Annons

Den kinesiska datortillverkaren Lenovo har erkänt att bärbara datorer som skickades till butiker och konsumenter i slutet av 2014 hade skadlig programvara förinstallerad.

Du kanske vill läsa det igen.

En stor tillverkare med en försäljning på 38,70 miljarder dollar enbart under 2014 har sålt datorer som aktivt invaderar sina användares integritet, vilket möjliggör man i mitten attackerar Vad är en Man-in-the-Middle-attack? Säkerhetsjargong förklarasOm du har hört talas om "man-in-the-middle"-attacker men inte är helt säker på vad det betyder, är det här artikeln för dig. Läs mer och i princip undergräver förtroendet.

Möt Superfish. Faktiskt, gör inte.

Centralt i denna uppenbarelse är en mjukvara – fram tills nyligen betraktad som crapware eller bloatware – kallad Superfish Visual Discovery, ett webbläsartillägg som levereras förinstallerat på Lenovo-datorer, skenbart som en teknik för att "hitta och upptäcka produkter visuellt".

För du kan uppenbarligen inte upptäcka produkter med dina öron.

instagram viewer

Tanken är att Superfish, som finns som ett webbläsartillägg, analyserar bilder som du ser på webben, kontrollerar om de är produkter och erbjuder sedan "identiska och liknande produkterbjudanden som kan ha lägre priser”.

Hur fungerar det?

"Superfish Visual Discovery-motorn analyserar en bild 100 % algoritmiskt och ger liknande och nästan identiska bilder i realtid utan behov av texttaggar eller mänskligt ingripande. När en användare är intresserad av en produkt kommer Superfish att söka direkt bland mer än 70 000 butiker att hitta liknande varor och jämföra priser så att användaren kan fatta det bästa beslutet om produkt och pris.”

Problemet är att Superfish inte bara är en webbläsarkapning – skannrar mot skadlig programvara tar rutinmässigt bort annonsprogramsverktyg som gör samma sak – utan det finns också frågan om MITM-sårbarheten.

Kommer du ihåg Man in the Middle Attacks? Lenovo gör det

Superfish kapar inte bara din webbläsare för att visa annonser. Den installerar också ett självsignerat rot-HTTPS-certifikat, en handling som i huvudsak gör HTTPS meningslös, genom att fånga upp krypterad trafik på varje webbplats du besöker (HTTPS är såsen som gör webben säker Vad är HTTPS och hur man aktiverar säkra anslutningar som standardSäkerhetsoro sprider sig vida och brett och har nått framkant i de flestas allas sinne. Termer som antivirus eller brandvägg är inte längre något konstigt ordförråd och förstås inte bara utan används också av... Läs mer , och möjliggör internetbank, säker shopping, etc.). Bevis har hittats för att HTTPS-webbplatscertifikat i själva verket är signerade av Superfish (snarare än till exempel din bank) och ännu värre (om du trodde att det inte kunde bli värre) är den privata krypteringsnyckeln densamma på alla Lenovo datorer!

Detta innebär att falska webbplatser inte kan upptäckas av webbläsaren på en Lenovo-dator.

För att göra saken värre, Rob Graham från Errata Security har knäckt krypteringsnyckeln som säkrade Superfish-certifikatet och gjorde det möjligt för vem som helst att starta MITM-attacker på datorer med det certifikatet installerat.

Lenovo och skadlig programvara

Släppet av nyheten kom som en ganska överraskning...

Lenovo installerar ett MITM-certifikat och proxy som heter Superfish, på nya bärbara datorer, så det kan injicera annonser? Någon säger till mig att det inte är den värld jag är i.

— Mike Shaver (@shaver) 19 februari 2015

Det hade varit bekymmer och frågor om Superfish under en tid, och olika frågor på Lenovos supportforum.

Den här veckan meddelade Lenovo att webbläsartillägget Superfish Visual Discovery tillfälligt togs bort på grund av problem som "webbläsarpopup-beteende". Lenovo fortsatte med att förklara vad Superfish gör, samtidigt som han ansträngde sig för att lyfta fram det:

"Den profilerar inte och övervakar inte användarbeteende. Den registrerar inte användarinformation. Den vet inte vem användaren är. Användare spåras inte eller riktas om. Varje session är oberoende. När du använder Superfish för första gången, presenteras användaren användarvillkoren och integritetspolicyn, och har möjlighet att inte acceptera dessa villkor, d.v.s. Superfish avaktiveras då."

Riktigheten av detta påstående är uppe för debatt.

Min nya Lenovo Ultrabook

Lustigt nog har jag nyligen köpt en Lenovo-dator för några veckor sedan. Av en fantastisk slump råkade jag bara ta bort Superfish-skadlig programvara.

Du förväntar dig inte att en modern datortillverkare laddar sina datorer med något mer än en testversion av Microsoft Office och en internetsäkerhetssvit. Så naturligt när jag blev informerad om Superfish, ignorerade jag det bara.

Däremot använder vi på MakeUseOf Slack chatsystem för samarbete Slack gör gruppkommunikation snabbare och enklareGruppe-postmeddelanden kan verkligen döda produktiviteten. Det är dags att lägga e-postklienter i vila och använda samarbetstjänster som nylanserade Slack. Läs mer , och efter ett par dagars användning av min nya bärbara dator verkade det troligt att problemet jag hade när jag skickade meddelanden på Slack (jag kunde logga in utan problem) berodde på den nya datorn.

När jag skaffade en supportbiljett med Slack blev jag imponerad av det snabba svaret, även om jag var något störd av innehållet:

  • Har du Avast (antivirus) installerat?
  • Vad sägs om Net Nanny?
  • Är detta en Lenovo PC?

Ja, jag var också nyfiken på den sista frågan, och när jag svarade jakande möttes jag av detta förslag:muo-security-lenovo-superfish-uninstall

"Kan du kontrollera och se om du har installerat programvara som heter "Visual Discovery", av Superfish? Vi har lärt oss att om du tar bort den här programvaran (som är förinstallerad på vissa system) borde lösa problemet för dig. Det kan tydligen vara lite knepigt att hitta.

Om Visual Discovery inte är installerat har vi också hört att "Browser Guard" har samma problem."

Naturligtvis tog jag snabbt bort båda.

Hur åtgärdar du certifikatproblemet?

Att ta bort Superfish gör inte plötsligt att MITM-hotet försvinner. Du är fortfarande i riskzonen, och HTTPS är effektivt brutet på din dator tills du kan åtgärda certifikatproblemet.

Börja med att kontrollera om din dator är påverkad. Bege sig till https://filippo.io/Badfish/ och kontrollera resultaten. Om det ser ut som på bilden nedan krävs ytterligare åtgärder.

muo-säkerhet-lenovo-superfisk-check

Agera snabbt. Tryck på WIN+R för att öppna Springa rutan och skriv in certmgr.msc. Windows-certifikathanteraren öppnas, så leta efter Betrodda rotcertifikatutfärdare, expandera den för att visa Certifikat och leta sedan efter i den högra rutan Superfish, Inc.

Radera det.

muo-säkerhet-lenovo-superfisk-radera-certifikat

Du kan sedan gå tillbaka till Badfish-sidan (kodad av en av forskarna som var involverade i att utveckla en sida för att kontrollera Heartbleed sårbarhet 2014 Heartbleed – vad kan du göra för att vara säker? Läs mer ) och kontrollera resultatet, där ett mer tillfredsställande meddelande ska visas.

Avsluta genom att stänga webbläsaren och starta om Windows.

Eller använd bara Windows Defender [UPPDATERING]

Sedan vi publicerade det här inlägget har Microsoft släppt en uppdatering till Windows Defender som kommer att fånga och stek Superfish, ta bort alla spår av Lenovos ogenomtänkta skadliga program och dess tvivelaktiga certifikat.

Starta Windows Defender från startskärmen (skriv "windows defender") och se till att appen uppdateras, vänta sedan på att den ska köra sin genomsökning, upptäcka och ta bort hoten.

Om du inte använder Windows Defender, kontrollera din internetsäkerhetssvit efter uppdateringar och kör en skanning. Detta kan ha uppdaterats och bör därför ta bort Superfish automatiskt. Om inte, använd stegen ovan för manuell borttagning.

Vad kommer Lenovo att göra härnäst?

För en datorjätte har Lenovos svar på detta varit olämpligt. Detta företag har sålt miljontals bärbara datorer som skickats till butiker och kunder mellan oktober och december 2014, och för att det ska tona ner den skadliga bloatware som en fördel för användare att hitta fynd online är beklaglig.

Sedan nyheterna kom har Lenovo bekräftat att:

  • Superfish har helt inaktiverat interaktioner på serversidan (sedan januari) på alla Lenovo-produkter så att produkten inte längre är aktiv. Detta inaktiverar Superfish för alla produkter på marknaden.
  • Lenovo slutade förinstallera programvaran i januari.
  • Vi kommer inte att förinstallera denna programvara i framtiden.

Lenovo säger också att "Relationen med Superfish är inte ekonomiskt betydelsefull; vårt mål var att förbättra upplevelsen för användarna.” Altruistisk eller naiv?

De har också tagit fram en lista över berörda enheter.

Har du drabbats av Superfish? Vad tycker du om Lenovo nu? Dela din reaktion i kommentarerna nedan.

Christian Cawley är biträdande redaktör för säkerhet, Linux, gör-det-själv, programmering och Tech Explained. Han producerar också The Really Useful Podcast och har lång erfarenhet av skrivbords- och mjukvarustöd. Christian är en bidragsgivare till tidningen Linux Format och är en Raspberry Pi-pyssare, en Lego-älskare och en fan av retrospel.