Windows 10: Massive Sicherheitsprobleme durch Bloatware

Als Schlussfolgerung aus den letzten Bloatware-Skandalen bei Lenovo und Dell haben die Sicherheitsforscher von Duo Labs eine breitere Analyse neu gekaufter Computer durchgeführt. Und ihre nun veröffentlichten Erkenntnisse sind regelrecht beängstigend - obwohl nur OEM-Updater beschrieben wurden. In der Produktplanung der PC-Hersteller spielt die so genannte Out-Of-Box_Experience (OOBE) eigentlich eine wichtige Rolle. Der Kunde soll möglichst glücklich und zufrieden sein neu gekauftes Gerät in Betrieb nehmen. Die Stimmung wird ohnehin aber schon dadurch getrübt, dass der Anwender direkt diverse Probelizenzen vorinstallierter Software angedreht bekommen soll. Da können die Hersteller fast schon glücklich sein, dass die von der Bloatware mitgebrachten Sicherheitsprobleme nicht direkt ersichtlich sind.

Die Schwierigkeiten fangen laut den Sicherheitsexperten schon damit an, dass die meisten Hersteller ein oder sogar mehrere eigene Update-Tools auf den Geräten mitliefern. Solche wurden selbst auf Rechnern gefunden, die als "Microsoft Signature Edition" verkauft werden - bei denen also im Grunde eine pure Windows-Installation versprochen wird. Somit sind die Updater zuweilen weiter verbreitet als die übliche Bloatware.


Angesichts dessen, dass diese Updater daher besonders gern zur Zielscheibe von Angreifern werden, nahmen die Sicherheitsforscher an, dass die PC-Hersteller hier besonders auf eine tadellose Funktionsweise achten. Das war aber offensichtlich nicht der Fall. Penetrationstests waren bei allen entsprechenden Tools erfolgreich - es fand sich also immer mindestens eine Sicherheitslücke. Bei einem Anbieter war es sogar möglich, mit einer Man-in-the-middle-Attacke Code mit Systemrechten zur Ausführung zu bringen.

Uralte Bugs blieben unbeachtet

Dabei handelte es sich in einigen Fällen noch nicht einmal um Fehler, von denen die Hersteller keine Ahnung haben konnten. Im Updater von Asus fanden sich Sicherheitslücken, die älter als 125 Tage waren - das ist letztlich der Zeitraum, seit dem Informationen zu dem jeweiligen Problem öffentlich bekannt sind. Bei Acer ging es um 45 Tage.

Aufgrund dessen, dass die Sicherheitsforscher die Hersteller vor der Veröffentlichung ihrer Untersuchungsergebnisse noch einmal kontaktierten, wurde nun zumindest ausreichend Druck aufgebaut. Diverse Probleme - wenn auch nicht alle - wurden inzwischen behoben. Teils wurden zusätzliche Maßnahmen ergriffen, um Exploits auf anderem Weg auszubremsen.

Erstaunlich war den Angaben zufolge aber die Tatsache, dass in vielen Updatern im Grunde die gleichen - relativ trivialen - Bugs gefunden wurden. "Die Art der Sicherheitslücken in diesen Dingern negiert die harte Arbeit, die Microsoft in die Härtung von Windows 10 investiert hat", erklärte Darren Temp von Duo Labs. Daher ist es trotz der inzwischen vorhandenen Patches als sinnvoll anzusehen, wenn möglich jedes neue System erst einmal mit einer originalen, neuen Windows-Installation auszustatten, bevor man den frischen Rechner ans Netz lässt.

Windows 10 Verbesserte, innovative Sicherheitsfeatures