19

Adware preinstalowany w laptopach Lenovo nie tylko serwuje reklamy, ale też szpieguje użytkowników [aktualizacja]

Problem z adware w laptopach Lenovo nie jest nowością, bo wywołuje rozgoryczenie u użytkowników już od ubiegłego roku. Teraz jednak pojawiły się nowe informacje na ten temat. Okazuje się, że aplikacja Superfish, którą znajdziemy na nowych komputerach, nie tylko wprowadza do przeglądarek internetowych własne reklamy, ale również podsłuchuje połączenia użytkowników. Superfish jest aplikacją, która wstrzykuje na […]

Problem z adware w laptopach Lenovo nie jest nowością, bo wywołuje rozgoryczenie u użytkowników już od ubiegłego roku. Teraz jednak pojawiły się nowe informacje na ten temat. Okazuje się, że aplikacja Superfish, którą znajdziemy na nowych komputerach, nie tylko wprowadza do przeglądarek internetowych własne reklamy, ale również podsłuchuje połączenia użytkowników.

Superfish jest aplikacją, która wstrzykuje na stronach internetowych odwiedzanych przez użytkowników reklamy. Lenovo najwyraźniej w ramach umowy z twórcami oprogramowania preinstaluje ją na swoich komputerach, z czego czerpie pewne zyski. Firma upiera się, że rozwiązanie to przynosi użytkownikom korzyści, podsuwając produkty, którymi hipotetycznie mogliby być zainteresowani. Teoretycznie każdy użytkownik może też zdecydować, czy chce, aby program działał, bo przy pierwszym uruchomieniu otrzymuje komunikat z informacją o warunkach licencji, które musi zaakceptować.

W praktyce problem jest jednak znacznie poważniejszy, bo okazuje się, że Superfish działa na zasadzie oprogramowania szpiegującego typu man-in-the-middle. Na komputerach instalowany zatem jest dodatkowy certyfikat SSL, który przekierowuje ruch sieciowy na serwery proxy i tym samym uzyskuje dostęp do wszystkich przesyłanych informacji. Mówiąc wprost – Superfish podstawia dodatkowy serwer, przez który przechodzą wszystkie połączenia szyfrowane po protokole HTTPS.

B-LFlqYCMAE_Zy2

Na tym nie koniec, bo certyfikat nie jest generowany indywidualnie dla każdego komputera. To uniwersalne rozwiązanie bazujące na kluczu ukrytym gdzieś w kodzie źródłowym aplikacji. Wyciągnięcie go daje możliwość tworzenia własnych certyfikatów i podsłuchiwanie użytkowników komputerów Lenovo. A jakby tego było mało, certyfikatu z systemu nie można usunąć jedynie poprzez zwykłe odinstalowanie Superfisha. Konieczne jest zastosowanie dodatkowych trików usuwających wszystkie składniki programu.

Co ciekawe problem nie dotyczy przeglądarki Firefox, która korzysta z własnych a nie systemowych certyfikatów SSL. Superfish nie ma zatem do nich dostępu, a tym samym nie może nic wstrzyknąć. Na szczęście problem został już dostrzeżony, bo Superfish jest wykrywany przez programy antywirusowe. Można się spodziewać, że z czasem jego certyfikaty zostaną również zablokowane przez wszystkich dostawców przeglądarek. Samo Lenovo zapowiedziało już, że Superfish będzie blokowany w nowych komputerach, a ich obecni posiadacze otrzymają rychłą aktualizację eliminującą problem.

Całą historię można w bardzo prosty sposób powiązać z decyzją brytyjskiej agencji wywiadowczej o całkowitej rezygnacji z korzystania ze sprzętu Lenovo w tych najbardziej newralgicznych i priorytetowych sieciach. Powodem mają być problemy z bezpieczeństwem. Przypadek? Nie sądzę.

Aktualizacja

Lenovo przygotowało oświadczenie dotyczące całej sprawy. Zamieszczamy je poniżej:

Technologia Superfish była uprzednio instalowana na niektórych notebookach dla konsumentów sprzedawanych w krótkim okresie od września do grudnia, aby pomóc klientom w odkrywaniu potencjalnie interesujących produktów podczas zakupów. Opinie klientów na temat tego oprogramowania nie były jednak pozytywne, dlatego zareagowaliśmy szybko i zdecydowanie:

1)      Interakcja oprogramowania Superfish po stronie serwera została całkowicie wyłączona (od stycznia) we wszystkich produktach Lenovo. W związku z tym oprogramowanie to nie jest już aktywne. W ten sposób oprogramowanie Superfish zostało zdezaktywowane na wszystkich produktach dostępnych na rynku.

2)      Firma Lenovo zaprzestała fabrycznej instalacji tego oprogramowania w styczniu.

3)      Nie będziemy instalować tego oprogramowania w przyszłości.

Zbadaliśmy dokładnie tę technologię i nie znaleźliśmy żadnych dowodów potwierdzających zastrzeżenia co do jego bezpieczeństwa. Wiemy jednak, że użytkownicy wyrażali zaniepokojenie tą sprawą, dlatego podjęliśmy zdecydowane działania i zaprzestaliśmy sprzedaży wszelkich produktów z tym oprogramowaniem. Będziemy nadal kierować się potrzebami, opiniami i priorytetami naszych klientów oraz podporządkowywać im i odpowiednio kontrolować nasze działania.

Pragniemy podkreślić, że działanie technologii Superfish opiera się wyłącznie na kontekście i grafice, a nie zachowaniach użytkownika. Technologia ta nie monitoruje działań użytkownika. Nie rejestruje informacji o użytkowniku. Nie dysponuje informacjami o tym, kim jest użytkownik. Użytkownicy nie są monitorowani, ani nie wyświetla im się reklam na podstawie wcześniejszych zachowań. Każda sesja jest niezależna od poprzednich. Użytkownicy mogą wybrać, czy chcą korzystać z tego produktu. Nasza współpraca z Superfish nie jest znacząca pod względem finansowym — dążyliśmy do tego, by zapewnić użytkownikom jak najlepszą ofertę. Uznaliśmy, że to oprogramowanie nie osiągnęło tego celu, dlatego zareagowaliśmy szybko i zdecydowanie.

Na swoich forach oferujemy pomoc wszystkim zainteresowanym użytkownikom. Staramy się znajdować technologie, które jak najlepiej służą naszym klientom. W tym przypadku szybko zareagowaliśmy na negatywne opinie i podjęliśmy zdecydowane działania. Szczegółowe informacje dodatkowe użytkownicy mogą znaleźć pod adresem http://forums.lenovo.com.