Es geht ja in dem o.g. Fall gar nicht um die Geräte an sich, sondern darum dass die Firma Lenovo die Computer mit vorinstallierter Malware ausliefert, die mittels gefälschter SSL-Zertifikate einen Man-In-The-Middle-Angriff bei HTTPS ermöglicht.
Ach ja, noch ein Kommentar dazu: Auch hier bin ich nicht betroffen, da ich Cert Pinning betreibe. Damit fällt mir dann auch immer sofort auf, wenn die entsprechende IT-Organisation mal wieder MITM Schweinkram betreibt. In grossen Firmen greift das gerade immer mehr um sich. Inzwischen habe ich einige Firmen erwischt, die sowas ohne grosse Ankündigung oder Betriebsvereinbarung durchziehen. Da die Mitarbeiter auf die vorinstallierten CAs vertrauen fällt das denen auch nicht auf.
Allerdings stört auch Cert Pinning die Bequemlichkeit fauler Menschen. Die Unfähigkeit, oder besser gesagt der Unwillen, der Softwareentwickler (auch im OS Bereich!) mit Lösungen ohne kommerzielle CA (Community CA, DANE, Self Signed, Cert Pinning) ordentlich umzugehen trägt zusätzlich dazu bei, dass der Umgang mit Zertifikaten noch lästiger wird als notwendig. Dabei sind vorinstallierte CA sowieso Broken by Design: Ein Zulieferer kann nicht für mich einem Dritten bzw. sogar Vierten das Vertrauen aussprechen.
