Laptopy

Oprogramowanie podsłuchujące Superfish w laptopach Lenovo [AKTUALIZACJA]

opublikowano przez Paweł Maziarz w dniu 2015-02-19

Oprogramowanie Superfish dodaje na stronach reklamy i podszywa się pod strony z szyfrowaniem połączenia.

Lenovo laptop

Mamy niedobre wieści dla użytkowników laptopów Lenovo. Okazuje się bowiem, że producent instaluje w nowszych modelach oprogramowanie adware, które wyświetla na stronach dodatkowe reklamy i może podszywać się pod strony z aktywnym szyfrowaniem połączenia.

Mowa tutaj o oprogramowaniu Superfish, które jest instalowane zaraz po wyjęciu laptopa z pudełka lub przywróceniu systemu z partycji recovery. Pierwsze informacje o dodatku pojawiły się już w tamtym roku, kiedy to kilku użytkowników zwróciło uwagę na dziwne reklamy – te były dopasowane do wyników wyszukiwanych treści.

Niedawno do problemu odniósł się jeden z przedstawicieli producenta – potwierdził on istnienie takiego problemu, ale jednocześnie zapewnił, że w nowszych modelach wyłączy aktywność reklam, które wyraźnie drażniły użytkowników.

Superfish - reklamy VisualDiscovery
Reklamy dodawane oprogramowanie Superfish są oznaczone jako "Powered by VisualDiscovery"

Problem jednak w tym, że Superfish działa na zasadzie ataku MITM (man-in-the middle) - dodaje swój certyfikat SSL i przekierowuje ruch przeglądarki użytkownika przez serwer proxy. W efekcie dana strona (np. strona banku) jest chroniona przez szyfrowany protokół HTTPS, ale certyfikat pochodzi tutaj już od dodatku Superfish (system widzi go jako autentyczny). Certyfikaty Superfish są takie same dla wszystkich laptopów Lenovo, a więc po poznaniu klucza prywatnego, możliwe jest akceptowane certyfikatów SSL dla fałszywych stron internetowych i podsłuchiwanie osób korzystających z laptopów.

Lenovo Superfish - certyfikat
Certyfikat Superfish w ogólnej bazie certyfikatów systemu Windows

Czy to oznacza, że nasze prywatne fotki mogą dostać się w niepowołane ręce, a konto w banku wkrótce zostanie opróżnione? Na pewno nie należy wpadać w panikę, bowiem dodatek Superfish był instalowany tylko na nowszych laptopach (pierwsze doniesienia pojawiają się mniej więcej od połowy 2014 roku) i już od jakiegoś czasu jest blokowany przez antywirusy. Warto również zauważyć, że z publicznego repozytorium certyfikatów korzystają tylko przeglądarki Google Chrome i Internet Explorer, natomiast Mozilla Firefox ma już swoją bazę certyfikatów – tam certyfikat Superfisha nie był dodawany. Można jednak podejrzewać, że Google też wkrótce zablokuje fałszywy certyfikat.

Lenovo Superfish - fałszywy certyfikat SSL HTTPS
Strona banku Nordea zabezpieczona certyfikatem wystawionym przez Superfish

Mimo wszystko warto pozbyć się natrętnego dodatku – w tym celu należy uruchomić menadżer zadań i zablokować usługę VisualDiscovery. Jak to zrobić, możecie zobaczyć na poniższym filmiku.

 

Aktualizacja 20.02.2014 15:15

Poznaliśmy oficjalne stanowisko firmy Lenovo w związku z dodatkiem Superfish i ewentualnymi następstwami jego działania.

W Lenovo dokładamy wszelkich starań, by zapewnić klientom jak najlepszą ofertę. Wiemy, że z naszych urządzeń korzystają codziennie miliony osób, a my jesteśmy zobowiązani zapewniać użytkownikom wysoką jakość, niezawodność, innowacyjność i bezpieczeństwo informacji. Dążąc do doskonalenia swojej oferty, na niektórych notebookach dla klientów indywidualnych instalowaliśmy fabrycznie oprogramowanie producenta zewnętrznego — firmy Superfish z Palo Alto w stanie Kalifornia.

Wychodziliśmy z założenia, że produkt ten, zgodnie z intencjami Superfish, ułatwi użytkownikom zakupy w Internecie. Oprogramowanie to nie spełniło jednak oczekiwań naszych ani klientów, którzy krytykowali jego działanie. Na te skargi zareagowaliśmy szybko i zdecydowanie. Przepraszamy, jeżeli nasi użytkownicy poczuli się zaniepokojeni z jakiegokolwiek powodu. Zawsze wyciągamy wnioski z własnych doświadczeń i staramy się doskonalić na ich podstawie.

W styczniu zaprzestaliśmy fabrycznej instalacji tego oprogramowania. Także w styczniu zablokowaliśmy połączenia z serwerem, który umożliwiał jego działanie. Na naszych stronach internetowych zamieściliśmy instrukcję usuwania tego oprogramowania. We współpracy z Superfish oraz innymi partnerami branżowymi reagujemy na wszelkie obecne i potencjalne kwestie związane z bezpieczeństwem informacji. Szczegółowe informacje na temat tych działań oraz narzędzia do usuwania oprogramowania można uzyskać pod adresami:

  • http://support.lenovo.com/us/en/product_security/superfish
  • http://support.lenovo.com/us/en/product_security/superfish_uninstall

Pragniemy podkreślić, że firma Lenovo nigdy nie instalowała tego oprogramowania na jakichkolwiek notebookach marki ThinkPad, komputerach stacjonarnych ani smartfonach. Oprogramowanie to nie było nigdy instalowane na żadnych produktach dla klientów z sektora dużych przedsiębiorstw —serwerach ani rozwiązaniach pamięci masowej — i sprawa ta w żaden sposób nie dotyczy tych urządzeń. Nie instalujemy już technologii Superfish na żadnych urządzeniach Lenovo. Najbliższe tygodnie poświęcimy na dogłębne zbadanie tej sprawy i wyciąganie wniosków na przyszłość. Będziemy prowadzić dialog z partnerami, specjalistami branżowymi oraz użytkownikami i poprosimy ich o opinie. Pod koniec miesiąca przedstawimy plan działań, które pomogą Lenovo i całej branży działać z większą świadomością kwestii związanych z oprogramowaniem adware, oprogramowaniem instalowanym fabrycznie i zabezpieczeniami. Poczuwamy się do odpowiedzialności za swoje produkty, ofertę dla użytkowników i wyniki naszych nowych działań.

Technologia Superfish mogła być instalowana na następujących modelach komputerów:

  • Seria G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • Seria U: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Seria Y: Y430P, Y40-70, Y50-70
  • Seria Z: Z40-75, Z50-75, Z40-70, Z50-70
  • Seria S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Seria Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • Seria MIIX: MIIX2-8, MIIX2-10, MIIX2-11
  • Seria YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • Seria E: E10-30

Źródło: TheNextWeb, Lenovo, Niebezpiecznik, Zaufana Trzecia Strona

marketplace

Komentarze

64
Zaloguj się, żeby skomentować
avatar
Dodaj
Komentowanie dostępne jest tylko dla zarejestrowanych użytkowników serwisu.
  • avatar
    Dlaczego takie praktyki sa legalne przecież to jest przestepstwo.
    Zaloguj się
    46
  • avatar
    za takie coś firma powinna iść na dno a osoby za to odpowiedzialne do więzienia.
    Zaloguj się
    15
  • avatar
    Na bank akceptując jakiś regulamin podczas instalacji zgadzasz się (nieświadomie) na to.
  • avatar
    Dlatego jak się kupuje laptopa z systemem, to pierwsze co się robi to czyści do zera dysk twardy z partycją recovery włącznie, ustawia od nowa po swojemu partycje i wgrywa nowy system operacyjny używając dołączonego oryginalnego klucza. Potem instalujemy sterowniki i niezbędne oprogramowanie, obowiązkowo programem antywirusowym, dokonujemy optymalizacji systemu i aktualizacji i dopiero tak zrobiony laptop nadaje się do użytku.
    Zaloguj się
  • avatar
    Ostatnio usuwalem takie cos wlasnie z laptopa lenovo myslem ze to znajmomy poinstalowal znowu jakies syfy a to fabrycznie no jestem w szoku.
  • avatar
    Unikać ta firmę szerokim łukiem.
  • avatar
    Wystarczy nie korzystać z syfu jakim jest windows. Wgrywa się czystego linuxa i ma się spokój z takimi praktykami.
    Zaloguj się
    -16
  • avatar
    A teraz mi powiedzcie czy Lenovo jest jedynym takim, który coś takiego robi AŻ TAK BEZPOŚREDNIO. A co dopiero jakieś luki głęboko ukryte i pochowane...

    No ale w końcu na komputerach systemowo rządzi Microsoft, na smartfonach Google, a ich współpracy chociażby z tym całym NSA czy czymś podobnym nie ma co wykluczać.

    A jakby się pewno przyjrzeć np. androidowym nakładkom/systemom z Azji, to pewnie i tam by coś znalazł...

    Heh- anonimowość w internecie... Tia...
    Zaloguj się
  • avatar
    W moim Lenovo po wybudzeniu ze stanu uśpienia świeci się dioda od kamerki. Mam się bać?
    Zaloguj się
  • avatar
    Wielki problem pozwy zbiorowe przeciwko Lenovo złożyć. A urząd ochrony UOKiK powinien nałożyć na Lenovo karę w wysokości miliarda euro i tyle. Jakoś chiny nie mają problemów z karaniem firm zagranicznych.
  • avatar
    sprawdziłem przed chwilą na dwóch lenówkach, więc albo chrome nie obsługuje tego oprogramowania albo fake :)
    Zaloguj się
  • avatar
    [Zdecydownym kupować tanio polecam stronke:
    www.make.my/aukcje
    Mega okazje, licytacje za grosze.
    Ja kupiłem sobie nowy TV 46cali za 180 zł :)
  • avatar
    http://support.lenovo.com/us/en/product_security/superfish_uninstall
    Zaloguj się
  • avatar
    Systemy brandowane to najgorszy SYF. Nie ważne jaka firma. Dziękuję Microsoftowi za narzędzie http://windows.microsoft.com/pl-pl/windows-8/create-reset-refresh-media które daje możliwość instalacji czystego systemu 8.1 spod uefi bez podawania klucza.