Alert!

Gefährliche Hintertür in Acer-Notebooks [Update]

Auf vielen Acer-Notebooks ist ein Programm installiert, die Webseiten als Hintertür dienen kann, um das Notebook komplett fernzusteuern.

Lesezeit: 3 Min.
In Pocket speichern
vorlesen Druckansicht Kommentare lesen 287 Beiträge
Von
  • Jürgen Schmidt

Viele Acer-Notebooks haben eine gefährliche Hintertür, über die Webseiten das Notebook komplett fernsteuern können. Schuld ist das ab Werk installierte ActiveX-Control namens LunchApp.APlunch, das heise Security auf allen untersuchten Acer-Notebooks fand. Darunter war auch ein nagelneues TravelMate, das sich gerade zum Test in der c't-Redaktion befand. Der Besuch auf einer eigens aufgesetzten Testseite startete zur Demonstration des Problems auf diesen Systemen ohne Nachfrage den Windows-Taschenrechner.

Das Control mit der Class-ID D9998BD0-7957-11D2-8FED-00606730D3AA wurde vom Hersteller als Safe for Scripting markiert, sodass eine beliebige Webseite es aufrufen und via JavaScript fernsteuern kann. Über die Methode Run kann sie dann auf dem System befindliche Programme auf Wunsch sogar mit Parametern starten. So könnte sie beispielsweise einen Keylogger nachladen und installieren. Das funktioniert mit Internet Explorer 6 ohne Rückfrage beim Anwender, erst der Internet Explorer 7 verhindert den automatischen Start und fragt nach. Wer allerdings im Internet Explorer 7 das Ausführen des Controls einmal abgesegnet hat, erhält fürderhin keine Warnung mehr. Mit dieser Testseite können Sie prüfen, ob Ihr Acer-Notebook anfällig ist. Wenn der Aufruf der Seite den Windows-Taschenrechner (C:\windows\system32\calc.exe) startet, ist ihr System anfällig; geschieht nichts weiter, hat die Demo nicht funktioniert.

Da die zugehörige Datei LunchApp.ocx das Datum 1998 trägt, ist anzunehmen, dass es bereits seit einiger Zeit mit Acer-Notebooks ausgeliefert wird. Welche Aufgabe es ursprünglich einmal hatte, lässt sich nicht mehr nachvollziehen, der LaunchManager jedenfalls funktioniert davon unabhängig. Selbst ein Vertreter von Acer räumte gegenüber heise Security ein, dass es wirke, als sei es irgendwann mal vergessen worden. Seine Entfernung brachte jedenfalls auf den untersuchten Systemen keine Funktionseinbuße.

Ist das Control installiert, findet sich der obige Class-ID-String in der Registry. Ab Windows XP Service Pack 2 findet man es auch als LunchApp.APlunch unter "Extras/Internetoptionen/Programme/Add-Ons verwalten" und kann es dort auch deaktivieren. Alternativ kann man den Start aus dem Internet Explorer heraus auch mit einem Killbit verhindern und die Datei C:\windows\system\LunchApp.ocx entfernen beziehungsweise umbenennen.

Das Sicherheitsproblem wurde erstmals bereits im November von Tan Chew Keong dokumentiert. Acer bestätigte gegenüber heise Security, dass man bereits an einem Patch arbeite und erst in der zweiten Dezemberhälfte die Produktion umgestellt habe. Derzeit in den Läden befindliche Systeme könnten also durchaus noch betroffen sein. In den nächsten Tagen will Acer auch eine offizielle Stellungnahme veröffentlichen und seinen Kunden einen Patch zugänglich machen.

Update:
Mittlerweile stellt Acer seinen Kunden ein offizielles Sicherheitsupdate zum Download bereit, das das Problem beseitigen soll.

Siehe dazu auch:

(ju)