Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Historien om det kontroversiella annonsprogrammet Superfish tar en ny vändning när forskare bevisar att mjukvaran utgör en högst påtaglig säkerhetsrisk.

För några dagar sedan uppmärksammades att världens största datortillverkare levererar åtskilliga datormodeller med ett minst sagt kontroversiellt annonsprogram. Mjukvaran heter Superfish och installerar ett eget SSL-certifikat, vilket gör det möjligt att hitta in i krypterade anslutningar. Det inbegriper allt från vanliga webbsidor till e-posttjänster och internetbanker.

super-03.png

Armed with this password, I continued where I left off with the openssl command-line tool and successfully decoded the certificate. I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet).

Nu påvisar bland annat säkerhetsforskaren Robert Graham att det inte handlar om en teoretisk säkerhetsbrist utan om en högst påtaglig fara för användarna. Med några snabba handgrepp lyckas han lista ut lösenordet till certifikatet och öppna för en fullskalig man in the middle-attack.

Det betyder att det är fritt fram för angripare att utnyttja annonsprogrammets beteende för att snappa upp och manipulera data som passerar annars krypterade anslutningar, exempelvis genom att avlyssna trafiken i trådlösa nätverk.

step4.png

Lenovo betonar dock att annonsprogrammet sedan januari 2015 inte längre används och tillhandahåller nu även instruktioner för att ta bort Superfish och dess certifikat. Bland berörda modeller syns en uppsjö konsumentklassade datorer, dock inte Thinkpad-serien eller Lenovos plattor och telefoner.

Klicka här för att läsa hela Lenovos uttalande

LENOVO STATEMENT ON SUPERFISH

At Lenovo, we make every effort to provide a great user experience for our customers. We know that millions of people rely on our devices every day, and it is our responsibility to deliver quality, reliability, innovation and security to each and every customer. In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks.

We thought the product would enhance the shopping experience, as intended by Superfish. It did not meet our expectations or those of our customers. In reality, we had customer complaints about the software. We acted swiftly and decisively once these concerns began to be raised. We apologize for causing any concern to any users for any reason – and we are always trying to learn from experience and improve what we do and how we do it.

We stopped the preloads beginning in January. We shut down the server connections that enable the software (also in January, and we are providing online resources to help users remove this software. Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future. Detailed information on these activities and tools for software removal are available here:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product -- servers or storage -- and these products are in no way impacted. And, Superfish is no longer being installed on any Lenovo device. In addition, we are going to spend the next few weeks digging in on this issue, learning what we can do better. We will talk with partners, industry experts and our users. We will get their feedback. By the end of this month, we will announce a plan to help lead Lenovo and our industry forward with deeper knowledge, more understanding and even greater focus on issues surrounding adware, pre-installs and security. We are eager to be held accountable for our products, your experience and the results of this new effort.

Superfish may have appeared on these models:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

  • Y Series: Y430P, Y40-70, Y50-70

  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70

  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

  • E Series: E10-30

Visa mer
Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
5

Fler bilder från Casemod Championship 2017 på Dreamhack Summer 2017

En av de stora hårdvaruhändelserna under Dreamhack Summer 2017 var Casemod Championship, där såväl den svenska eliten som nya stjärnskott gjorde upp. Nu bjuder Geeks Gaming på en bildkavalkad från mästerskapen! Läs mer

12

Valve berättar mer om sina nya handkontroller för SteamVR

Nya handkontroller för SteamVR har nu börjat skickas ut till spelutvecklare. Dessa kallas för Knuckles och möjliggör mer naturliga rörelser i spel tack vare tryckkänsliga ytor. Läs mer

16

Imagination Technologies lägger upp sin verksamhet för försäljning

Efter att Apple bestämt sig för att övergå till egen tillverkning av grafikprocessorer för Iphone och Ipad säljer nu Imagination sin verksamhet, där ett flertal intressenter redan lagt bud på denna. Läs mer

3

Fulkultur om tidsresande mördarrobotar

Denna veckas avsnitt av Fulkultur bjuder på en djupdykning i de två första Terminator-filmerna, där James Cameron målar upp en dystopisk framtid med självmedveten artificiell intelligens. Läs mer

0

Alla teknik- och frågepaneler med SweClockers från Dreamhack Summer 2017

Årets upplaga av datorfestivalen Dreamhack Summer må ha tagit slut i början av veckan men lämnar dock efter sig en diger skara hårdvarurelaterade paneler som livesändes från scenen. Läs mer

23

Zenimax vill säljstoppa Oculus Rift

Ett antal månader efter domen mot Oculus fortsätter nu rättstvisten mellan dem och Zenimax. Detta då Zenimax vill blockera all försäljning av Oculus VR-headset Rift. Läs mer

53

AMD förbereder B2-stepping för AMD Ryzen "Summit Ridge"

Inom kort sjösätter AMD en ny våg av Ryzen-processorer, där smärre buggfixar och vad som tros bli förbättrad minneskompatibilitet står i centrum Läs mer

15

Fler bilder från Dreamhack Summer 2017

Under Dreamhack Summer 2017 fick SweClockers redaktion uppbackning av de glada spelnördarna i Geeks Gaming, som med kamerorna i högsta hugg bevakade världens största LAN-festival. Läs mer

12

Testpilot: Cryorig H7 Quad Lumi

Testpiloten David Kvist testar Cryorig H7 Quad Lumi, vilken utlovar extremt god kompatibilitet och god kylförmåga med ett litet avtryck och RGB-belysning. Läs mer

7

Toshiba har hittat en köpare för sin minnesverksamhet

Toshiba har nu hittat en köpare för sin minnesverksamhet, där det vinnande budet för denna uppges hamna på minst 157 miljarder kronor. Läs mer

22

Microsoft svarar på Kasperskys anmälan om konkurrensbrott

Efter att Kaspersky lämnat in en anmälan om konkurrensbrott mot Microsoft till EU svarar nu företaget och erkänner att de avaktiverat annan mjukvara, men att det gjorts av kompatibilitetsskäl. Läs mer

30

Samsung Galaxy Note 8 lanseras i augusti

Trots debaclet kring Galaxy Note 7 arbetar Samsung på en ny modell i Galaxy Note-serien, vilken utrustas med 6,2-tumsskärm och väntas lanseras i augusti i år. Läs mer