Приложение в някои лаптопи на Lenovo има сериозен проблем със сигурността

Оказва се, че в лаптопите на Lenovo, които са били продадени между септември 2014 и януари 2015, има предварително инсталиран софтуер за показване на реклами, който представлява сериозен риск за сигурността на данните на потребителите. Софтуерът, който се казва Superfish, използва посреднически сертификат, за да вмъква реклами в браузъра, и ако той бъде компрометиран, това може лесно да даде достъп на трета страна до данните от браузъра на потребителя.

През януари Марк Хопкинс от Lenovo е коментирал във форума на компанията, че Superfish вече не се инсталира в лаптопите на компанията, заради някои проблеми, чието естество не е посочил. Оказва се, че те са свързани с попъп прозорци, които са се появявали необяснимо откъде. По-лошата новина се оказва това, че изтриването на Superfish не премахва посредническия сертификат, и по този начин проблемът със сигурността на данните остава.

В изявление компанията заявява, че вече няма да инсталира въпросното приложение и още през януари е деактивирала сървърната му част, което изключва Superfish във всички продукти на пазара. Междувременно изследователи разбиха паролата на сертификата, което позволява на всеки, който я знае, да избегне напълно криптирането на уеб протоколите за сигурност. Според Errata Security паролата се пази в активната памет на софтуера и извличането й е било лесно.

Лошото е, че засега няма готово решение за премахване на Superfish. Приложението може да бъде деинсталирано, но това не спира прекарването на уеб криптирането през неговия сертификат. През идните дни се очакват повече начини за избягване на проблема, а до появата им е добра идея хората със засегнати компютри да избягват публични Wi-Fi мрежи. С този тест можете да проверите дали и вашия компютър е компрометиран.

Източник: The Verge

 

Ново

Добавяме официалното становище на Lenovo България:

Ние в Lenovo се стараем да предложим на нашите клиенти възможно най-доброто преживяване. Знаем, че милиони потребители разчитат ежедневно на продуктите ни и наша отговорност е да предоставим безупречно качество, надеждност, иновация и сигурност на всеки клиент. В стремежа си да направим потребителското преживяване още по-интересно, ние предварително инсталирахме на част от потребителския клас компютри софтуер на трета страна - компанията Superfish, базирана в Пало Алто, щата Калифорния.      

Смятахме, че продуктът ще помогне на клиентите при онлайн пазаруване, каквато бе и целта на Superfish. Той обаче не оправда нашите очаквания, както и очакванията на потребителите. В действителност получихме оплаквания от тях. На момента реагирахме бързо и решително. Поднасяме своите извинения на нашите потребители за всички причинени от ситуацията неудобства и ги уверяваме, че ще подобрим начина, по който се справяме в подобни ситуации.    

През януари спряхме всички предварителни инсталации на софтуера. Връзките към сървърите бяха спрени още през януари, като осигуряваме на потребителите онлайн ресурс, който да им помогне да премахнат софтуера. Не на последно място работим заедно със Superfish и други наши партньори в посока изясняване на възможни рискове за сигурността в момента или в бъдеще. Повече информация в тази връзка и инструментите за премахване на софтуера можете да намерите на:    

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

Искаме да подчертаем, че Lenovo не са инсталирали този софтуер на който и да било от компютрите от ThinkPad сериите, нито на десктоп машините или на смартфоните. Софтуерът Superfish никога не е бил инсталиран върху бизнес продукт – сървъри или сториджи, като този клас продукти не е повлиян по никакъв начин. В момента Superfish не се инсталира върху каквото и да било устройство на Lenovo. В допълнение подчертаваме, че през следващите няколко седмици ще работим върху този казус, извличайки поуката, че можем да се справяме по-добре. Ще обсъдим ситуацията с партньори, експерти и потребители. До края на месеца ще обявим план, който ще води Lenovo и индустрията напред с повече познание и по-голям фокус върху казусите, свързани с софтуер за реклама, предварителни инсталации и потребителска сигурност. За нас е важно да информираме обществеността за резултатите от тези нови усилия.

Възможно е Superfish да бъде открит в следните модели:
G Серия: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Серия: U330P, U430P, U330Touch, U430Touch, U530Touch 
Y Серия: Y430P, Y40-70, Y50-70
Z Серия: Z40-75, Z50-75, Z40-70, Z50-70
S Серия: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Серия: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Серия: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Серия: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Серия: E10-30