Lenovo har ertappats med att installera reklamprogram på ett antal av sina bärbara datorer som potentiellt kan göra kunderna totalt sårbara för cyberbrottslingar som vill stjäla deras data.
Programvaran, kallad Superfish Visual Discovery, kom förinstallerad på Lenovo-maskiner och kan injicera tredjepartsannonser i Google och andra sökningar som görs i Internet Explorer (IE) och Chrome, samtidigt som de ser ut som äkta annonsresultat.
Tekniken har retat många användare och fångat uppmärksamheten hos Lizard Squad, som hackade Lenovos webbplats i en uppenbar hämndattack.
Konsumenter började klaga på Superfish Visual Discovery, som också kan skapa popup-fönster och orsaka att vissa webbplatser inte renderas korrekt, så länge sedan som i september 2014. Det tog dock till den 23 januari i år för Lenovo att erkänna användarnas klagomål om att det var fler än enkla crapware.
Mark Hopkins, Lenovos programchef för sociala medier, publicerade ett uttalande om Lenovos forum att försäkra kunderna om att deras onlinebeteende inte spåras av annonsprogrammet och att tekniken är ”rent kontextuell/bildbaserad och inte beteendebaserad”.
Superfish säkerhetshot
Icke desto mindre har allvarliga farhågor väckts om den här programvarans out-of-the-box-karaktär, både ur integritets- och säkerhetssynpunkt.
För det första skapades Superfish Visual Discovery av ett tredjepartsföretag, Superfish, som inte är en del av Lenovo. Därför skickas all data som samlas in av programmet tillbaka till en tredje part.
På säkerhetssidan har vissa hävdat att Superfish kan ses som en ”man-in-the-middle” skadlig kod, inklusive Facebooks ingenjörschef Mike Shaver.
Lenovo installerar ett MITM-certifikat och proxy som heter Superfish, på nya bärbara datorer, så det kan injicera annonser? Någon säger till mig att det inte är den värld jag är i.
— Mike Shaver (@shaver) 19 februari 2015
Dessutom verkar Superfishs självsignerade rotsäkerhetscertifikat ge samma åtkomstnivå som Microsoft, vilket innebär att det kan läsa data som skickas över förment säkra SSL-anslutningar, som t.ex. onlinebank.
Även om det inte finns någon indikation på att Superfish eller Lenovo har utfört den här typen av snokning, gör det potentiellt användare sårbara för attacker om en hackare skulle få tag i programmets rotcertifikats privata nyckel.
Eftersom certifikatet ger Superfish samma auktoritetsnivå på Windows som Microsoft, kan det, enligt säkerhetsbloggarna Decent Security, användas av cyberbrottslingar för att konstruera skadlig programvara som verkade vara skriven av Microsoft. Detta kan tillåta det skadliga programmet att förbli oupptäckt av anti-malware-programvara, vilket gör användarna totalt sårbara.
Det här scenariot förvärras av det faktum att Superfish uppenbarligen använder samma nyckel för alla installationer, vilket betyder att när en illvillig aktör hade nyckeln till en maskin, skulle de ha nyckeln till dem alla.
.@akatakritos @ETFovac @__apf__ #superfisk Din: http://t.co/JhaE5UqOQJ Mina: http://t.co/F2RXfz8blF Samma RSA-modul och SPKI. 😐
— Chris Palmer (@fugueish) 19 februari 2015
Chris Boyd, en malwareintelligensanalytiker på Malwarebytes, berättade PC Pro: “Förinstallerad programvara är alltid ett problem eftersom det ofta inte finns något enkelt sätt för en köpare att veta vad den programvaran gör – eller om det kommer att orsaka systemproblem längre fram när den tas bort. Även om en ren installation av operativsystemet är att föredra, är det inte alltid praktiskt – om du trycker på återställnings-/fabriksinställningsknappen på en ny maskin får du tillbaka program som du just har försökt ta bort, och inte alla har en hög med operativsystemskivor till hands.
”I det här speciella fallet bör alla som påverkas avinstallera Superfish-programvaran och sedan skriva certmgr.msc i sökfältet i Windows – därifrån kan de hitta och ta bort det relaterade rotcertifikatet.”
Det är också frågan om lagligheten av Lenovos förinstallation av Superfish på användarnas datorer.
Advokat David Marchese, den engelska medlemmen av det internationella juridiska nätverket Globalaw, berättade PC Pro: “Ur ett juridiskt perspektiv … kommer frågorna att vara, är det någon som använder sig av en konsuments personuppgifter utan deras föregående medgivande eller annan laglig motivering? Skickas konsumentens personuppgifter ut från EES utan samtycke och så vidare.”
Marchese sa att de som är upprörda över Lenovos beteende kanske också kan väcka ett civilmål mot företaget.
”Om en konsument köper en dator som har inbyggda hot mot deras säkerhet, verkar det ge upphov till grundläggande anspråk enligt Sale of Goods Act 1979,” sa han.
PC Pro kontaktade också Information Commissioner’s Office (ICO), som övervakar kommunikation och datareglering och standarder i Storbritannien. En talesperson sa: ”Vi är medvetna om oro som har uttryckts om Lenovos hantering av konsumentinformation och kommer att göra förfrågningar för att fastställa alla detaljer.”
Superfish: Lenovos svar
I ett uttalande, berättade Lenovo PC Pro: ”Lenovo tog bort Superfish från förladdningarna av nya konsumentsystem i januari 2015. Samtidigt inaktiverade Superfish befintliga Lenovo-maskiner på marknaden från att aktivera Superfish.”
”Superfish har helt inaktiverat interaktioner på serversidan (sedan januari) på alla Lenovo-produkter så att produkten inte längre är aktiv. Detta inaktiverar Superfish för alla produkter på marknaden, säger Lenovo.
”Vi har noggrant undersökt den här tekniken och hittar inga bevis som styrker säkerhetsproblem. Men vi vet att användarna reagerade på problemet med oro, och därför har vi vidtagit direkta åtgärder för att stoppa leveransen av produkter med den här mjukvaran, tillade den.
Lenovo berättade också att Superfish ”endast var förinstallerad på ett utvalt antal konsumentmodeller”. Detta verkar dock motsägas av klagomål på Lenovos forum att programmet gjorde att IE inte kände igen .Net-smartkort, som används för säkerhet och åtkomsthantering inom vissa företag.
Företaget sa att det ”grundligt undersöker alla och alla nya farhågor som tagits upp angående Superfish”.
Låt oss veta i kommentarerna om du har upplevt några liknande problem, vi kommer också att uppdatera den här artikeln när ny information blir tillgänglig.
Hur man upptäcker om du har Superfish
Uppdatering: Vaughn Highfield: Om du har en bärbar Lenovo-dator och är osäker på om du behöver oroa dig för att Superfish ska fånga upp dina transaktioner, finns det ett antal sätt att se om du har Superfish under huven.
Ett säkert sätt att veta att du mår bra är om du köpte din bärbara dator från Microsofts Signature-sortiment av bärbara datorer. Dessa bärbara datorer är helt bloatware-fria, så du vet att du får en helt säker enhet som inte fastnar med värdelöst – och potentiellt farligt – skräp.
Om du inte gjorde det kan du gå vidare till detta Superfish CA-test och det kommer att berätta ganska tydligt om du har Superfish som avlyssnar din kommunikation. Det finns också en lite mer färgglad variant på LastPass blogg, med instruktioner om hur du avinstallerar programmet och tar bort de gamla certifikaten.
Även om du kanske bara tänker ”oh hur illa kan det vara?” Det är värt att notera att inom en timme eller så efter att Superfish upptäcktes, Errata säkerhet satt upp en guide som visar hur lätt det är för vem som helst att hacka sig in och se exakt vad du gör med din dator.
Skrämmande grejer verkligen.
