Tomek pisał dla Was uprzednio o tym, że w laptopach od Lenovo instalowane było niebezpieczne oprogramowanie. Chodzi o Superfish, który nie tylko włącza do przeglądarek reklamy, które "mają pomóc użytkownikom w wyszukiwaniu sprzętu dla nich", ale także i podsłuchuje ich aktywność w Sieci. O ile pierw...
Tomek pisał dla Was uprzednio o tym, że w laptopach od Lenovo instalowane było niebezpieczne oprogramowanie. Chodzi o Superfish, który nie tylko włącza do przeglądarek reklamy, które "mają pomóc użytkownikom w wyszukiwaniu sprzętu dla nich", ale także i podsłuchuje ich aktywność w Sieci. O ile pierwsza rzecz może jedynie denerwować, tak już to drugie stawia całą sprawę w zupełnie innym świetle,
Program nie był instalowany, o ile rozgarnięty użytkownik podczas pierwszego uruchomienia systemu nie zaakceptował postanowień licencyjnych aplikacji - jednak w większości przypadków przeklikano się przez ten proces na zasadzie "next, next, accept, finish". Po tym oprócz wspomnianych reklam, instalowany był certyfikat SSL, który kierował ruch sieciowy na serwery proxy, co oczywiście pozwalało na zbieranie oraz analizowanie przesyłanych w ten sposób informacji.
Problem nie dotyczył na przykład przeglądarki Mozilla Firefox, która posiada własne certyfikaty SSL. Najciekawsze i jednocześnie najbardziej przerażające jest to, że certyfikat nie jest unikalny dla każdej stacji roboczej i jest zaszyty w aplikacji. Tak, dla każdego jest dokładnie ten sam. Oznacza to, że gdy cyberprzestępca otrzyma do niego dostęp, będzie mógł stworzyć swój i w bardzo prosty sposób podsłuchiwać użytkowników, którzy na swoich komputerach mają zainstalowanego Superfisha.
Lenovo w swojej informacji prasowej informuje, że od stycznia oprogramowanie Superfish nie jest już preinstalowane w laptopach na skutek licznych skarg od klientów. Producent udostępnił także narzędzie do permanentnego usunięcia go z systemu, co bez narzędzi było nieco problematyczne, gdyż należało uciec się do paru trików - raz zainstalowane złośliwe oprogramowanie niekoniecznie chciało po dobroci opuścić systemu operacyjnego. Narzędzie jest dostępne tutaj.
W związku z bardzo kontrowersyjnymi praktykami producenta, przeciwko firmie w ubiegłym tygodniu rozpoczęła się sprawa sądowa wytoczona i Superfish i Lenovo. Powódka, Jessica Bennett mówi, iż w związku z działaniem technologii Superfish, jej laptop został uszkodzony, a i czuje się okradziona z jej prywatnych danych, które owszem, mogły wyciec w związku z bardzo niebezpiecznym działaniem programu, który podaje przeglądarkom własne certyfikaty i przekierowuje ruch na swoje serwery proxy.
W informacji prasowej, która do nas dotarła producent tłumaczy, iż:
Na podstawie uzyskanej wiedzy, od wczorajszego dnia działamy szybko i zdecydowanie. Choć problem ten w żaden sposób nie dotyczy notebooków ThinkPad, tabletów, komputerów stacjonarnych i smartfonów ani przeznaczonych dla przedsiębiorstw serwerów i urządzeń pamięci masowej, uważamy, że informacja ta powinna dotrzeć do wszystkich klientów Lenovo. Przepraszamy, jeżeli nasi użytkownicy poczuli się zaniepokojeni z jakiegokolwiek powodu. Wyciągamy wnioski z własnych doświadczeń i staramy się doskonalić na ich podstawie. Będziemy nadal ułatwiać klientom usuwanie tego oprogramowania i zagrożonych certyfikatów oraz umożliwiać im dalsze korzystanie z naszych produktów w poczuciu pewności, jakiej zasadnie oczekują.
~PR Lenovo
Jednak fragment z całej informacji prasowej wygląda na klasyczne zrzeczenie się odpowiedzialności: Jednak dopiero wczoraj dowiedzieliśmy się o potencjalnej luce w zabezpieczeniach.
Gdyby nie to, co napisał Tomek Popielarczyk i co było wiadome od pewnego czasu, to może sprawa by przeszła. W tym wypadku jednak należy mieć ogromne wątpliwości co do prawdomówności Lenovo:
Całą historię można w bardzo prosty sposób powiązać z decyzją brytyjskiej agencji wywiadowczej o całkowitej rezygnacji z korzystania ze sprzętu Lenovo w tych najbardziej newralgicznych i priorytetowych sieciach. Powodem mają być problemy z bezpieczeństwem. Przypadek? Nie sądzę.
~Tomek Popielarczyk - Adware preinstalowany w laptopach Lenovo nie tylko serwuje reklamy, ale też szpieguje użytkowników
Skoro agencja wywiadowcza uznała, że sprzęt od Lenovo jest niebezpieczny, producent musiał wiedzieć dokładnie, o co chodzi. Nie wierzę, by tak poważna firma nie wiedziała, co instaluje na swoich urządzeniach, zanim te dotrą do klientów. Niektórym to tłumaczenie może absolutnie wystarczyć, jednak w grę wchodzi bezpieczeństwo danych użytkowników - możliwości ataku za pośrednictwem niebezpiecznego certyfikatu są ogromne. Tłumaczenie Lenovo w dodatku jest bardzo niewiarygodne - także i dlatego, że sprawa nie ciągnie się od tygodnia, dwóch, ale od miesięcy.
Cóż - wpadka. Lenovo chciał zrobić "dobrze" użytkownikom, wyszło bardzo kiepsko. Działania naprawcze zostały już podjęte, co nie zmienia faktu, że szrama na wizerunku firmy zostanie - i to na bardzo długo.
Grafika: 1, 2
Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu
