Eigentlich mag ich Lenovo-Laptops ja. Das heißt, insbesondere ThinkPads. Die verbaute Hardware wird von Linux gut unterstützt, und auch ansonsten sind sie recht solide.
Doch nun das hier. Kurze Zusammenfassung: Lenovo hat auf Laptops Software vorinstalliert, die Werbung auf Websites einblendet. Mein erster Gedanke dazu war: Das ist ja scheiße. Naja, wenn man alle Websites über https aufruft, können die ja nix machen.
Von wegen. Superfish (so heißt die adware) installiert ein root-Zertifikat auf dem Laptop als vertrauenswürdiges Zertifikat, und kann somit für alle möglichen Sachen Zertifikate ausstellen, und mit einer mitm-Attacke so Werbung auch auf verschlüsselten Websites einblenden.
Das klingt ja auf den ersten Blick schon schlimm genug. Aber wenn man darüber nachdenkt, ist es noch schlimmer. Damit beliebig Zertifikate ausgestellt werden können, muss der geheime Schlüssel auf jedem System liegen. Der geheime Teil des Root-Zertifikats ist wohl auf allen Systemen gleich. Ergo kann praktisch jeder Zertifikate ausstellen, die von allen Lenovo-Laptops, die zwischen Mitte und Ende 2014 verkauft wurden, akzeptiert wurden.
Lenovo behauptet, es bestünde kein Sicherheitsrisiko. Immerhin liefern sie die Software nicht mehr aus.
Aber man muss sich das einmal vorstellen. Nach der „Samsung-blendet-bei-lokal-abgespielten-Filmen-Werbung-ein“-Geschichte kommt jetzt noch jemand auf die Idee, den Kunden auf ihren gekauften Geräten Werbung unterzumogeln. Allein das sollte schon kriminell sein. Dann aber auch noch so eine eklatante Sicherheitslücke einbauen? Und selbst wenn es keine Sicherheitslücke wäre, greift diese Software in privaten Datenverkehr ein.
Oh, und das Beste kommt noch: Lenovo hat die Software nach eigenen Angaben als Service für Kunden implementiert. Damit die immer schön passende Werbung sehen können. Wer möchte nicht überall Werbung haben?
Mein Problem ist jetzt: Meine persönliche Blacklist für Hardwarehersteller, Softwarehersteller, ISPs und dergleichen ist mittlerweile so gefüllt, dass ich kaum noch Computerhardware kaufen kann.
Update 2024-06-06
Toten link durch link auf archive.org ersetzt.