Oprogramowanie podsłuchujące Superfish w laptopach Lenovo [AKTUALIZACJA]

Mamy niedobre wieści dla użytkowników laptopów Lenovo. Okazuje się bowiem, że producent instaluje w nowszych modelach oprogramowanie adware, które wyświetla na stronach dodatkowe reklamy i może podszywać się pod strony z aktywnym szyfrowaniem połączenia.

Mowa tutaj o oprogramowaniu Superfish, które jest instalowane zaraz po wyjęciu laptopa z pudełka lub przywróceniu systemu z partycji recovery. Pierwsze informacje o dodatku pojawiły się już w tamtym roku, kiedy to kilku użytkowników zwróciło uwagę na dziwne reklamy – te były dopasowane do wyników wyszukiwanych treści.

Niedawno do problemu odniósł się jeden z przedstawicieli producenta – potwierdził on istnienie takiego problemu, ale jednocześnie zapewnił, że w nowszych modelach wyłączy aktywność reklam, które wyraźnie drażniły użytkowników.

Reklamy dodawane oprogramowanie Superfish są oznaczone jako "Powered by VisualDiscovery"

Problem jednak w tym, że Superfish działa na zasadzie ataku MITM (man-in-the middle) - dodaje swój certyfikat SSL i przekierowuje ruch przeglądarki użytkownika przez serwer proxy. W efekcie dana strona (np. strona banku) jest chroniona przez szyfrowany protokół HTTPS, ale certyfikat pochodzi tutaj już od dodatku Superfish (system widzi go jako autentyczny). Certyfikaty Superfish są takie same dla wszystkich laptopów Lenovo, a więc po poznaniu klucza prywatnego, możliwe jest akceptowane certyfikatów SSL dla fałszywych stron internetowych i podsłuchiwanie osób korzystających z laptopów.

Certyfikat Superfish w ogólnej bazie certyfikatów systemu Windows

Czy to oznacza, że nasze prywatne fotki mogą dostać się w niepowołane ręce, a konto w banku wkrótce zostanie opróżnione? Na pewno nie należy wpadać w panikę, bowiem dodatek Superfish był instalowany tylko na nowszych laptopach (pierwsze doniesienia pojawiają się mniej więcej od połowy 2014 roku) i już od jakiegoś czasu jest blokowany przez antywirusy. Warto również zauważyć, że z publicznego repozytorium certyfikatów korzystają tylko przeglądarki Google Chrome i Internet Explorer, natomiast Mozilla Firefox ma już swoją bazę certyfikatów – tam certyfikat Superfisha nie był dodawany. Można jednak podejrzewać, że Google też wkrótce zablokuje fałszywy certyfikat.

Strona banku Nordea zabezpieczona certyfikatem wystawionym przez Superfish

Mimo wszystko warto pozbyć się natrętnego dodatku – w tym celu należy uruchomić menadżer zadań i zablokować usługę VisualDiscovery. Jak to zrobić, możecie zobaczyć na poniższym filmiku.

Aktualizacja 20.02.2014 15:15

Poznaliśmy oficjalne stanowisko firmy Lenovo w związku z dodatkiem Superfish i ewentualnymi następstwami jego działania.

W Lenovo dokładamy wszelkich starań, by zapewnić klientom jak najlepszą ofertę. Wiemy, że z naszych urządzeń korzystają codziennie miliony osób, a my jesteśmy zobowiązani zapewniać użytkownikom wysoką jakość, niezawodność, innowacyjność i bezpieczeństwo informacji. Dążąc do doskonalenia swojej oferty, na niektórych notebookach dla klientów indywidualnych instalowaliśmy fabrycznie oprogramowanie producenta zewnętrznego — firmy Superfish z Palo Alto w stanie Kalifornia.

Wychodziliśmy z założenia, że produkt ten, zgodnie z intencjami Superfish, ułatwi użytkownikom zakupy w Internecie. Oprogramowanie to nie spełniło jednak oczekiwań naszych ani klientów, którzy krytykowali jego działanie. Na te skargi zareagowaliśmy szybko i zdecydowanie. Przepraszamy, jeżeli nasi użytkownicy poczuli się zaniepokojeni z jakiegokolwiek powodu. Zawsze wyciągamy wnioski z własnych doświadczeń i staramy się doskonalić na ich podstawie.

W styczniu zaprzestaliśmy fabrycznej instalacji tego oprogramowania. Także w styczniu zablokowaliśmy połączenia z serwerem, który umożliwiał jego działanie. Na naszych stronach internetowych zamieściliśmy instrukcję usuwania tego oprogramowania. We współpracy z Superfish oraz innymi partnerami branżowymi reagujemy na wszelkie obecne i potencjalne kwestie związane z bezpieczeństwem informacji. Szczegółowe informacje na temat tych działań oraz narzędzia do usuwania oprogramowania można uzyskać pod adresami:

• http://support.lenovo.com/us/en/product_security/superfish
• http://support.lenovo.com/us/en/product_security/superfish_uninstall

Pragniemy podkreślić, że firma Lenovo nigdy nie instalowała tego oprogramowania na jakichkolwiek notebookach marki ThinkPad, komputerach stacjonarnych ani smartfonach. Oprogramowanie to nie było nigdy instalowane na żadnych produktach dla klientów z sektora dużych przedsiębiorstw —serwerach ani rozwiązaniach pamięci masowej — i sprawa ta w żaden sposób nie dotyczy tych urządzeń. Nie instalujemy już technologii Superfish na żadnych urządzeniach Lenovo. Najbliższe tygodnie poświęcimy na dogłębne zbadanie tej sprawy i wyciąganie wniosków na przyszłość. Będziemy prowadzić dialog z partnerami, specjalistami branżowymi oraz użytkownikami i poprosimy ich o opinie. Pod koniec miesiąca przedstawimy plan działań, które pomogą Lenovo i całej branży działać z większą świadomością kwestii związanych z oprogramowaniem adware, oprogramowaniem instalowanym fabrycznie i zabezpieczeniami. Poczuwamy się do odpowiedzialności za swoje produkty, ofertę dla użytkowników i wyniki naszych nowych działań.

Technologia Superfish mogła być instalowana na następujących modelach komputerów:

• Seria G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
• Seria U: U330P, U430P, U330Touch, U430Touch, U530Touch
• Seria Y: Y430P, Y40-70, Y50-70
• Seria Z: Z40-75, Z50-75, Z40-70, Z50-70
• Seria S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
• Seria Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
• Seria MIIX: MIIX2-8, MIIX2-10, MIIX2-11
• Seria YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
• Seria E: E10-30

Źródło: TheNextWeb, Lenovo, Niebezpiecznik, Zaufana Trzecia Strona