Update mit Stellungnahme: Acemagic Mini-PCs mit Spy- und Malwarebefall

Wir haben kürzlich darüber berichtet, dass auf in bestimmten Revisionen von Systemen des Herstellers Acemagic Malware gefunden wurde. Da auch wir diese Mini-PCs im Test hatten und sie bei mir im Netzwerk hingen, war die Sache natürlich nochmal extra brisant. Wer das Ganze nochmal nachlesen möchte, hier geht es zum ursprünglichen Beitrag:

Auf der Spur der vorinstallierten Seuche: Acemagic Mini-PCs, Spy- und Malware als kostenlose Dreingabe auch bei uns?

Und auch wenn ich auf den angeblich betroffenen Systemen keinerlei Schadware finden konnte, habe ich den Hersteller natürlich um Stellungnahme gebeten. Diese wurde jetzt auch abgegeben, komplett uneditiert könnt ihr sie hier nachlesen:

Auf die relevanten Punkte ohne Marketing- und PR-Blabla möchte ich jeweils nochmal kurz eingehen. 

… proactively addressed an isolated virus incident affecting a specific batch of mini PCs.

… proaktiv auf einen isolierten Virenvorfall reagiert, der eine bestimmte Charge von Mini-PCs betraf.

Wir starten schonmal schlecht, denn das Wort „proaktiv“ bedeutend nicht nur in meinem Wortschatz „durch differenzierte Vorausplanung und zielgerichtetes Handeln die Entwicklung eines Geschehens selbst bestimmen“. Und davon kann hier wohl nicht die Rede sein, wenn die betroffenen Computer bereits beim Kunden stehen. Denn dann ist nur noch reaktives Handeln möglich.

The incident stemmed from software adjustments made by developers to reduce boot times, which inadvertently affected network settings and omitted digital signatures, leading to reports of virus-infected mini PCs manufactured before November 18, 2023. 

Der Vorfall ist auf Softwareanpassungen zurückzuführen, die von den Entwicklern vorgenommen wurden, um die Bootzeiten zu verkürzen, die sich versehentlich auf die Netzwerkeinstellungen auswirkten und digitale Signaturen ausließen, was zu Berichten über von vireninfizierten Mini-PCs, die vor dem 18. November 2023 hergestellt wurden.

Laut Acemagic war also nicht tatsächlich Bladabindi oder Redline Malware auf den Systemen, sondern das Weglassen von Signaturen hat den Windows Defender falsche Schlüsse ziehen lassen. Da mir das nötige Fachwissen in Malware Forensik und die betroffenen Dateien fehlen kann ich diese Aussage nicht weiter beurteilen. Also weiter im Text, was bietet Acemagic betroffenen Kunden an?

Customers can check the production date on the bottom sticker of their device to determine if it is affected. Full refunds and return shipping costs will be provided for products produced between September and November.

Die Kunden können das Produktionsdatum auf dem unteren Aufkleber ihres Geräts überprüfen, um festzustellen, ob es betroffen ist. Für Produkte, die zwischen September und November produziert wurden, werden die Kosten für die Rücksendung und Kaufpreis vollständig erstattet.

Das ist schonmal sehr gut, bei einer vollen Erstattung inklusive Übernahme der Versandkosten gibt es nichts zu meckern.

For customers who choose to retain their products [and reinstall using a provided clean image], we will provide compensation of up to 25% of the order price. To qualify for the 25% refund, customers must provide the Official website order number, a screenshot of the pre-installed browser (upsearch), and a screenshot of the detected virus.

Kunden, die sich dafür entscheiden, ihre Produkte zu behalten [und mit einem zur Verfügung gestellten sauberen Image neu zu installieren], erhalten eine Entschädigung von bis zu 25 % des Bestellpreises, wenn sie die Bestellnummer der offiziellen Website, einen Screenshot des vorinstallierten Browsers (upsearch) und einen Screenshot des erkannten Virus vorlegen.

Auch das ist eine gute Reaktion auf die Situation sowie faires Angebot für den entstehenden Aufwand. Was mich etwas stutzig macht ist aber die Erwähnung einer Bestellnummer aus dem eigenen Webshop und „bis zu“ 25%. Dazu gleich nochmal mehr.

Affected customers will receive a minimum 10% brand discount after verification, applicable for the purchase of new products.

Die betroffenen Kunden erhalten nach Überprüfung einen Rabatt von mindestens 10 %, der für den Kauf neuer Produkte gilt.

Zusätzlich zu den vorherigen beiden Optionen noch einen Rabattcode für zukünftige Käufe anzubieten ist eine nette Geste, aber ob Betroffene wirklich nochmal ein Acemagic System kaufen ist vermutlich fraglich. Auf die verschiedenen Maßnahmen, welche man in Zukunft ergreifen möchte, um weitere Vorfälle wie diesen zu verhindern, gehe ich nicht nochmal extra ein. Das lässt sich unter „Wir versprechen, besser aufzupassen“ zusammenfassen und oben in der PDF nachlasen. Interessant ist aber, dass man alles an Software digital signieren möchte, um ungewollte Änderungen zu unterbinden.

Was hier aber offen gelassen wurde: Was ist mit Kunden, welche nicht direkt im Acemagic Webshop einen Mini-PC gekauft haben? Ich würde vermuten, dass eine erhebliche Anzahl an Systemen via Amazon den Weg ins heimische Büro gefunden hat. Gelten die oben genannten Punkte auch dann noch? Diese Frage habe ich mal an Acemagic geschickt, zusammen mit Bitte zu erklären, wann denn weniger als 25% Erstattung gezahlt werden, wenn man das System behält und selbst neuinstalliert.

Zuletzt war meine Aussage, dass ich die Zusammenarbeit mit Acemagic sehr wahrscheinlich beenden werde. Aber auch wenn das Statement seitens des Herstellers etwas auf sich hat warten lassen, ist die Reaktion erstmal gut. Volle Erstattungen auch lange nach Ablauf der Rückgabefrist, teilweise Erstattung sollte man das Problem selbst beheben und gelobte Besserung. Das ist, so zynisch es klingt, eine Überraschung für mich gewesen. Ich habe ehrlich gesagt erwartet, dass Acemagic verschwindet und zwei Wochen später unter neuem Namen und Logo wieder auftaucht. Eine Taktik, die für Marken mit scheinbar zufallsgeneriertem Namen aus Fernost leider nicht unüblich ist. Abhängig von der Antwort auf meine Rückfrage und Feedback aus der Community werde ich vielleicht zukünftigen Testanfragen wieder zusagen. Die Letzte von kurz vor dem Vorfall habe ich nach Bekanntwerden abgelehnt. Wenn überhaupt, dann wird es direkt am Anfang aber immer eine Verlinkung zu diesem Vorfall geben.

Generell finde ich die Häufigkeit von ähnlichen „Virus ab Werk“ Vorkommnissen in den letzten Jahren sehr bedenklich, ebenso wie schnell sie wieder aus dem kollektiven Gedächtnis verschwinden. Es ist nicht lange her, da hat der Asus Update Dienst Malware verteilt, Gigabyte über einen Supply-Chain Angriff UEFI-Rootkits in der Firmware gehabt und MSI wurden durch einen Hackerangriff private Schlüssel für Signaturen der eigenen Software gestohlen. Ob das heute noch jemand im Kopf hat, wenn er sich ein neues Mainboard in den Warenkorb legt?