Skadevare på Lenovo-bærbare
Forhåndsinstallert på fabrikknye bærbare for konsumentmarkedet.
Rapporter på nettet tyder på at Lenovo har det siste drøye halve året forhåndsinstallert programvare som setter inn reklame på Google-søk og nettsteder, uten at brukeren har bedt om det.
Programmet heter Superfish, og nå har det dukket opp mer informasjon om det, opplysninger som tyder på at det ikke bare dreier seg om irriterende adware. Superfish tukler også med de digitale sertifikatene som den sikre internett-kommunikasjonen er basert på, noe som gjør det mulig for programmet å «avlytte» krypterte forbindelser, for eksempel når du bruker nettbanken din.
Midlertidig fjernet
Ifølge nettstedet The Next Web har Lenovo-representanten Mark Hopkins skrevet på et brukerforum i januar at selskapet midlertidig vil stoppe forhåndsinstallasjonen av Superfish, i påvente av at selskapet bak skal fjerne uønskete popup-vinduer som brukerne i stadig større antall har klagd på.
Likevel forsvarer Hopkins programmet, fordi det «hjelper brukerne å finne og oppdage produkter visuelt» og at det «øyeblikkelig analyserer bilder på webben og presenterer like og lignende produkttilbud som kan ha lavere priser».
Det er sikkert mulig å argumentere at denne funksjonaliteten er innenfor det vi er vant med av sponset programvare, mens andre kaller dette rett ut for uønsket adware.
Det som er mye verre, er at nå har det kommet rapporter om at Superfish kaprer alle krypterte forbindelser som pc-en bruker:
Egne sertifikater
Det var via brukerforumene at denne rapporten opprinnelig kom, at Superfish setter seg selv inn som certificate authority - «CA». Det betyr at Superfish selv genererer de digitale sertifikatene som SSL-krypteringen bruker, og det betyr i sin tur at Superfish kan dekryptere alle SSL-sikrete samband. I vanlig sikkerhetssjargong heter dette et «man-in-the-middle-attack», og det er svært alvorlig.
Det påstås at hensikten er at Superfish gjør dette for å kunne sette inn annonser også på nettsidene fra krypterte samband, men det betyr jo samtidig at programmet kan lese den dekrypterte nettsiden. Det er alvorlig, når det er en nettbank-sesjon eller en annen kryptert nettside med sensitiv informasjon som pakkes ut.
Saken blir slett ikke bedre av at Superfish bruker utdaterte krypteringsmetoder, som gjør all kryptert trafikk inn og ut av maskinen er fullt mulig å dekryptere for andre, noe som svekker pc-ens totale sikkerhet.
The Next Web har spurt Lenovo om kommentarer til dette.
