Annonse

Den kinesiske datamaskinprodusenten Lenovo har innrømmet at bærbare datamaskiner som ble sendt til butikker og forbrukere i slutten av 2014 hadde forhåndsinstallert skadelig programvare.

Du vil kanskje lese det igjen.

En stor produsent med 38,70 milliarder dollar omsetning i 2014 alene, har solgt datamaskiner som aktivt invaderer brukerens privatliv, noe som muliggjør mann i midten angriper Hva er et Man-in-the-Middle-angrep? Sikkerhetssjargong forklartHvis du har hørt om "man-in-the-middle"-angrep, men ikke er helt sikker på hva det betyr, er dette artikkelen for deg. Les mer og i bunn og grunn undergraver tilliten.

Møt Superfish. Egentlig ikke gjør det.

Sentralt i denne åpenbaringen er et stykke programvare – inntil nylig ansett som crapware eller bloatware – kalt Superfish Visual Discovery, en nettleserutvidelse som leveres forhåndsinstallert på Lenovo-datamaskiner tilsynelatende som en teknologi for å "finne og oppdage produkter visuelt».

Fordi du åpenbart ikke kan oppdage produkter med ørene dine.

Tanken er at Superfish, til stede som en nettleserutvidelse, analyserer bilder du ser på nettet, sjekker om de er produkter, og tilbyr deretter "identiske og lignende produkttilbud som kan ha lavere priser».

Hvordan virker det?

"Superfish Visual Discovery-motoren analyserer et bilde 100 % algoritmisk, og gir like og nesten identiske bilder i sanntid uten behov for tekstkoder eller menneskelig inngripen. Når en bruker er interessert i et produkt, vil Superfish søke umiddelbart blant mer enn 70 000 butikker å finne lignende varer og sammenligne priser slik at brukeren kan ta den beste avgjørelsen om produkt og pris.»

Problemet er at ikke bare Superfish er en nettleserkapring – skannere mot skadelig programvare vil rutinemessig fjerne adwareverktøy som gjør det samme – men det er også problemet med MITM-sårbarheten.

Husker du Man in the Middle Attacks? Lenovo gjør det

Superfish kaprer ikke bare nettleseren din for å vise annonser. Den installerer også et selvsignert rot-HTTPS-sertifikat, en handling som i hovedsak gjør HTTPS meningsløs, ved å fange opp kryptert trafikk på hvert nettsted du besøker (HTTPS er sausen som gjør nettet sikkert Hva er HTTPS og hvordan du aktiverer sikre tilkoblinger per standardSikkerhetsbekymringer sprer seg vidt og bredt og har nådd forkant i de fleste alles sinn. Begreper som antivirus eller brannmur er ikke lenger et merkelig vokabular og blir ikke bare forstått, men også brukt av... Les mer , og muliggjør nettbank, sikker shopping osv.). Det er funnet bevis på at HTTPS-nettstedsertifikater faktisk er signert av Superfish (i stedet for for eksempel banken din) og enda verre (hvis du trodde det ikke kunne bli verre) er den private krypteringsnøkkelen den samme på alle Lenovo datamaskiner!

Dette betyr at falske nettsteder ikke kan oppdages av nettleseren på en Lenovo-PC.

For å gjøre vondt verre, Rob Graham fra Errata Security har knekt krypteringsnøkkelen som sikret Superfish-sertifikatet som gjorde det mulig for alle å starte MITM-angrep på PC-er med det sertifikatet installert.

Lenovo og skadelig programvare

Utgivelsen av nyheten kom som en ganske overraskelse...

Lenovo installerer et MITM-sertifikat og proxy kalt Superfish, på nye bærbare datamaskiner, så det kan injisere annonser? Noen forteller meg at det ikke er den verden jeg er i.

— Mike Shaver (@shaver) 19. februar 2015

Det hadde vært bekymringer og spørsmål rundt Superfish en stund, og ulike spørsmål på Lenovos støtteforum.

Denne uken kunngjorde Lenovo at nettleserutvidelsen Superfish Visual Discovery ble midlertidig fjernet på grunn av problemer som "popup-oppførsel i nettleseren". Lenovo fortsatte med å forklare hva Superfish gjør, mens han anstrengte seg for å fremheve det:

"Den profilerer eller overvåker ikke brukeratferd. Den registrerer ikke brukerinformasjon. Den vet ikke hvem brukeren er. Brukere blir ikke sporet eller målrettet på nytt. Hver økt er uavhengig. Når du bruker Superfish for første gang, blir brukeren presentert vilkårene for bruker og personvernregler, og har muligheten til å ikke godta disse vilkårene, dvs. Superfish blir da deaktivert.

Nøyaktigheten av denne påstanden er opp til debatt.

Min nye Lenovo Ultrabook

Morsomt nok har jeg nylig kjøpt en Lenovo-datamaskin for noen uker siden. Ved en utrolig tilfeldighet fjernet jeg tilfeldigvis skadelig programvare Superfish.

Du forventer ikke at en moderne datamaskinprodusent skal laste datamaskinene sine med noe mer enn en prøveversjon av Microsoft Office og en Internett-sikkerhetspakke. Så da jeg ble informert om Superfish, ignorerte jeg det naturligvis.

Imidlertid bruker vi i MakeUseOf Slakk chatsystem for samarbeid Slakk gjør gruppekommunikasjon raskere og enklereGruppe-e-poster kan virkelig drepe produktiviteten. Det er på tide å sette e-postklienter i ro og bruke samarbeidstjenester som nylig lanserte Slack. Les mer , og etter et par dagers bruk av den nye bærbare datamaskinen min, virket det sannsynlig at problemet jeg hadde med å legge ut meldinger på Slack (jeg kunne logge på uten problemer) skyldtes den nye datamaskinen.

Da jeg hentet en støttebillett med Slack, ble jeg imponert over den raske responsen, selv om jeg ble litt forstyrret av innholdet:

  • Har du installert Avast (antivirus)?
  • Hva med Net Nanny?
  • Er dette en Lenovo PC?

Ja, jeg var også nysgjerrig på det siste spørsmålet, og da jeg svarte bekreftende, ble jeg møtt av dette forslaget:muo-security-lenovo-superfish-uninstall

"Kan du sjekke og se om du har installert programvare kalt "Visual Discovery", av Superfish? Vi har lært at fjerning av denne programvaren (som er forhåndsinstallert på enkelte systemer) bør løse problemet for deg. Det kan være litt vanskelig å finne, tilsynelatende.

Hvis Visual Discovery ikke er installert, har vi også hørt at "Browser Guard" har det samme problemet."

Jeg fjernet naturligvis begge deler raskt.

Hvordan fikser du sertifikatproblemet?

Å fjerne Superfish gjør ikke plutselig at MITM-trusselen forsvinner. Du er fortsatt i faresonen, og HTTPS er effektivt ødelagt på datamaskinen din til du kan fikse sertifikatproblemet.

Begynn med å sjekke om datamaskinen din er berørt. Setter kursen mot https://filippo.io/Badfish/ og sjekk resultatene. Hvis det ser ut som bildet nedenfor, er ytterligere tiltak nødvendig.

muo-sikkerhet-lenovo-superfisk-sjekk

Handle raskt. Trykk WIN+R for å åpne Løpe boksen, og skriv inn certmgr.msc. Windows-sertifikatbehandlingen åpnes, så se etter Pålitelige rotsertifiseringsinstanser, utvide den for å vise Sertifikater og se etter i den høyre ruten Superfish, Inc.

Slett det.

muo-security-lenovo-superfisk-slett-sertifikat

Du kan deretter gå tilbake til Badfish-siden (kodet av en av forskerne som var involvert i å utvikle en side for å se etter Heartbleed sårbarhet i 2014 Heartbleed – Hva kan du gjøre for å holde deg trygg? Les mer ) og sjekk resultatet, der en mer tilfredsstillende melding skal vises.

Avslutt ved å lukke nettleseren og starte Windows på nytt.

Eller bare bruk Windows Defender [OPPDATERING]

Siden vi publiserte dette innlegget, har Microsoft gitt ut en oppdatering til Windows Defender som vil fange og stek Superfish, og fjern alle spor av Lenovos lite gjennomtenkte skadevare og den skumle sertifikat.

Start Windows Defender fra startskjermen (skriv "windows defender") og sørg for at appen oppdateres, og vent til den skal kjøre skanningen, oppdage og fjerne truslene.

Hvis du ikke bruker Windows Defender, sjekk Internett-sikkerhetspakken for oppdateringer og kjør en skanning. Dette kan ha blitt oppdatert, og bør derfor fjerne Superfish automatisk. Hvis ikke, bruk trinnene ovenfor for manuell fjerning.

Hva vil Lenovo gjøre videre?

For en datagigant har Lenovos svar på dette vært udugelig. Dette selskapet har solgt millioner av bærbare datamaskiner som ble sendt til butikker og kunder mellom oktober og desember 2014, og for å tone ned ondsinnet bloatware som en fordel for brukere å finne gode kjøp på nettet er beklagelig.

Siden nyhetene kom har Lenovo bekreftet at:

  • Superfish har fullstendig deaktivert interaksjoner på serversiden (siden januar) på alle Lenovo-produkter slik at produktet ikke lenger er aktivt. Dette deaktiverer Superfish for alle produkter på markedet.
  • Lenovo sluttet å forhåndslaste programvaren i januar.
  • Vi vil ikke forhåndslaste denne programvaren i fremtiden.

Lenovo sier også at «Forholdet til Superfish er ikke økonomisk viktig; målet vårt var å forbedre opplevelsen for brukerne.» Altruistisk eller naivt?

De har også laget en liste over berørte enheter.

Har du blitt påvirket av Superfish? Hva synes du om Lenovo nå? Del reaksjonen din i kommentarene nedenfor.

Christian Cawley er assisterende redaktør for sikkerhet, Linux, DIY, programmering og teknisk forklart. Han produserer også The Really Useful Podcast og har lang erfaring med støtte for skrivebord og programvare. Christian er en bidragsyter til magasinet Linux Format, og er en Raspberry Pi-tinder, Lego-elsker og retro-spillfan.