Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Historien om det kontroversiella annonsprogrammet Superfish tar en ny vändning när forskare bevisar att mjukvaran utgör en högst påtaglig säkerhetsrisk.

För några dagar sedan uppmärksammades att världens största datortillverkare levererar åtskilliga datormodeller med ett minst sagt kontroversiellt annonsprogram. Mjukvaran heter Superfish och installerar ett eget SSL-certifikat, vilket gör det möjligt att hitta in i krypterade anslutningar. Det inbegriper allt från vanliga webbsidor till e-posttjänster och internetbanker.

super-03.png

Armed with this password, I continued where I left off with the openssl command-line tool and successfully decoded the certificate. I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet).

Nu påvisar bland annat säkerhetsforskaren Robert Graham att det inte handlar om en teoretisk säkerhetsbrist utan om en högst påtaglig fara för användarna. Med några snabba handgrepp lyckas han lista ut lösenordet till certifikatet och öppna för en fullskalig man in the middle-attack.

Det betyder att det är fritt fram för angripare att utnyttja annonsprogrammets beteende för att snappa upp och manipulera data som passerar annars krypterade anslutningar, exempelvis genom att avlyssna trafiken i trådlösa nätverk.

step4.png

Lenovo betonar dock att annonsprogrammet sedan januari 2015 inte längre används och tillhandahåller nu även instruktioner för att ta bort Superfish och dess certifikat. Bland berörda modeller syns en uppsjö konsumentklassade datorer, dock inte Thinkpad-serien eller Lenovos plattor och telefoner.

Klicka här för att läsa hela Lenovos uttalande

LENOVO STATEMENT ON SUPERFISH

At Lenovo, we make every effort to provide a great user experience for our customers. We know that millions of people rely on our devices every day, and it is our responsibility to deliver quality, reliability, innovation and security to each and every customer. In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks.

We thought the product would enhance the shopping experience, as intended by Superfish. It did not meet our expectations or those of our customers. In reality, we had customer complaints about the software. We acted swiftly and decisively once these concerns began to be raised. We apologize for causing any concern to any users for any reason – and we are always trying to learn from experience and improve what we do and how we do it.

We stopped the preloads beginning in January. We shut down the server connections that enable the software (also in January, and we are providing online resources to help users remove this software. Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future. Detailed information on these activities and tools for software removal are available here:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product -- servers or storage -- and these products are in no way impacted. And, Superfish is no longer being installed on any Lenovo device. In addition, we are going to spend the next few weeks digging in on this issue, learning what we can do better. We will talk with partners, industry experts and our users. We will get their feedback. By the end of this month, we will announce a plan to help lead Lenovo and our industry forward with deeper knowledge, more understanding and even greater focus on issues surrounding adware, pre-installs and security. We are eager to be held accountable for our products, your experience and the results of this new effort.

Superfish may have appeared on these models:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

  • Y Series: Y430P, Y40-70, Y50-70

  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70

  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

  • E Series: E10-30

Visa mer
Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
24

Patentansökan av Nintendo pekar på ett Nintendo 64 Classic Edition

En användare på forumet Neogaf har upptäckt en patentansökan på vad som verkar vara den klassiska spelkontrollen för Nintendo 64, vilket kan antyda att en revision av konsolen är på gång. Läs mer

2

Arctics trio av vattenkylare får stöd för AMD Ryzen Threadripper

Lanseringsdatumet för AMD:s mångkärniga processorer i Threadripper-serien närmar sig och samtidigt dyker fler uppgifter om kylare upp. Läs mer

21

Moderkort i Mini ITX-format från Gigabyte för sockel AM4 når svenska butiker

Några månader efter lanseringen av AMD Ryzen är det fortfarande glest i lagren när det kommer till ITX-moderkort för AMD:s nya sockel AM4. Nu blir det ändring på det när Gigabyte äntrar scenen. Läs mer

32

Microsoft bekräftar avslutat stöd för Intels Clover Trail-familj

Kort efter att inkompatibilitet mellan äldre Intel-processorer och senaste uppdateringen för Windows 10 uppdagats, bekräftar Microsoft att den är permanent. Läs mer

23

EagleTree Capital i förhandlingar om att köpa Corsair Components

Anonyma källor till Reuters gör gällande att investeringsbolaget EagleTree Capital befinner sig i förhandlingar om att köpa amerikanska Corsair Components. Läs mer

33

Microsoft introducerar kortare nedtid vid uppdateringar med Fall Creators Update

Med lanseringen av uppdateringen Fall Creators Update väntas kortare nedtid vid uppdateringar eftersom bolaget stuvar om uppdateringsprocessen. Läs mer

31

Testpilot: Komplett Gamer Xtreme a70

För den kräsne gamern som bara vill starta upp datorn och börja lira står numera även AMD på menyn hos Komplett. Testpiloten Simon Alling granskar prestandapaketet Gamer Xtreme a70. Läs mer

10

Alphabet återupplivar AR-glasögonen Google Glass med fokus på företag

Moderbolaget till Google visar upp nya modellen av AR-glasögonen Glass som går under namnet Enterprise Edition, vilka är tänkta att öka produktionen och effektiviteten på industrigolvet. Läs mer

13

Fulkultur om Zelda i våra hjärtan

Zelda-universumet har funnits i drygt 31 år, som under den tiden resulterat i ett antal speltitlar. Häng med när Andreas Eklöv och Jakob Nilsson dyker ner i Zeldas långa historia. Läs mer

22

Samsung växlar upp produktionstakten av HBM2-minne

HBM har länge dragits med problem som höga priser och låga kapaciteter, något Samsung försöker råda bot på med ökad produktion av minnestypen. Läs mer

28

Destiny 2 Beta med Kenneth och Emil

Det är betatid för kommande Destiny 2. Kenneth och Emil sitter laddade i studion, redo att servera första tankar och upplevelser från spelet. Läs mer

142

Regeringens utredare vill ge svensk polis rätt att avläsa datorer i hemlighet

I takt med att allt mer information krypteras försvåras polisen arbete. Regeringens utredare kommer därför lägga fram ett lagförslag som tillåter polisen att läsa av misstänktas datorer i hemlighet. Läs mer