Lenovo er blevet fanget i at installere adware på en række af sine bærbare computere, der potentielt kan efterlade kunder totalt sårbare over for cyberkriminelle, der ønsker at stjæle deres data.
Softwaren, kaldet Superfish Visual Discovery, kom forudinstalleret på Lenovo-maskiner og kan injicere tredjepartsannoncer i Google og andre søgninger udført i Internet Explorer (IE) og Chrome, mens de får dem til at ligne en ægte annonce resultater.
Teknikken har gjort mange brugere rasende og fangede Lizard Squads opmærksomhed, som hackede Lenovos hjemmeside i et tilsyneladende hævnangreb.
Forbrugere begyndte at klage over Superfish Visual Discovery, som også kan producere pop-ups og forårsage, at nogle websteder ikke gengives korrekt, så længe siden som september 2014. Det tog dog indtil 23. januar i år for Lenovo at anerkende brugernes klager over, at det var mere end simpelt crapware.
Mark Hopkins, Lenovos programchef for sociale medier, udsendte en erklæring om Lenovos fora at forsikre kunderne om, at deres onlineadfærd ikke spores af adwaren, og at teknologien er "rent kontekst-/billedbaseret og ikke adfærdsbaseret".
Superfish sikkerhedstrussel
Ikke desto mindre er der blevet rejst alvorlige betænkeligheder ved denne softwares "out-of-the-box" karakter, både fra et privatlivs- og et sikkerhedssynspunkt.
For det første blev Superfish Visual Discovery skabt af et tredjepartsfirma, kaldet Superfish, som ikke er en del af Lenovo. Derfor bliver alle data indsamlet af programmet sendt tilbage til en tredjepart.
På sikkerhedssiden har nogle hævdet, at Superfish kan opfattes som en "man-in-the-middle" malware, herunder Facebooks ingeniørdirektør, Mike Shaver.
Lenovo installerer et MITM-certifikat og proxy kaldet Superfish på nye bærbare computere, så det kan injicere annoncer? Nogen fortæller mig, at det ikke er den verden, jeg er i.
— Mike Shaver (@shaver) 19. februar 2015
Derudover ser Superfishs selvsignerede rodsikkerhedscertifikat ud til at give det samme adgangsniveau som Microsoft, hvilket betyder, at den kan læse data sendt over formodet sikre SSL-forbindelser, såsom online bankvirksomhed.
Selvom der ikke er noget, der tyder på, at Superfish eller Lenovo har udført denne form for snoking, er det potentielt gør brugere sårbare over for angreb, hvis en hacker skulle få fat i programmets rodcertifikat privat nøgle.
Fordi certifikatet giver Superfish samme autoritetsniveau på Windows som Microsoft, kunne det iflg sikkerhedsbloggere Decent Security, bruges af cyberkriminelle til at udvikle malware, der så ud til at være skrevet af Microsoft. Dette kan gøre det muligt for det ondsindede program at forblive uopdaget af anti-malware-software, hvilket efterlader brugere fuldstændig sårbare.
Dette scenarie forværres af det faktum, at Superfish tilsyneladende bruger den samme nøgle til alle installationer, hvilket betyder, at når en ondsindet skuespiller havde nøglen til én maskine, ville de have nøglen for dem alle.
.@akatakritos@ETFovac@__apf__#superfisk Dine: http://t.co/JhaE5UqOQJ Mine: http://t.co/F2RXfz8blF Samme RSA-modul og SPKI. 😐
— Chris Palmer (@fugueish) 19. februar 2015
Chris Boyd, en malware-intelligensanalytiker hos Malwarebytes, fortalte PC Pro: "Forudinstalleret software er altid et problem, fordi der ofte ikke er nogen nem måde for en køber at vide, hvad den software gør - eller hvis fjernelse af den vil forårsage systemproblemer længere nede i linjen. Selvom en ren installation af operativsystemet er at foretrække, er det ikke altid praktisk – at trykke på knappen tilbagerulning / fabriksindstilling på en ny maskine vil give dig programmer tilbage, du lige har prøvet at fjerne, og ikke alle har en stak operativsystemdiske ved hånden.
"I dette særlige tilfælde bør enhver berørt afinstallere Superfish-softwaren og derefter skrive certmgr.msc ind i deres Windows-søgelinje – derfra kan de finde og fjerne den relaterede rod certifikat."
Der er også spørgsmålet om lovligheden af Lenovos præinstallation af Superfish på brugernes computere.
Advokat David Marchese, det engelske medlem af det internationale juridiske netværk Globalaw, fortalte PC Pro: “Fra et juridisk perspektiv … vil spørgsmålene være, om nogen gør brug af en forbrugers personlige data uden deres forudgående samtykke eller anden lovlig begrundelse? Bliver forbrugerens personlige data sendt ud af EØS uden samtykke og så videre."
Marchese sagde, at de, der er kede af Lenovos opførsel, muligvis også kan rejse en civil sag mod virksomheden.
"Hvis en forbruger køber en computer, der har indbyggede trusler mod deres sikkerhed, ser det ud til at give anledning til grundlæggende krav i henhold til Sale of Goods Act 1979," sagde han.
PC Pro kontaktede også Information Commissioner's Office (ICO), som fører tilsyn med kommunikation og dataregulering og standarder i Storbritannien. En talsmand sagde: "Vi er opmærksomme på bekymringer, der er blevet udtrykt over Lenovos håndtering af forbrugernes oplysninger, og vi vil foretage forespørgsler for at fastslå de fulde detaljer."
Superfish: Lenovos svar
I en erklæring fortalte Lenovo PC Pro: “Lenovo fjernede Superfish fra forudindlæsningerne af nye forbrugersystemer i januar 2015. Samtidig deaktiverede Superfish eksisterende Lenovo-maskiner på markedet fra at aktivere Superfish."
“Superfish har fuldstændigt deaktiveret serversideinteraktioner (siden januar) på alle Lenovo-produkter, så produktet ikke længere er aktivt. Dette deaktiverer Superfish for alle produkter på markedet,” sagde Lenovo.
"Vi har grundigt undersøgt denne teknologi og finder ingen beviser, der underbygger sikkerhedsproblemer. Men vi ved, at brugerne reagerede på problemet med bekymring, og derfor har vi truffet direkte foranstaltninger for at stoppe forsendelsen af produkter med denne software," tilføjede den.
Lenovo fortalte os også, at Superfish "kun var forudindlæst på et udvalgt antal forbrugermodeller". Dette synes dog at blive modsagt af klager vedr Lenovos forum at programmet fik IE til ikke at genkende .Net smart cards, som bruges til sikkerhed og adgangsstyring i nogle virksomheder.
Virksomheden sagde, at det "omhyggeligt undersøger alle og eventuelle nye bekymringer, der er rejst vedrørende Superfish".
Fortæl os i kommentarerne, hvis du har oplevet lignende problemer, vi vil også opdatere denne artikel, efterhånden som ny information bliver tilgængelig.
Sådan opdager du, om du har Superfish
Opdatering:Vaughn Highfield: Hvis du har en Lenovo bærbar computer og er usikker på, om du skal bekymre dig om, at Superfish opsnapper dine transaktioner, er der en række måder at se, om du har Superfish kørende under motorhjelmen.
En sikker måde at vide, at du har det godt på, er, hvis du har købt din bærbare computer fra Microsofts Signature-serie af bærbare computere. Disse bærbare computere kommer helt uden bloatware, så du ved, at du får en fuldstændig sikker enhed, der ikke er bundet til ubrugelig – og potentielt farlig – affald.
Hvis du ikke gjorde det, kan du gå videre til denne Superfish CA-test og det vil fortælle dig ret tydeligt, hvis du har Superfish, der opsnapper din kommunikation. Der er også en lidt mere farverig variant på LastPass blog, der tilbyder instruktioner om, hvordan du afinstallerer programmet og fjerner de gamle certifikater.
Selvom du måske bare tænker "åh, hvor slemt kan det være?" det er værd at bemærke, at inden for en time eller deromkring efter Superfishs opdagelse, Errata sikkerhedstak en guide op for at vise dig, hvor nemt det er for enhver at hacke sig ind og se præcis, hvad du laver med din computer.
Virkelig skræmmende ting.
