webBrett

Als Schlussfolgerung aus den letzten Bloatware-Skandalen bei Lenovo und Dell haben die Sicherheitsforscher von Duo Labs eine breitere Analyse neu gekaufter Computer durchgeführt. Und ihre nun veröffentlichten Erkenntnisse sind regelrecht beängstigend - obwohl nur OEM-Updater beschrieben wurden.
In der Produktplanung der PC-Hersteller spielt die so genannte Out-Of-Box_Experience (OOBE) eigentlich eine wichtige Rolle. Der Kunde soll möglichst glücklich und zufrieden sein neu gekauftes Gerät in Betrieb nehmen. Die Stimmung wird ohnehin aber schon dadurch getrübt, dass der Anwender direkt diverse Probelizenzen vorinstallierter Software angedreht bekommen soll. Da können die Hersteller fast schon glücklich sein, dass die von der Bloatware mitgebrachten Sicherheitsprobleme nicht direkt ersichtlich sind.

Die Schwierigkeiten fangen laut den Sicherheitsexperten schon damit an, dass die meisten Hersteller ein oder sogar mehrere eigene Update-Tools auf den Geräten mitliefern. Solche wurden selbst auf Rechnern gefunden, die als "Microsoft Signature Edition" verkauft werden - bei denen also im Grunde eine pure Windows-Installation versprochen wird. Somit sind die Updater zuweilen weiter verbreitet als die übliche Bloatware.

Angesichts dessen, dass diese Updater daher besonders gern zur Zielscheibe von Angreifern werden, nahmen die Sicherheitsforscher an, dass die PC-Hersteller hier besonders auf eine tadellose Funktionsweise achten. Das war aber offensichtlich nicht der Fall. Penetrationstests waren bei allen entsprechenden Tools erfolgreich - es fand sich also immer mindestens eine Sicherheitslücke. Bei einem Anbieter war es sogar möglich, mit einer Man-in-the-middle-Attacke Code mit Systemrechten zur Ausführung zu bringen.

Dabei handelte es sich in einigen Fällen noch nicht einmal um Fehler, von denen die Hersteller keine Ahnung haben konnten. Im Updater von Asus fanden sich Sicherheitslücken, die älter als 125 Tage waren - das ist letztlich der Zeitraum, seit dem Informationen zu dem jeweiligen Problem öffentlich bekannt sind. Bei Acer ging es um 45 Tage.

Aufgrund dessen, dass die Sicherheitsforscher die Hersteller vor der Veröffentlichung ihrer Untersuchungsergebnisse noch einmal kontaktierten, wurde nun zumindest ausreichend Druck aufgebaut. Diverse Probleme - wenn auch nicht alle - wurden inzwischen behoben. Teils wurden zusätzliche Maßnahmen ergriffen, um Exploits auf anderem Weg auszubremsen.

Erstaunlich war den Angaben zufolge aber die Tatsache, dass in vielen Updatern im Grunde die gleichen - relativ trivialen - Bugs gefunden wurden. "Die Art der Sicherheitslücken in diesen Dingern negiert die harte Arbeit, die Microsoft in die Härtung von Windows 10 investiert hat", erklärte Darren Temp von Duo Labs. Daher ist es trotz der inzwischen vorhandenen Patches als sinnvoll anzusehen, wenn möglich jedes neue System erst einmal mit einer originalen, neuen Windows-Installation auszustatten, bevor man den frischen Rechner ans Netz lässt.

Als Bloatware (englisch to bloat „aufblähen“), selten als Blähware oder Fatware[1], wird Software bezeichnet, die mit Funktionen überladen ist bzw. die Anwendungen sehr unterschiedlicher Arbeitsfelder ohne gemeinsamen Nutzen bündelt. Für den Anwender macht diese „Featuritis“ das Programm unübersichtlich, für Entwickler unwartbar. Deshalb neigt Bloatware dazu, vergleichsweise fehlerträchtig zu arbeiten und vergleichsweise komplex und im Detail unausgereift zu sein. Von manchen Anwendern werden zum Beispiel Nero 8, Norton Internet Security und SeaMonkey zu dieser Kategorie gerechnet.

Eine zweite Verwendung findet der Begriff Bloatware bei der Bezeichnung von unnötiger vorinstallierter Software auf Rechnern oder Smartphones, die zusammen mit einem Betriebssystem gekauft wurden. In diesem Fall kann Bloatware abgespeckte Versionen oder Demoversionen kommerzieller Programmpakete umfassen oder Links zu Reklameseiten oder -foren. Oft gehen derlei Vorinstallationen mit einer Vielzahl beim Systemstart zu ladender Gimmicks einher, die den Start und das Arbeitsverhalten des Computers negativ beeinflussen.

Weiterhin wird Software als Bloatware bezeichnet, die, verglichen mit Programmen ähnlicher Funktionalität, wesentlich mehr Systemressourcen beansprucht.

Neben der Beanspruchung von Systemressourcen kann Bloatware den Computer erheblichen Sicherheitsrisiken aussetzen. So öffnet z.B. "Superfish" verschlüsselte Webseiten, um darauf Werbung zu platzieren.[3] Damit werden aber auch HTTPS-verschlüsselte Verbindungen offen für das Mitverfolgen und Aufzeichnen des verschlüsselten Datenverkehrs und für Hacker-Angriffe und -Manipulationen aller Art auf Web-Seiten, die der User als sicher einstuft.

Gründe für das Entstehen von Bloatware

Bloatware entsteht in der Regel aus Marketinggründen oder - auch angeblichen - Anwenderwünschen. Die Softwareentwicklung ist oft durch einen Prozess gekennzeichnet, der im Englischen als creeping featurism (als Anglizismus auch creeping Featuritis, sinngemäß „schleichende Funktionenzunahmekrankheit“) bezeichnet wird: Nach und nach werden immer neue Zusatzfunktionen angeboten, um den Grad der Beliebtheit bzw. Verbreitung zu halten oder zu steigern. Als Nebeneffekt erhöhen sich die Anforderungen an die Hardware, die Bedienung wird komplizierter und die Wahrscheinlichkeit, dass Fehler auftreten, wächst. Dennoch ist nicht jedes (kommerzielle) Programm, das viele Funktionen hat oder nach und nach erhält, von creeping Featuritis betroffen.

Besonders anfällig für eine solche Entwicklung ist kommerzielle Software, bei der es einerseits immer wieder werbewirksame Gründe zum Kauf einer neuen Version geben muss und andererseits bezüglich des Auslieferungsdatums häufig Termindruck besteht, so dass nicht jede neue Funktion hinreichend getestet wird.

Vermeidungsstrategien

Eine Möglichkeit, um das schleichende Aufblähen eines Programms zu verhindern, ist die Bereitstellung einer Plug-in-Schnittstelle. Diese erlaubt es, Funktionalität in Plug-ins auszulagern, die nur von den Nutzern eingebunden werden, die die Funktionen tatsächlich nutzen. Dadurch wird das eigentliche Programm schlank gehalten.