„Lenovo“ buvo sučiuptas diegiantis reklamines programas daugelyje savo nešiojamų kompiuterių, dėl kurių klientai gali būti visiškai pažeidžiami kibernetinių nusikaltėlių, norinčių pavogti jų duomenis.
Programinė įranga, pavadinta „Superfish Visual Discovery“, buvo iš anksto įdiegta „Lenovo“ įrenginiuose ir gali įterpti trečiųjų šalių skelbimų „Google“ ir kitos paieškos atliekamos naudojant „Internet Explorer“ (IE) ir „Chrome“, todėl jos atrodo kaip tikras skelbimas rezultatus.
Ši technika supykdė daugelį vartotojų ir patraukė Driežų būrio dėmesį, kuris įsilaužė į „Lenovo“ svetainę per akivaizdžią keršto ataką.
Jau 2014 m. rugsėjo mėn. vartotojai pradėjo skųstis dėl „Superfish Visual Discovery“, dėl kurios taip pat gali atsirasti iššokančių langų ir kai kurios svetainės netinkamai atvaizduojamos. Tačiau prireikė iki šių metų sausio 23 d., kol „Lenovo“ pripažino vartotojų skundus, kad tai daugiau nei paprasta programinė įranga.
Markas Hopkinsas, „Lenovo“ socialinės žiniasklaidos programų vadovas, paskelbė pareiškimą
„Lenovo“ forumuose nuraminti klientus, kad reklaminė programinė įranga neseka jų elgesio internete ir kad ši technologija yra „pagrįsta tik kontekstu/vaizdu, o ne elgsenos“.Superfish saugumo grėsmė
Nepaisant to, kilo rimtas susirūpinimas dėl šios programinės įrangos nestandartinio pobūdžio tiek privatumo, tiek saugumo požiūriu.
Pirma, „Superfish Visual Discovery“ sukūrė trečiosios šalies įmonė „Superfish“, kuri nėra „Lenovo“ dalis. Todėl visi programos surinkti duomenys siunčiami atgal trečiajai šaliai.
Kalbant apie saugumą, kai kurie teigė, kad „Superfish“ gali būti laikoma „žmogumi viduryje“ kenkėjiška programa, įskaitant „Facebook“ inžinerijos direktorių Mike'ą Shaverį.
„Lenovo“ naujuose nešiojamuosiuose kompiuteriuose įdiegia MITM sertifikatą ir tarpinį serverį, vadinamą „Superfish“, kad galėtų įterpti skelbimų? Kažkas man pasakys, kad tai ne tas pasaulis, kuriame aš esu.
- Mike'as Shaveris (@shaver) 2015 m. vasario 19 d
Be to, atrodo, kad Superfish savarankiškai pasirašytas šakninis saugos sertifikatas suteikia tokį patį prieigos lygį kaip „Microsoft“, tai reiškia, kad gali nuskaityti duomenis, siunčiamus tariamai saugiais SSL ryšiais, pavyzdžiui, internetu bankininkystė.
Nors nėra jokių požymių, kad „Superfish“ ar „Lenovo“ būtų atlikę tokį šnipinėjimą, tai gali būti Vartotojai tampa pažeidžiami atakų, jei įsilaužėlis gautų programos šakninį sertifikatą privatų Raktas.
Kadangi sertifikatas suteikia „Superfish“ tokio paties lygio „Windows“ įgaliojimus kaip ir „Microsoft“, jis, pasak jo, gali saugumo tinklaraštininkai „Decent Security“, kurį naudoja kibernetiniai nusikaltėliai, kad sukurtų kenkėjiškas programas, kurias parašė Microsoft. Tai gali leisti kenkėjiškos programos neaptikti kenkėjiškų programų programinei įrangai, todėl vartotojai bus visiškai pažeidžiami.
Šį scenarijų pablogina tai, kad „Superfish“ visiems naudoja tą patį raktą instaliacijos, o tai reiškia, kad kai piktavalis veikėjas turės raktą vienai mašinai, jis turės raktą jiems visiems.
.@akatakritos@ETFovac@__apf__#superžuvis Tavo: http://t.co/JhaE5UqOQJ Mano: http://t.co/F2RXfz8blF Tas pats RSA modulis ir SPKI. 😐
- Chrisas Palmeris (@fugueish) 2015 m. vasario 19 d
Chrisas Boydas, „Malwarebytes“ kenkėjiškų programų žvalgybos analitikas, papasakojo PC Pro: „Iš anksto įdiegta programinė įranga visada kelia susirūpinimą, nes pirkėjui dažnai nėra lengvo būdo sužinoti, ką ta programinė įranga veikia, arba jei ją pašalinus sukels sistemos problemų. Nors švarus operacinės sistemos diegimas yra pageidautinas, tai ne visada praktiška – paspauskite atšaukimo / gamyklinių nustatymų mygtuką naujas įrenginys grąžins jums programas, kurias ką tik bandėte pašalinti, ir ne visi turi krūvą operacinės sistemos diskų.
„Šiuo konkrečiu atveju bet kuris paveiktas asmuo turėtų pašalinti Superfish programinę įrangą ir įvesti certmgr.msc į savo Windows paieškos juostą – iš ten jie gali rasti ir pašalinti susijusią šaknį sertifikatas“.
Taip pat kyla klausimas, ar „Lenovo“ iš anksto įdiegė „Superfish“ vartotojų kompiuteriuose.
Pasak tarptautinio teisinio tinklo „Globalaw“ Anglijos narys, teisininkas Davidas Marchese PC Pro: „Teisiniu požiūriu... iškils klausimas, ar kas nors naudojasi vartotojo asmens duomenimis be išankstinio jo sutikimo ar kito teisėto pagrindo? Ar vartotojo asmens duomenys siunčiami iš EEE be sutikimo ir pan.
Marchese teigė, kad nusiminusieji dėl „Lenovo“ elgesio taip pat gali iškelti civilinę bylą prieš bendrovę.
„Jei vartotojas įsigyja kompiuterį, kuriame yra įmontuotų grėsmių jo saugumui, dėl to gali kilti pagrindinės pretenzijos pagal 1979 m. prekių pardavimo įstatymą“, – sakė jis.
PC Pro taip pat susisiekė su Informacijos komisaro biuru (ICO), kuris prižiūri ryšių ir duomenų reguliavimą bei standartus JK. Atstovas spaudai sakė: „Žinome apie susirūpinimą, kuris buvo išreikštas dėl to, kaip „Lenovo“ tvarko vartotojų informaciją, ir pateiksime užklausas, kad sužinotume visą informaciją.
Superfish: Lenovo atsakymas
„Lenovo“ teigė pareiškime PC Pro: „2015 m. sausio mėn. „Lenovo“ pašalino Superfish iš naujų vartotojų sistemų išankstinio įkėlimo. Tuo pačiu metu „Superfish“ neleido esamiems „Lenovo“ aparatams suaktyvinti „Superfish“.
„Superfish visiškai išjungė serverio sąveiką (nuo sausio mėn.) visuose Lenovo gaminiuose, todėl produktas nebeveikia. Tai išjungia „Superfish“ visiems rinkoje esantiems produktams“, – sakė „Lenovo“.
„Mes nuodugniai ištyrėme šią technologiją ir neradome jokių įrodymų, pagrindžiančių susirūpinimą dėl saugumo. Tačiau žinome, kad vartotojai į šią problemą reagavo susirūpinę, todėl ėmėmės tiesioginių veiksmų, kad sustabdytume bet kokių produktų tiekimą su šia programine įranga“, – pridūrė jis.
„Lenovo“ taip pat mums pasakė, kad „Superfish“ „buvo iš anksto įkelta tik į tam tikrą vartotojų modelių skaičių“. Tačiau atrodo, kad tam prieštarauja skundai dėl „Lenovo“ forumas kad dėl programos IE neatpažino .Net intelektualiųjų kortelių, kurios kai kuriose įmonėse naudojamos saugumui ir prieigos valdymui.
Bendrovė teigė, kad „kruopščiai tiria visus ir bet kokius naujus su Superfish susijusius klausimus“.
Praneškite mums komentaruose, jei susidūrėte su panašiomis problemomis. Mes taip pat atnaujinsime šį straipsnį, kai bus gauta naujos informacijos.
Kaip nustatyti, ar turite Superfish
Atnaujinimas:Vaughn Highfield: Jei turite „Lenovo“ nešiojamąjį kompiuterį ir nesate tikri, ar turite nerimauti, kad „Superfish“ perims jūsų operacijas, yra keletas būdų, kaip sužinoti, ar „Superfish“ veikia po gaubtu.
Vienas patikimas būdas sužinoti, ar jums viskas gerai, yra nusipirkus nešiojamąjį kompiuterį iš „Microsoft Signature“ nešiojamųjų kompiuterių asortimento. Šiuose nešiojamuosiuose kompiuteriuose nėra „bloatware“, todėl žinote, kad gaunate visiškai saugų įrenginį, kuris neapsunkina nenaudingų ir potencialiai pavojingų šiukšlių.
Jei to nepadarėte, galite pereiti prie šis Superfish CA testas ir tai gana aiškiai pasakys, ar Superfish perima jūsų ryšius. Taip pat yra šiek tiek spalvingesnis variantas LastPass tinklaraštis, kuriame pateikiamos instrukcijos, kaip pašalinti programą ir pašalinti senus sertifikatus.
Nors galite tiesiog pagalvoti: „O, kaip tai gali būti blogai? verta paminėti, kad maždaug per valandą nuo Superfish atradimo, Errata Securityįstrigo vadovas, rodantis, kaip lengva kiekvienam įsilaužti ir tiksliai pamatyti, ką darote su savo kompiuteriu.
Tikrai baisūs dalykai.
