Lenovo tertangkap memasang adware ke sejumlah laptopnya yang berpotensi membuat pelanggan sangat rentan terhadap penjahat dunia maya yang ingin mencuri data mereka.
Perangkat lunak, yang disebut Superfish Visual Discovery, sudah diinstal sebelumnya pada mesin Lenovo dan dapat menyuntikkan iklan pihak ketiga Google dan pencarian lainnya dilakukan di Internet Explorer (IE) dan Chrome, sekaligus membuatnya tampak seperti iklan asli hasil.
Teknik ini membuat marah banyak pengguna dan menarik perhatian Lizard Squad, yang meretas situs web Lenovo sebagai serangan balas dendam.
Konsumen mulai mengeluh tentang Superfish Visual Discovery, yang juga dapat menghasilkan pop-up dan menyebabkan beberapa situs web tidak ditampilkan dengan benar, sejak September 2014. Namun butuh waktu hingga 23 Januari tahun ini bagi Lenovo untuk mengakui keluhan pengguna tentang hal itu lebih dari sekedar crapware sederhana.
Mark Hopkins, manajer program Lenovo untuk media sosial, memposting pernyataan di forum Lenovo meyakinkan pelanggan bahwa perilaku online mereka tidak dilacak oleh adware, dan bahwa teknologinya “murni berbasis kontekstual/gambar dan bukan perilaku”.
Ancaman keamanan ikan super
Namun demikian, kekhawatiran serius telah dikemukakan tentang sifat out-of-the-box dari perangkat lunak ini, baik dari sudut pandang privasi dan keamanan.
Pertama, Superfish Visual Discovery dibuat oleh perusahaan pihak ketiga bernama Superfish, yang bukan merupakan bagian dari Lenovo. Oleh karena itu, setiap data yang dikumpulkan oleh program dikirim kembali ke pihak ketiga.
Di sisi keamanan, beberapa berpendapat Superfish dapat dianggap sebagai malware "man-in-the-middle", termasuk direktur teknik Facebook, Mike Shaver.
Lenovo memasang sertifikat MITM dan proxy bernama Superfish, di laptop baru, sehingga dapat menyuntikkan iklan? Seseorang memberi tahu saya bahwa itu bukan dunia tempat saya berada.
— Mike Shaver (@pencukur) 19 Februari 2015
Selain itu, sertifikat keamanan root yang ditandatangani sendiri oleh Superfish tampaknya memberikan tingkat akses yang sama sebagai Microsoft, artinya dapat membaca data yang dikirim melalui koneksi SSL yang seharusnya aman, seperti online perbankan.
Meskipun tidak ada indikasi Superfish atau Lenovo telah melakukan pengintaian semacam ini, hal itu berpotensi terjadi membuat pengguna rentan terhadap serangan jika peretas ingin mendapatkan sertifikat root program secara pribadi kunci.
Karena sertifikat tersebut memberi Superfish tingkat otoritas yang sama pada Windows seperti Microsoft, menurut blogger keamanan Keamanan yang Layak, digunakan oleh penjahat dunia maya untuk merekayasa malware yang tampaknya ditulis oleh Microsoft. Ini dapat membuat program jahat tidak terdeteksi oleh perangkat lunak anti-malware, membuat pengguna benar-benar rentan.
Skenario ini diperburuk oleh fakta bahwa Superfish ternyata menggunakan kunci yang sama untuk semua instalasi, artinya setelah aktor jahat memiliki kunci untuk satu mesin, mereka akan memiliki kuncinya untuk mereka semua.
.@akakritos@ETFovac@__apf__#ikan super Milikmu: http://t.co/JhaE5UqOQJ Milikku: http://t.co/F2RXfz8blF Modulus RSA dan SPKI yang sama. 😐
— Chris Palmer (@fugueish) 19 Februari 2015
Chris Boyd, seorang analis intelijen malware di Malwarebytes, memberi tahu PC Pro: “Perangkat lunak prainstal selalu menjadi perhatian karena seringkali tidak ada cara mudah bagi pembeli untuk mengetahui apa yang dilakukan perangkat lunak tersebut – atau jika menghapusnya akan menyebabkan masalah sistem lebih lanjut. Sementara penginstalan sistem operasi yang bersih lebih disukai, itu tidak selalu praktis – menekan tombol kembalikan / pengaturan pabrik pada a mesin baru akan mengembalikan program yang baru saja Anda coba hapus, dan tidak semua orang memiliki setumpuk disk sistem operasi.
“Dalam kasus khusus ini, siapa pun yang terpengaruh harus menghapus perangkat lunak Superfish lalu mengetik certmgr.msc ke bilah pencarian Windows mereka – dari sana, mereka dapat menemukan dan menghapus root terkait sertifikat."
Ada juga pertanyaan tentang legalitas pra-instalasi Superfish Lenovo di komputer pengguna.
Pengacara David Marchese, anggota Inggris jaringan hukum internasional Globalaw, mengatakan PC Pro: “Dari perspektif hukum… pertanyaannya adalah, apakah seseorang memanfaatkan data pribadi konsumen tanpa persetujuan sebelumnya atau pembenaran hukum lainnya? Apakah data pribadi konsumen dikirim keluar dari EEA tanpa persetujuan dan sebagainya.”
Marchese mengatakan mereka yang kecewa dengan perilaku Lenovo mungkin dapat mengajukan kasus perdata terhadap perusahaan juga.
“Jika konsumen membeli komputer yang memiliki ancaman terhadap keamanan mereka, hal itu tampaknya akan menimbulkan klaim dasar berdasarkan Undang-Undang Penjualan Barang 1979,” katanya.
PC Pro juga menghubungi Kantor Komisaris Informasi (ICO), yang mengawasi regulasi dan standar komunikasi dan data di Inggris Raya. Seorang juru bicara mengatakan: "Kami menyadari kekhawatiran yang telah diungkapkan tentang penanganan informasi konsumen Lenovo dan akan melakukan penyelidikan untuk menetapkan rincian lengkap."
Superfish: Respons Lenovo
Dalam sebuah pernyataan, Lenovo memberi tahu PC Pro: “Lenovo menghapus Superfish dari preload sistem konsumen baru pada Januari 2015. Pada saat yang sama, Superfish menonaktifkan mesin Lenovo yang ada di pasar untuk mengaktifkan Superfish.”
“Superfish telah sepenuhnya menonaktifkan interaksi sisi server (sejak Januari) di semua produk Lenovo sehingga produk tersebut tidak lagi aktif. Ini menonaktifkan Superfish untuk semua produk di pasar, ”kata Lenovo.
“Kami telah menyelidiki teknologi ini secara menyeluruh dan tidak menemukan bukti yang mendukung masalah keamanan. Tapi kami tahu bahwa pengguna bereaksi terhadap masalah ini dengan perhatian, jadi kami telah mengambil tindakan langsung untuk menghentikan pengiriman produk apa pun dengan perangkat lunak ini,” tambahnya.
Lenovo juga memberi tahu kami bahwa Superfish "dimuat sebelumnya ke sejumlah model konsumen tertentu saja". Namun, hal ini tampaknya bertentangan dengan keluhan pada forum Lenovo bahwa program tersebut menyebabkan IE tidak mengenali kartu pintar .Net, yang digunakan untuk keamanan dan manajemen akses dalam beberapa bisnis.
Perusahaan itu mengatakan "menyelidiki secara menyeluruh semua dan setiap kekhawatiran baru yang diajukan terkait Superfish".
Beri tahu kami di komentar jika Anda mengalami masalah serupa, kami juga akan memperbarui artikel ini saat informasi baru tersedia.
Cara mendeteksi jika Anda memiliki Superfish
Memperbarui:Dataran Tinggi Vaughn: Jika Anda memiliki laptop Lenovo dan tidak yakin apakah Anda harus khawatir tentang Superfish yang menyadap transaksi Anda, ada beberapa cara untuk melihat apakah Superfish Anda berjalan di bawah terpal.
Salah satu cara yang pasti untuk mengetahui bahwa Anda baik-baik saja adalah jika Anda membeli laptop dari rangkaian laptop Signature Microsoft. Laptop ini benar-benar bebas bloatware, jadi Anda tahu bahwa Anda mendapatkan perangkat yang benar-benar aman, tidak macet dengan sampah yang tidak berguna – dan berpotensi berbahaya.
Jika Anda tidak melakukannya, Anda dapat melanjutkan ke tes Superfish CA ini dan itu akan memberi tahu Anda dengan jelas jika Anda memiliki Superfish yang menyadap komunikasi Anda. Ada juga varian yang sedikit lebih berwarna blog Last Pass, menawarkan petunjuk tentang cara mencopot pemasangan program dan menghapus sertifikat lama.
Meskipun Anda mungkin hanya berpikir "oh seberapa buruk itu?" perlu dicatat bahwa dalam waktu sekitar satu jam setelah penemuan Superfish, Keamanan Erratamemasang panduan untuk menunjukkan kepada Anda betapa mudahnya bagi siapa pun untuk meretas dan melihat dengan tepat apa yang Anda lakukan dengan komputer Anda.
Hal yang menakutkan memang.
