Lenovo are probleme: adware periculos preinstalat pe calculatoarele comercializate

Update: compania Lenovo a făcut o declaraţie oficială şi a oferit mai multe detalii despre acest incident. Informaţiile sunt publicate la finalul acestui articol.

Compania Lenovo, cea mai mare producătoare de PC-uri în acest moment, se confruntă cu un incident neplăcut de natură să-i afecteze imaginea publică. Compania chineză a preinstalat un produs software de tip adware pe PC-urile vândute pentru a afişa anunţuri publicitare suplimentare în cadrul paginilor Web, însă soluţia utilizată a creat totodată şi o breşă serioasă de securitate din cauza modului în care interceptează traficul criptat HTTPS.

Lenovo foloseşte soluţia software Superfish Visual Discovery pentru a afişa anunţuri publicitare în cadrul paginilor Web, prezenţa acestui intrus nedorit fiind remarcată în luna septembrie a anului trecut şi recunoscută oficial de către reprezentanţii companiei în luna ianuarie a acestui an. Conform declaraţiilor oficiale, soluţia Superfish Visual Discovery analizează imaginile din cadrul unei pagini Web şi oferă legături Web către magazinele care oferă produse relevante, însă aceasta are un comportament contextual si nu colectează date cu caracter personal. În luna ianuarie a acestui an, atunci când a admis că a folosit acest produs adware, Lenovo a anunţat totodată că a renunţat deja la preinstalarea acestuia din cauza problemelor pe care le provoca.

De parcă acest incident nu ar fi fost destul de grav, un cercetător din domeniul securităţii a descoperit că Superfish Visual Discovery funcţionează ca un server proxy şi poate intercepta traficul securizat HTTPS. Folosind un certificat digital propriu, soluţia adware interceptează traficul criptat cu ajutorul protocolului TLS şi poate colecta date critice cu caracter personal, cum ar fi de pildă informaţiile bancare. Folosind această soluţie software, atât Lenovo cât şi Superfish pot intercepta datele private ale utilizatorului, iar un atacator străin interesat ar putea obţine şi el acces indirect la aceste date cu ajutorul unui atac de tip man-in-the-middle.

În cazul în care securitatea certificatului digital Superfish ar fi compromisă, un eventual atacator ar putea intercepta traficul Web generat de către toţi utilizatorii sistemelor Lenovo infectate deoarece compania emitentă a folosit un unic certificat de securitate. Chiar dacă Lenovo a afirmat că nu mai foloseşte Superfish Visual Discovery iar utilizatorii pot înlătura manual produsul, pericolul rămâne deoarece rutinele de dezinstalare ale acestui nu şterg şi certificatul digital local. Browser-ele afectate sunt Internet Explorer şi Chrome, Firefox fiind imun deoarece foloseşte propria bază de date cu certificate digitale.

În acest moment, nu este prea clar care sunt sistemele Lenovo afectate. Utilizatorii care vor să stea liniştiţi pot verifica prezenţa certificatului digital Superfish pe sistemul lor, un semn că folosesc un sistem afectat de această problema. Utilizatorii vor trebui să deschidă consola de management a certificatelor (Start, Run, certmgr.msc) şi să caute în secţiunea Trusted Root Certification Authorities un certificat emis de Superfish. În caz că acesta nu există, totul este în regulă. În cazul în care acesta există, utilizatorii vor trebui să-l şteargă şi să înlăture apoi produsul software Superfish Visual Discovery din Control Panel, Programs and Features.

Comunicat oficial Lenovo

La Lenovo depunem toate eforturile pentru a oferi clienţilor noştri o experienţă unică de utilizare. Suntem conştienţi că milioane de oameni se bazează pe dispozitivele noastre în fiecare zi şi este responsabilitatea noastră să livrăm calitate, fiabilitate, inovaţie şi securitate pentru fiecare client. În efortul nostru de a spori experienţa de utilizare, am pre-instalat un software terţ, Superfish (Palo Alto, CA) pe unele dintre notebook-uri noastre adresate consumatorilor.

Ne-am gândit că produsul ar spori experienţa de shopping, aşa cum era prevăzut de Superfish. Acesta nu a satisfăcut aşteptările noastre sau pe cele ale clienţilor noştri.

În realitate, am avut plângeri din partea clienţilor cu privire la software. Am acţionat rapid şi decisiv odată ce aceste probleme au fost ridicate. Ne cerem scuze dacă am provocat motive de îngrijorare oricărui utilizator din orice motiv – învăţăm mereu din experienţă şi îmbunătăţim mereu ceea ce facem şi felul în care o facem.

Ne-am oprit din pre-instalare la începutul lunii ianuarie. Am închis conexiunile de server care permit software-ul (tot în luna ianuarie), iar acum furnizăm resurse online pentru a ajuta utilizatorii să dezinstaleze acest software. În plus, lucrăm direct cu Superfish şi cu alţi parteneri din industrie pentru a ne asigura că abordăm orice posibile probleme de securitate prezente sau viitoare. Informaţii detaliate cu privire la aceste activităţi şi instrumente pentru dezinstalarea de software sunt disponibile aici:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall
 
Pentru clarificare: Lenovo nu a instalat acest software pe niciun notebook ThinkPad şi pe niciun desktop Lenovo sau smartphone-uri. Acest software nu a fost instalat pe niciun produs pentru companii- servere sau medii de stocare – iar aceste produse nu sunt afectate în niciun fel.

Superfish nu va mai fi instalat pe niciun dispozitiv Lenovo. În plus, vom petrece următoarele săptămâni analizând această problemă pentru a învăţa ce putem face mai bine.

Vom vorbi cu partenerii, experţii din industrie şi utilizatorii noştri. Vom primi feedback-ul lor. Până la finalul acestei luni, vom anunţa un plan pentru a ajuta Lenovo şi industria noastră să ajungă la o cunoaştere mai profundă, mai multă înţelegere şi să pună mai mult accent pe aspectele legate de adware, pre-instalare şi securitate.

Suntem răspunzători pentru produsele noastre, experienţa dumneavoastră şi rezultatele acestui nou efort.

Superfish este posibil să fi apărut pe următoarele modele:

Seriile G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
Seriile U: U330P, U430P, U330Touch, U430Touch, U530Touch 
Seriile Y: Y430P, Y40-70, Y50-70
Seriile Z: Z40-75, Z50-75, Z40-70, Z50-70
Seriile S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Seriile Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
Seriile MIIX: MIIX2-8, MIIX2-10, MIIX2-11
Seriile YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Seriile E: E10-30