Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Historien om det kontroversiella annonsprogrammet Superfish tar en ny vändning när forskare bevisar att mjukvaran utgör en högst påtaglig säkerhetsrisk.

För några dagar sedan uppmärksammades att världens största datortillverkare levererar åtskilliga datormodeller med ett minst sagt kontroversiellt annonsprogram. Mjukvaran heter Superfish och installerar ett eget SSL-certifikat, vilket gör det möjligt att hitta in i krypterade anslutningar. Det inbegriper allt från vanliga webbsidor till e-posttjänster och internetbanker.

super-03.png

Armed with this password, I continued where I left off with the openssl command-line tool and successfully decoded the certificate. I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet).

Nu påvisar bland annat säkerhetsforskaren Robert Graham att det inte handlar om en teoretisk säkerhetsbrist utan om en högst påtaglig fara för användarna. Med några snabba handgrepp lyckas han lista ut lösenordet till certifikatet och öppna för en fullskalig man in the middle-attack.

Det betyder att det är fritt fram för angripare att utnyttja annonsprogrammets beteende för att snappa upp och manipulera data som passerar annars krypterade anslutningar, exempelvis genom att avlyssna trafiken i trådlösa nätverk.

step4.png

Lenovo betonar dock att annonsprogrammet sedan januari 2015 inte längre används och tillhandahåller nu även instruktioner för att ta bort Superfish och dess certifikat. Bland berörda modeller syns en uppsjö konsumentklassade datorer, dock inte Thinkpad-serien eller Lenovos plattor och telefoner.

Klicka här för att läsa hela Lenovos uttalande

LENOVO STATEMENT ON SUPERFISH

At Lenovo, we make every effort to provide a great user experience for our customers. We know that millions of people rely on our devices every day, and it is our responsibility to deliver quality, reliability, innovation and security to each and every customer. In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks.

We thought the product would enhance the shopping experience, as intended by Superfish. It did not meet our expectations or those of our customers. In reality, we had customer complaints about the software. We acted swiftly and decisively once these concerns began to be raised. We apologize for causing any concern to any users for any reason – and we are always trying to learn from experience and improve what we do and how we do it.

We stopped the preloads beginning in January. We shut down the server connections that enable the software (also in January, and we are providing online resources to help users remove this software. Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future. Detailed information on these activities and tools for software removal are available here:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product -- servers or storage -- and these products are in no way impacted. And, Superfish is no longer being installed on any Lenovo device. In addition, we are going to spend the next few weeks digging in on this issue, learning what we can do better. We will talk with partners, industry experts and our users. We will get their feedback. By the end of this month, we will announce a plan to help lead Lenovo and our industry forward with deeper knowledge, more understanding and even greater focus on issues surrounding adware, pre-installs and security. We are eager to be held accountable for our products, your experience and the results of this new effort.

Superfish may have appeared on these models:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

  • Y Series: Y430P, Y40-70, Y50-70

  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70

  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

  • E Series: E10-30

Visa mer
Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
3

Tävla och vinn endagsbiljetter för två till Dreamhack Summer 2017

SweClockers förbereder monteraktiviteterna inför Dreamhack Summer 2017 och laddar upp med att tävla ut totalt 50 dagspass, som ska gå till 25 taggade vinnare. Läs mer

32

Microsoft: "Utvecklare kan använda Project Scorpios prestanda hur de vill"

Enligt Microsoft ställer de inga krav på hur den extra prestandan i Project Scorpio ska nyttjas, utan detta är upp till utvecklarna själva att bestaämma. Läs mer

113

Windows 7 vanligaste operativsystemet bland Wannacry-infekterade datorer

Windows XP är inte det vanligaste operativsystemet bland Wannacry-infekterade datorer. Istället är det Windows 7 som utgör majoriteten av dessa, avslöjar ny statistik. Läs mer

22

Asus gör bärbar speldator med AMD Ryzen

Inför årets Computex avslöjar Asus att bolaget arbetar på en bärbar ROG-speldator, som blir den första i sitt slag med AMD:s processorfamilj Ryzen. Läs mer

27

En djupdykning i modern spelutveckling

Mjukvaran och hårdvaran i dagens spelkonsoler och datorer har mycket gemensamt på pappret, men hur likartad är processen för utvecklare? Vi djupdyker i den moderna spelutvecklingen. Läs mer

25

Testpilot: Synology DiskStation DS916+

Testpiloten TheMadPanda tar en närmare titt på Synologys Diskstation DS916+, en NAS-enhet som kommer utrustad med en fyrkärnig processor och plats för fyra stycken hårddiskar. Läs mer

15

Besök SweClockers och AOC Agons monter på Dreamhack Summer 2017

Det vankas LAN-fest i Jönköping och på plats är SweClockers och AOC Agon med en monter, där vi under flera dagar bjuder på mängder av aktiviteter, panelsamtal och häng med redaktionen. Läs mer

27

Fredagspanelen 135: Radeon Vega Frontier Edition, AMD Threadripper och Intel Core i9

Jonas och Kenneth tar sig an den senaste veckans nyhetskavalkad från AMD och känner hur världens största mässa för datorkomponenter, Computex, närmar sig med stormsteg. Läs mer

33

Microsoft Surface Pro hittar ut på bild

Inför Microsofts kommande Surface-evenemang hittar nu bilder ut på en av produkterna som väntas visas upp, nämligen en uppföljare till Surface Pro 4 med namnet Surface Pro. Läs mer

34

AMD diskuterar förbättrat minnesstöd och speloptimering för Ryzen

I en ny intervju diskuterar AMD bland annat förbättrad hantering av DDR4-minne, Ryzen 3 och hur företaget jobbar med speloptimering för plattformen. Läs mer

25

AMD Radeon RX Vega för spel visas under Computex 2017

Senare under månaden drar årets upplaga av teknikmässan Computex igång. Nu meddelar AMD att de under denna visar grafikarkitekturen Vega för spel för första gången. Läs mer

73

Bungie visar Destiny 2 – blir exklusivt för Battle.net på PC

Lite mer än en månad efter att Bungie avtäckt Destiny 2 berättar de nu mer om spelet, vilket bland annat kommer med en ny kampanj, nya planeter och vapen. Läs mer