Spoločnosť Lenovo bola prichytená pri inštalácii adwaru na množstvo svojich notebookov, čo môže potenciálne spôsobiť, že zákazníci budú úplne zraniteľní voči počítačovým zločincom, ktorí chcú ukradnúť ich údaje.
Softvér s názvom Superfish Visual Discovery bol predinštalovaný na počítačoch Lenovo a dokáže vkladať reklamy tretích strán do Google a ďalšie vyhľadávania uskutočnené v prehliadačoch Internet Explorer (IE) a Chrome, pričom vyzerajú ako pravá reklama výsledky.
Táto technika pobúrila mnohých používateľov a upútala pozornosť Lizard Squad, ktorá hackla webovú stránku Lenovo v očividnom odvetnom útoku.
Spotrebitelia sa začali sťažovať na Superfish Visual Discovery, ktorý môže tiež vytvárať kontextové okná a spôsobiť, že niektoré webové stránky sa nevykresľujú správne, už v septembri 2014. Trvalo však do 23. januára tohto roku, kým spoločnosť Lenovo uznala sťažnosti používateľov na to, že ide o viac než len obyčajný podvodný softvér.
Mark Hopkins, programový manažér spoločnosti Lenovo pre sociálne médiá, zverejnil vyhlásenie
fóra Lenovo uistenie zákazníkov, že ich správanie online nie je sledované adware a že technológia je „čisto kontextová/založená na obrázku a nie je založená na správaní“.Bezpečnostná hrozba superryb
Napriek tomu sa objavili vážne obavy z nepripravenosti tohto softvéru, a to z hľadiska súkromia aj bezpečnosti.
Po prvé, Superfish Visual Discovery vytvorila spoločnosť tretej strany s názvom Superfish, ktorá nie je súčasťou spoločnosti Lenovo. Preto sa všetky údaje zhromaždené programom posielajú späť tretej strane.
Pokiaľ ide o bezpečnosť, niektorí tvrdili, že Superfish možno považovať za malvér typu „man-in-the-middle“, vrátane technického riaditeľa Facebooku Mikea Shavera.
Lenovo inštaluje certifikát MITM a proxy s názvom Superfish na nové prenosné počítače, aby mohlo vkladať reklamy? Niekto mi povedz, že to nie je svet, v ktorom som.
— Mike Shaver (@shaver) 19. februára 2015
Okrem toho sa zdá, že koreňový bezpečnostný certifikát Superfish s vlastným podpisom poskytuje rovnakú úroveň prístupu ako Microsoft, čo znamená, že dokáže čítať údaje odoslané cez údajne zabezpečené pripojenia SSL, napríklad online bankovníctvo.
Aj keď neexistuje žiadny náznak, že Superfish alebo Lenovo vykonali tento druh snoopingu, je to potenciálne robí používateľov zraniteľnými voči útoku, ak by sa hacker zmocnil súkromného koreňového certifikátu programu kľúč.
Pretože certifikát dáva spoločnosti Superfish rovnakú úroveň oprávnenia v systéme Windows ako Microsoft, mohol by, podľa bezpečnostných blogerov Dôstojná bezpečnosť, využívajú počítačoví zločinci na vytvorenie škodlivého softvéru, ktorý podľa všetkého napísal Microsoft. To by mohlo umožniť, aby malvérový softvér nedetegoval škodlivý program, takže používatelia by boli úplne zraniteľní.
Tento scenár je ešte horší, pretože Superfish zjavne používa rovnaký kľúč pre všetkých inštalácie, čo znamená, že ak by mal zákerný hráč kľúč k jednému stroju, mal by kľúč pre všetkých.
.@akatakritos@ETFovac@__apf__#superryba Váš: http://t.co/JhaE5UqOQJ môj: http://t.co/F2RXfz8blF Rovnaký modul RSA a SPKI. 😐
— Chris Palmer (@fugueish) 19. februára 2015
Povedal to Chris Boyd, analytik malvérového spravodajstva v Malwarebytes PC Pro: „Predinštalovaný softvér je vždy problémom, pretože kupujúci často nemá jednoduchý spôsob, ako zistiť, čo tento softvér robí – alebo či jeho odstránenie spôsobí ďalšie systémové problémy. Aj keď je preferovaná čistá inštalácia operačného systému, nie je to vždy praktické – stlačenie tlačidla vrátenia späť / výrobného nastavenia na nový počítač vám vráti programy, ktoré ste sa práve pokúsili odstrániť, a nie každý má po ruke kopu diskov s operačným systémom.
„V tomto konkrétnom prípade by mal každý, koho sa to týka, odinštalovať softvér Superfish a potom zadať certmgr.msc do vyhľadávacieho panela systému Windows – odtiaľ môžu nájsť a odstrániť súvisiaci koreň certifikát.”
Je tu tiež otázka zákonnosti predinštalovania Superfish Lenovo na počítačoch používateľov.
Povedal to právnik David Marchese, anglický člen medzinárodnej právnej siete Globalaw PC Pro: „Z právneho hľadiska... otázka bude, či niekto používa osobné údaje spotrebiteľa bez jeho predchádzajúceho súhlasu alebo iného zákonného odôvodnenia? Odosielajú sa osobné údaje spotrebiteľa mimo EHP bez súhlasu a podobne.“
Marchese povedal, že tí, ktorí sú naštvaní správaním spoločnosti Lenovo, môžu tiež podať občianskoprávnu žalobu na spoločnosť.
„Ak si spotrebiteľ kúpi počítač, ktorý má zabudované hrozby pre jeho bezpečnosť, zdá sa, že to vedie k základným nárokom podľa zákona o predaji tovaru z roku 1979,“ povedal.
PC Pro tiež kontaktoval úrad Information Commissioner’s Office (ICO), ktorý dohliada na komunikáciu a reguláciu údajov a štandardy v Spojenom kráľovstve. Hovorca povedal: "Sme si vedomí obáv, ktoré boli vyjadrené v súvislosti so zaobchádzaním spoločnosti Lenovo s informáciami spotrebiteľov, a budeme sa pýtať, aby sme zistili všetky podrobnosti."
Superfish: Reakcia spoločnosti Lenovo
Spoločnosť Lenovo to uviedla vo vyhlásení PC Pro: „Spoločnosť Lenovo v januári 2015 odstránila Superfish z predpätia nových spotrebiteľských systémov. Superfish zároveň zabránil aktivácii Superfish existujúcim počítačom Lenovo na trhu.
„Superfish úplne deaktivoval interakcie na strane servera (od januára) na všetkých produktoch Lenovo, takže produkt už nie je aktívny. Toto deaktivuje Superfish pre všetky produkty na trhu,“ uviedla spoločnosť Lenovo.
„Dôkladne sme túto technológiu preskúmali a nenašli sme žiadne dôkazy, ktoré by odôvodňovali obavy o bezpečnosť. Vieme však, že používatelia reagovali na problém s obavami, a preto sme podnikli priame kroky, aby sme zastavili dodávanie akýchkoľvek produktov s týmto softvérom,“ dodal.
Lenovo nám tiež povedalo, že Superfish „bol predinštalovaný iba na vybranom počte spotrebiteľských modelov“. Zdá sa však, že tomu odporujú sťažnosti na na fóre Lenovo že program spôsobil, že IE nerozpoznal .Net smart karty, ktoré sa používajú na zabezpečenie a správu prístupu v niektorých podnikoch.
Spoločnosť uviedla, že „dôkladne skúma všetky a akékoľvek nové obavy týkajúce sa Superfish“.
Dajte nám vedieť v komentároch, ak ste sa stretli s podobnými problémami, tento článok tiež aktualizujeme, keď budú k dispozícii nové informácie.
Ako zistiť, či máte superrybu
Aktualizácia:Vaughn Highfield: Ak máte notebook Lenovo a nie ste si istí, či sa nemusíte obávať, že Superfish zachytí vaše transakcie, existuje niekoľko spôsobov, ako zistiť, či máte pod kapotou Superfish.
Jedným zo spoľahlivých spôsobov, ako zistiť, že ste v poriadku, je, ak ste si svoj laptop kúpili z radu notebookov Signature od spoločnosti Microsoft. Tieto notebooky sú úplne bez bloatwaru, takže viete, že získavate úplne bezpečné zariadenie, ktoré nie je zanesené zbytočným – a potenciálne nebezpečným – odpadom.
Ak ste to neurobili, môžete prejsť na tento test Superfish CA a to vám celkom jasne povie, ak máte Superfish, ktorý zachytáva vašu komunikáciu. K dispozícii je aj o niečo farebnejšia varianta Blog LastPass, ktorý ponúka pokyny na odinštalovanie programu a odstránenie starých certifikátov.
Aj keď si možno len pomyslíte: „Ach, aké zlé by to mohlo byť? stojí za zmienku, že približne hodinu po objavení Superfish, Bezpečnosť Erratanalepil sprievodcu, ktorý vám ukáže, aké ľahké je pre každého nabúrať sa a presne vidieť, čo robíte so svojím počítačom.
Naozaj strašidelné veci.
