Notebooky od spoločnosti Lenovo mali predinštalovaný softvér, ktorý umožňoval hackerom kradnúť citlivé dáta ako heslá či informácie o bankových účtoch.
Spomínaný softvér je typu adware a volá sa Superfish. Superfish je súčasťou softvérovej výbavy, ktorú Lenovo zákazníkom predinštaluje a zákazníci si ho tak donesú domov či chcú alebo nie. Tento program má pritom možnosť pristupovať k osobným dátam kvôli poskytovaniu reklamných účelov. Superfish sa správa ako neobmedzená certifikačná autorita, vystupuje v roli man-in-the-middle a nainštaluje proxy server schopný produkovať falošné SSL certifikáty vždy keď je vyžadované zabezpečené spojenie. SSL certifikáty sú malé súbory, ktorými stránky potvrdzujú svoju identitu. Tým, že Superfish vytvára svoje vlastné SSL certifikáty môže vykonávať svoju reklamnú činnosť aj na zabezpečených spojeniach - vkladať reklamy a zbierať dáta zo stránok, ktoré by mali byť inak bezpečné.
Bezpečnostný expert Kenn White na sieti Twitter ukázal aj Superfish v akcii. Obrázok ukazuje certifikát vydaný pre Bank of America, ktorý však vydal práve Superfish namiesto dôveryhodnej certifikačnej autority ako napríklad VeriSign. Superfish tak môže pristupovať a zbierať dáta zo zabezpečených spojení čo môžu využiť aj hackeri pre zber osobných údajov.
Superfish totiž používa rovnaký súkromný kľúč pre svoje falošné certifikáty na všetkých Lenovo strojoch. Ak teda niekto dokázal prelomiť tento kľúč mohol vytvoriť certifikáty, ktoré všetky Lenovo počítače považujú za dôveryhodné alebo vytvoriť škodlivý program, ktorý by taktiež Lenovo počítače považovali za dôveryhodný.
Mnohí užívatelia navyše potvrdili, že odinštalovanie programu neodstránilo tvorbu certifikátov. Lenovo existenciu Superfish priznalo ešte v januári a problém odstránilo ešte v ten istý mesiac zo svojich počítačov. Spoločnosť tiež samozrejme tvrdí, že softvér nemonitoroval správanie užívateľov a ani nezaznamenával žiadne informácie. Lenovo pripomenulo aj to, že užívatelia pri kúpe a prvom použití počítača majú k dispozícii podmienky použitia a zásady ochrany osobných údajov a majú možnosť nesúhlasiť s nimi.
Aktualizáca, 19.2.2015 23:30
Vyjadrenie spoločnosti Lenovo k softvéru Superfish
Vyhlásenie V spoločnosti Lenovo vynakladáme maximálne úsilie, aby sme našim zákazníkom mohli poskytnúť vždy skvelý užívateľský zážitok. Vieme, že každý deň sa milióny ľudí spoliehajú na naše zariadenia a my sme zodpovední za to, aby sme každému jednému zákazníkovi priniesli kvalitu, spoľahlivosť, inovácie a bezpečnosť. V našom úsilí o zlepšovanie užívateľského zážitku našich zákazníkov sme na niektorých užívateľských notebookoch predinštalovali časť softvéru tretej strany - Superfish (so sídlom v Palo Alto, CA).
Predpokladali sme, že tento produkt zvýši zážitok z nakupovania, tak ako to Superfish plánovala. Nenaplnilo to však naše očakávania a ani očakávania našich zákazníkov. V skutočnosti sme na tento softvér zaznamenali mnoho sťažností od našich zákazníkov. Zareagovali sme okamžite a rozhodne, hneď ako sa tieto obavy začali objavovať. Ospravedlňujeme sa, ak sme u užívateľov vyvolali akékoľvek obavy - a vždy sa snažíme poučiť a zlepšovať to, čo robíme i ako to robíme.
S predinštaláciou tohto softvéru sme prestali začiatkom januára. Vypli sme serverové pripojenia, ktoré tento softvér spúšťajú (taktiež v januári) a užívatelia majú k dispozícii online zdroje na pomoc pri odstraňovaní tohto softvéru. A samozrejme, spolupracujeme priamo so Superfish a ďalšími partnermi z odvetvia, aby sme mohli reagovať na akékoľvek potenciálne bezpečnostné záležitosti, či už teraz alebo v budúcnosti. Podrobné informácie o týchto aktivitách a nástrojoch na odstránenie softvéru nájdete tu:
http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Aby sme sa vyjadrili jasne: Spoločnosť Lenovo nikdy tento softvér neinštalovala na žiadne notebooky z radu ThinkPad ani na žiadne Lenovo stolové počítače ani smartfóny. Tento softvér nebol nikdy inštalovaný na žiadnych podnikových produktoch - serveroch ani úložiskách - a tieto produkty nie sú žiadnym spôsobom zasiahnuté. A Superfish už nikdy nebude nainštalovaný na žiadnom zariadení značky Lenovo. Navyše, v najbližších týždňoch sa touto otázkou budeme naďalej zaoberať, budeme zisťovať, čo môžeme vylepšiť. Budeme hovoriť s našimi partnermi, odborníkmi z branže a tiež s našimi užívateľmi. Získame ich spätnú väzbu. Do konca mesiaca oznámime plán, ako pomôcť spoločnosti Lenovo a celému nášmu odvetviu napredovať za pomoci dôslednejších vedomostí, hlbšieho pochopenia a ešte väčšieho zamerania sa na záležitosti okolo advéru, predinštalovaných funkcií a bezpečnosti. Skutočne chceme niesť zodpovednosť za naše produkty, vaše zážitky a výsledky tohto nášho nového úsilia.
Superfish sa mohol objaviť na týchto modeloch:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Predpokladali sme, že tento produkt zvýši zážitok z nakupovania, tak ako to Superfish plánovala. Nenaplnilo to však naše očakávania a ani očakávania našich zákazníkov. V skutočnosti sme na tento softvér zaznamenali mnoho sťažností od našich zákazníkov. Zareagovali sme okamžite a rozhodne, hneď ako sa tieto obavy začali objavovať. Ospravedlňujeme sa, ak sme u užívateľov vyvolali akékoľvek obavy - a vždy sa snažíme poučiť a zlepšovať to, čo robíme i ako to robíme.
S predinštaláciou tohto softvéru sme prestali začiatkom januára. Vypli sme serverové pripojenia, ktoré tento softvér spúšťajú (taktiež v januári) a užívatelia majú k dispozícii online zdroje na pomoc pri odstraňovaní tohto softvéru. A samozrejme, spolupracujeme priamo so Superfish a ďalšími partnermi z odvetvia, aby sme mohli reagovať na akékoľvek potenciálne bezpečnostné záležitosti, či už teraz alebo v budúcnosti. Podrobné informácie o týchto aktivitách a nástrojoch na odstránenie softvéru nájdete tu:
http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Aby sme sa vyjadrili jasne: Spoločnosť Lenovo nikdy tento softvér neinštalovala na žiadne notebooky z radu ThinkPad ani na žiadne Lenovo stolové počítače ani smartfóny. Tento softvér nebol nikdy inštalovaný na žiadnych podnikových produktoch - serveroch ani úložiskách - a tieto produkty nie sú žiadnym spôsobom zasiahnuté. A Superfish už nikdy nebude nainštalovaný na žiadnom zariadení značky Lenovo. Navyše, v najbližších týždňoch sa touto otázkou budeme naďalej zaoberať, budeme zisťovať, čo môžeme vylepšiť. Budeme hovoriť s našimi partnermi, odborníkmi z branže a tiež s našimi užívateľmi. Získame ich spätnú väzbu. Do konca mesiaca oznámime plán, ako pomôcť spoločnosti Lenovo a celému nášmu odvetviu napredovať za pomoci dôslednejších vedomostí, hlbšieho pochopenia a ešte väčšieho zamerania sa na záležitosti okolo advéru, predinštalovaných funkcií a bezpečnosti. Skutočne chceme niesť zodpovednosť za naše produkty, vaše zážitky a výsledky tohto nášho nového úsilia.
Superfish sa mohol objaviť na týchto modeloch:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Zdroj: theverge
Bird
gammaray
Bird
spencer
Bird
Janko23
Bird
Bird
Archon
Archon
Bird
Archon
Bird
Archon
Feree
Archon
miro3333333
Broslowski
Archon
MN
x3m
etpozemstan
passco
verdiow
rinowie
ASAD