Offenbar installiert der Treiber für den Bluetooth-Stack in einigen Lenovo-PCs ein eigenes Root-Zertifikat, was an eine ähnliche Lücke in Dells Foundation-Services-Software, die Ende November bekannt wurde, erinnert. Laut heise Security liefert Lenovo im Gegensatz zu der Dell-Lücke keine privaten Schlüssel mit den Zertifikaten aus. Daraus folgt, dass sich nach momentanem Wissensstand Dritte keine Zertifikate ausstellen können, um die Verschlüsselung der betroffenen PCs zu kompromittieren.

Ein Bluetooth-Treiber der Firma Cambridge Silicon Radio (CSR) installiert zwei Zertifikate namens Harmony(Test) und HarmonyNew(TEST) im Zertifikatsspeicher von Windows, wie ein Moderator eines Android-Forums bereits im Oktober herausfand. Golem berichtet, dass es sich dabei wohl um Testzertifikate zum Unterschreiben von Treibern handelt und dass sich diese Zertifikate auch im offiziellen Download des Treibers bei Lenovo finden. Aus Sicherheitsgründen wird dieser Download nun nicht mehr angeboten.

Es besteht wohl keine konkrete Angriffsgefahr auf die Rechner, da es keine Anzeichen dafür gibt, dass private Schlüssel für die Zertifikate im Umlauf sind. Die Zertifikate können allerdings auch manuell entfernt werden. Gegenüber heise Security haben bislang weder Lenovo noch Qualcomm offiziell die Sicherheitslücke bestätigt. Für Lenovo sind die installierten Zertifikate wohl keine Ausnahme. Dieses Jahr hatte die Firma schon mehre Male Probleme mit vorinstallierter Software auf ihren Geräten, die Sicherheitsbedenken auslöst.

(ts, hannover)

(siehe auch heise-News-Ticker:)

Hannover · EDV-Beratung · Linux · Novell · Microsoft · Seminar · IT-Consult · Netzwerk · LPIC · CLE