Seit geraumer Zeit ist es normal geworden, dass selbst Markenhersteller neue Rechner mit vorversautem Betriebssystem ausliefern: Demo-Software, unnütze Tools, Werbung, sogenannte "Bloatware" (Blähware). Das alles bremst selbst brandneue Rechner aus, oft hilft nach dem Neukauf nur "plattmachen", den Rechner neu aufsetzen.
Das geht meist schneller als den Dreck und seine Hinterlassenschaften manuell rauszuräumen. Die Selbstverständlichkeit der Perversion geht inzwischen so weil, dass es ein Verkaufsargument geworden ist, unversaute Rechner anzubieten. Bei Microsoft nennt sich das "Signature Edition".
Ganz offensichtlich zu weit gegangen ist jetzt der aktuell weltweit größte PC-Hersteller Lenovo. Es wurde bekannt, dass Lenovo Laptops im vermutlichen Produktionszeitraum September 2014 bis Februar 2015 (Angabe Lenovo) die sehr kritische Anwendung Superfish vorinstalliert hat.
Superfish manipuliert beispielsweise die Anzeigendarstellungen beim Surfen. Als extrem sicherheitsbedenklich gilt, dass Superfish auch ein SSL-Zertifikat installiert. Angreifer könnten das ausnutzen um selbst SSL-verschlüsselte Webseiten zu modifizieren. Auch kann die Umleitung von Web-Datenverkehr über einen Superfish-Werbe-Server natürlich eine Verlangsamung der Internetgeschwindigkeit bedeuten wie unter anderem hier diskutiert.
Das alles tut Superfish heimlich ohne Wissen der Nutzer. Dass es mit Superfish Ärger gibt, war für Lenovo leicht vorhersehbar. Bereits Ende September 2014 wurden auch im offiziellen Lenovo Community-Forum unerwünschte Superfish-Vorfälle diskutiert. Absurderweise hat Lenovo da noch versucht, die Vorinstallation von Superfish als nützlich zu verteidigen.
Nach Bekanntwerden des "Malware"-Skandals hat Lenovo zunächst versucht die Sache mit einem Statement schönzureden. Das Statement ist an Peinlichkeit nicht zu übertreffen, Lenovo verhöhnt seine Kunden schamlos. Da heißt es:
"In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks. The goal was to improve the shopping experience using their visual discovery techniques."
Es wird also erklärt, man habe die Dritt-Anbieter-Software Superfish vorinstalliert um unter anderem die "Shopping-Experience" für die Nutzer zu steigern. Noch schlimmer: zunächst hat Lenovo auch erklärt, dass Superfish kein Sicherheitsrisiko darstellt.
Tatsache ist aber, dass Superfish nicht nur die Anzeigeneinblendungen manipuliert, sondern auch ein extremes Sicherheitsrisiko ist. Denn: sämtliche vermeintlich sicheren SSL-Verbindungen werden damit angreifbar, wie unter anderem im Blog von Marc Rogers dokumentiert. Fatalerweise ist das Superfish-Zertifikat inzwischen geknackt und Cyberkriminellen damit die Tür geöffnet.
Inzwischen hat Lenovo versichert, dass Superfish ab Januar 2015 nicht mehr vorinstalliert wird und dass man diese "Software" künftig auch nicht mehr vorinstallieren wird. Nutzer eines Lenovo-Rechners können dank einer Webpräsenz von Filippo Valsorda per Schnelltest direkt im Browser überprüfen, ob sie Superfish drauf haben.
Der Test sollte mit allen installierten Browsern durchgeführt werden. Er ist auch hilfreich um festzustellen, ob eine Superfish-Deinstallation geklappt hat. Lenovo bietet inzwischen ein Tool zum automatischen Entfernen von Superfish an.