Lenovo prodávalo PC s nebezpečným adware
20.2.2015, Jan Vítek, aktualita
Společnost Lenovo dodávala na trh počítače, které měly předinstalovaný adware od společnosti Superfish. Ten kromě svého evidentního účelu však umožňoval také podvrhnout uživateli falešné stránky s protokolem HTTPS.
Jedná se konkrétně o software Virtual Discovery, který umisťuje na webové stránky vlastní reklamy, což může být otravné, ale jeho vlastní HTTPS certifikát je přímo nebezpečný. Ten totiž umožní uživateli podvrhnout falešné stránky, které se tváří jako pravé a browser je identifikuje jako zabezpečené. To je obvykle využíváno zloději, kteří mohou díky tomu získat dostatek informací k vysání bankovního účtu. Odinstalováním softwaru Virtual Discovery si uživatelé nemuseli vůbec pomoci, neboť alespoň jeden z nich má takovou zkušenost, že certifikát v počítači zůstane. Musí být tedy odstraněn zvlášť.
Dle příspěvků fóra firmy Lenovo byl software od Superfish z prodávaných počítačů odstraněn v lednu, ovšem firma se k tomu odhodlala především kvůli vyskakujícím oknům s reklamou, s nimiž asi dopředu nepočítala. Server The Verge se ale dozvěděl, že nyní firma ještě prošetřuje nově zjištěné skutečnosti, čili půjde o zmíněný certifikát. Ovšem počítače Lenovo s Virtual Discovery jsou prý stále na trhu a není jasné, o jaké všemožné modely vůbec jde a jak dlouho budou ještě nabízeny.
Společnost Lenovo se také již k tomuto problému vyjádřila. Software Superfish dle ní byl dodáván předinstalovaný na některých spotřebitelských modelech notebooků, a to zhruba od září do prosince minulého roku. Ovšem ještě ve středu si jeden takový zakoupil Chris Palmer zabývající se zabezpečením, jehož pohlížeči pak po návštěvě stránek Bank of America předložen certifikát podepsaný ne VeriSign, ale právě Superfish. Rob Graham z firmy Errata Security zjistil klíč šifrující certifikát Superfish. Trvalo mu pouhé tři hodiny, než zjistil, že použité heslo je "komodia" a uvedl, že daný certifikát se dá využít i na prohlížeči Chrome, který si bude myslet, že podvržené stránky jsou pravé a patří Googlu.
Záměrem Lenova prý bylo "pomoci zákazníkům při nakupování objevit potenciálně zajímavé produkty", ovšem ohlasy prý nebyly pozitivní, takže Lenovo ihned poté zablokovalo software Superfish (to se stalo někdy v lednu) na všech svých produktech, takže ten by již neměl zobrazovat reklamy. To má být finální rozhodnutí, takže v budoucích produktech se s tímto softwarem už nemáme v počítačích Lenovo setkat. V Lenovu si tedy původně asi mysleli, že uživatelé ocení extra nálož reklam.
Firma také dle svých slov důkladně prozkoumala software Superfish, ale nenalezla žádné důkazy o tom, že jde o bezpečnostní hrozbu. Dle jejích informací software nemonitoruje a neukládá žádné informace o uživateli, nezná jeho identitu a nesleduje jeho polohu. Uživatelé si také mohou vybrat, zda chtějí, či nechtějí Superfish používat. Nicméně Lenovo se ve svém vyjádření vůbec nevyjádřilo k bezpečnostnímu certifikátu a hrozbě tzv. man-in-the-middle útoku.
Lenovo také nově uvedlo, které modely počítačů mohou mít software od Superfish nainstalovaný. Jde o širokou nabídku modelů G, U, Y, E, Z a S Series, dále Flex Series, MIIX Series a Yoga Series. Server Ars Technica také zveřejnil návod, jak se zbavit softwaru i certifikátu v samotném systému i prohlížeči
Zdroj: Ars Technica
Dle příspěvků fóra firmy Lenovo byl software od Superfish z prodávaných počítačů odstraněn v lednu, ovšem firma se k tomu odhodlala především kvůli vyskakujícím oknům s reklamou, s nimiž asi dopředu nepočítala. Server The Verge se ale dozvěděl, že nyní firma ještě prošetřuje nově zjištěné skutečnosti, čili půjde o zmíněný certifikát. Ovšem počítače Lenovo s Virtual Discovery jsou prý stále na trhu a není jasné, o jaké všemožné modely vůbec jde a jak dlouho budou ještě nabízeny.
Společnost Lenovo se také již k tomuto problému vyjádřila. Software Superfish dle ní byl dodáván předinstalovaný na některých spotřebitelských modelech notebooků, a to zhruba od září do prosince minulého roku. Ovšem ještě ve středu si jeden takový zakoupil Chris Palmer zabývající se zabezpečením, jehož pohlížeči pak po návštěvě stránek Bank of America předložen certifikát podepsaný ne VeriSign, ale právě Superfish. Rob Graham z firmy Errata Security zjistil klíč šifrující certifikát Superfish. Trvalo mu pouhé tři hodiny, než zjistil, že použité heslo je "komodia" a uvedl, že daný certifikát se dá využít i na prohlížeči Chrome, který si bude myslet, že podvržené stránky jsou pravé a patří Googlu.
Záměrem Lenova prý bylo "pomoci zákazníkům při nakupování objevit potenciálně zajímavé produkty", ovšem ohlasy prý nebyly pozitivní, takže Lenovo ihned poté zablokovalo software Superfish (to se stalo někdy v lednu) na všech svých produktech, takže ten by již neměl zobrazovat reklamy. To má být finální rozhodnutí, takže v budoucích produktech se s tímto softwarem už nemáme v počítačích Lenovo setkat. V Lenovu si tedy původně asi mysleli, že uživatelé ocení extra nálož reklam.
Firma také dle svých slov důkladně prozkoumala software Superfish, ale nenalezla žádné důkazy o tom, že jde o bezpečnostní hrozbu. Dle jejích informací software nemonitoruje a neukládá žádné informace o uživateli, nezná jeho identitu a nesleduje jeho polohu. Uživatelé si také mohou vybrat, zda chtějí, či nechtějí Superfish používat. Nicméně Lenovo se ve svém vyjádření vůbec nevyjádřilo k bezpečnostnímu certifikátu a hrozbě tzv. man-in-the-middle útoku.
Lenovo také nově uvedlo, které modely počítačů mohou mít software od Superfish nainstalovaný. Jde o širokou nabídku modelů G, U, Y, E, Z a S Series, dále Flex Series, MIIX Series a Yoga Series. Server Ars Technica také zveřejnil návod, jak se zbavit softwaru i certifikátu v samotném systému i prohlížeči
Zdroj: Ars Technica
