Nach dem Debakel bei Dell wurden jetzt auch bei Lenovo vorinstallierte Zertifikate auf Rechnern von Kunden entdeckt. Sie stammen vom Bluetooth-Treiber der Firma CSR.
Der Treiber für den Bluetooth-Stack in einigen Lenovo-PCs installiert offenbar ein eigenes Root-Zertifikat. Das erinnert an eine ähnliche Lücke in Dells Foundation-Services-Software, die Ende November bekannt wurde. Im Gegensatz zu der Dell-Lücke liefert Lenovo allerdings unseres Wissens keine privaten Schlüssel mit den Zertifikaten aus. Das wiederum bedeutet, dass sich nach momentanem Wissensstand Dritte keine Zertifikate ausstellen können, um die Verschlüsselung der betroffenen PCs zu kompromittieren. Wie ein Moderator eines Android-Forums schon im Oktober herausfand, installiert ein Bluetooth-Treiber der Firma Cambridge Silicon Radio (CSR) zwei Zertifikate namens Harmony(Test) und HarmonyNew(TEST) im Zertifikatsspeicher von Windows. Dabei handelt es sich wohl um Testzertifikate zum Unterschreiben von Treibern, wie Golem berichtet. Laut Golem finden sich diese Zertifikate auch im offiziellen Download des Treibers bei Lenovo. Dieser Download wird nun aus Sicherheitsgründen nicht mehr angeboten. Da es keine Anzeichen dafür gibt, dass private Schlüssel für die Zertifikate im Umlauf sind, besteht wohl keine konkrete Angriffsgefahr auf die Rechner. Wer auf Nummer Sicher gehen will, kann die Zertifikate manuell entfernen. Bisher haben weder Lenovo noch Qualcomm, seit Mitte des Jahres Mutterkonzern von CSR, offiziell die Sicherheitslücke gegenüber heise Security bestätigt. Die installierten Zertifikate scheinen keine Ausnahme für Lenovo zu sein. Die Firma hatte dieses Jahr schon mehrmals Probleme mit auf ihren Geräten vorinstallierter Software, die Sicherheitsbedenken auslöst.