eine
Sammelklage (PDF) auf Entschädigung eingereicht, und am 21. November 2018 gewährte das Gericht diese Ansprüche vorläufig.
Der Fall kam jedoch nicht zur Zahlung der vom Gericht festgesetzten Entschädigung, da Lenovo mit den Vertretern des Klägers eine
Entschädigung vor dem Verfahren in Höhe von 7,3 Mio. USD vereinbart hatte. Dieser Betrag wird zu der vorherigen Vergütung von 1 Million US-Dollar hinzugerechnet, die Lenovo bereits zugewiesen hat. Somit beträgt der Gesamtfonds für die Zahlung von Entschädigungen an betroffene US-Nutzer nun 8,3 Millionen US-Dollar.
Es sei darauf hingewiesen, dass Lenovo den Behauptungen des Klägers lange Zeit nicht zustimmte, weil ihm „die Funktionsweise des Superfish-Programms durch Dritte nicht bekannt ist“. Sie blieb nicht überzeugt, zeigte sich jedoch zufrieden, dass dieser 2,5-jährige Prozess endgültig abgeschlossen ist. Dies ist in der
offiziellen (bereits gelöschten) Pressemitteilung angegeben .
Möglicherweise müssen die Kosten für juristische Dienstleistungen zur Durchführung des Prozesses vom Fonds abgezogen werden. Wenn wir die Vergütung auf alle 750.000 betroffenen Benutzer aufteilen, erhält jeder nur etwa 10 US-Dollar. Im Prinzip ist dies für die Installation eines MitM-Proxys mit der Einführung von Werbung sehr wenig: Beispielsweise gewährt Amazon einen Rabatt von 20 USD auf seinen Kindle, wenn der Benutzer der Anzeige der Werbung zustimmt. 10 US-Dollar pro Person sind also sehr gering und für Lenovo sogar von Vorteil. Mit Ausnahme von Reputationsschäden.
In der Praxis kann die Höhe der Ausgleichszahlungen jedoch weit unter 750.000 liegen, sodass die Zahlungen mehr als 10 US-Dollar betragen. Die Entschädigung wird nur für diejenigen gewährt, die vom 1. September 2014 bis 28. Februar 2015 in den USA Laptops der folgenden Modelle gekauft haben:
- G-Serie: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- U-Serie: U430P, U430Touch, U530Touch
- Y-Serie: Y40-70, Y50-70
- Z-Serie: Z50-75, Z40-70, Z50-70
- Flex-Serie: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15 (BTM), Flex 10
- MIIX-Serie: MIIX2-10, MIIX2-11
- YOGA-Serie: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Die genaue Höhe der Entschädigung hängt von der Anzahl der Benutzer ab, die Anträge beim Fonds stellen. Zusätzlich zu diesem Geld zahlte Lenovo zuvor im Einvernehmen mit der Federal Trade Commission und den Behörden von 32 Staaten
zwei Bußgelder in Höhe von 3,5 Millionen US-Dollar .
In Russland wurde, soweit bekannt, keine Sammelklage gegen Lenovo eingereicht, so dass keine Entschädigung gewährt wird.
