Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Historien om det kontroversiella annonsprogrammet Superfish tar en ny vändning när forskare bevisar att mjukvaran utgör en högst påtaglig säkerhetsrisk.

För några dagar sedan uppmärksammades att världens största datortillverkare levererar åtskilliga datormodeller med ett minst sagt kontroversiellt annonsprogram. Mjukvaran heter Superfish och installerar ett eget SSL-certifikat, vilket gör det möjligt att hitta in i krypterade anslutningar. Det inbegriper allt från vanliga webbsidor till e-posttjänster och internetbanker.

super-03.png

Armed with this password, I continued where I left off with the openssl command-line tool and successfully decoded the certificate. I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet).

Nu påvisar bland annat säkerhetsforskaren Robert Graham att det inte handlar om en teoretisk säkerhetsbrist utan om en högst påtaglig fara för användarna. Med några snabba handgrepp lyckas han lista ut lösenordet till certifikatet och öppna för en fullskalig man in the middle-attack.

Det betyder att det är fritt fram för angripare att utnyttja annonsprogrammets beteende för att snappa upp och manipulera data som passerar annars krypterade anslutningar, exempelvis genom att avlyssna trafiken i trådlösa nätverk.

step4.png

Lenovo betonar dock att annonsprogrammet sedan januari 2015 inte längre används och tillhandahåller nu även instruktioner för att ta bort Superfish och dess certifikat. Bland berörda modeller syns en uppsjö konsumentklassade datorer, dock inte Thinkpad-serien eller Lenovos plattor och telefoner.

Klicka här för att läsa hela Lenovos uttalande

LENOVO STATEMENT ON SUPERFISH

At Lenovo, we make every effort to provide a great user experience for our customers. We know that millions of people rely on our devices every day, and it is our responsibility to deliver quality, reliability, innovation and security to each and every customer. In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks.

We thought the product would enhance the shopping experience, as intended by Superfish. It did not meet our expectations or those of our customers. In reality, we had customer complaints about the software. We acted swiftly and decisively once these concerns began to be raised. We apologize for causing any concern to any users for any reason – and we are always trying to learn from experience and improve what we do and how we do it.

We stopped the preloads beginning in January. We shut down the server connections that enable the software (also in January, and we are providing online resources to help users remove this software. Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future. Detailed information on these activities and tools for software removal are available here:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product -- servers or storage -- and these products are in no way impacted. And, Superfish is no longer being installed on any Lenovo device. In addition, we are going to spend the next few weeks digging in on this issue, learning what we can do better. We will talk with partners, industry experts and our users. We will get their feedback. By the end of this month, we will announce a plan to help lead Lenovo and our industry forward with deeper knowledge, more understanding and even greater focus on issues surrounding adware, pre-installs and security. We are eager to be held accountable for our products, your experience and the results of this new effort.

Superfish may have appeared on these models:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

  • Y Series: Y430P, Y40-70, Y50-70

  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70

  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

  • E Series: E10-30

Visa mer
Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
20

Rykte: AMD arbetar på nya grafikkort baserade på Vega 11

Nya uppgifter talar för att Radeon RX Vega 56 och RX Vega 64 följs upp av 13 nya grafikkort baserade kretsen Vega 11. Dessa ska ersätta modeller i Radeon RX 400- och RX 500-serien. Läs mer

50

Quiz: Allt om lagringsmedia

Det har blivit dags för ny quiz på SweClockers, där ämnet denna gång är olika typer av lagringsmedia genom tiderna. Läs mer

40

Minnesstandarden DDR5 snart färdigställd – lanseras 2019

Minnesutvecklaren Rambus meddelar att de gjort framsteg med DDR5, där de nu har börjat göra tester med fungerande minnen. Lanseringen väntas dock dröja till tidigast 2020 för konsumenter. Läs mer

23

AMD släpper drivrutin med stöd för Multi-GPU med Radeon RX Vega

I och med den senaste drivrutinen för AMD:s grafikkort introduceras stöd för Multi-GPU, där två stycken kort ur Radeon RX Vega-serien nu kan användas tillsammans för ökad prestanda. Läs mer

45

Rykte: Nvidia Geforce GTX 1070 Ti lanseras i oktober

Prestandaskillnaden mellan Geforce GTX 1070 och GTX 1080 lämnar mycket att önska, men nu ryktas Nvida lansera en storebror till den förstnämnda som ska täppa till tomrummet. Läs mer

107

EU-studie: Piratkopiering skadar inte industrin nämnvärt

En sedan tidigare hemligstämplad EU-studie flyter nu upp till ytan och avslöjar att piratkopiering i flertalet europeiska länder inte påverkar den lagliga försäljningen generellt. Läs mer

16

Test: Bitfenix Portal

Är tårtan en lögn eller ett utsvävat datorchassi? Den frågan ställer vi oss när Bitfenix äntrar testlabbet med sin unika modell Portal, vars design inspirerats av en populär spelserie. Läs mer

26

Destiny 2 recenseras av FZ

Lite mer än en månad innan PC-lanseringen av Destiny 2 släpps spelet nu till konsol. SweClockers systersajt har recenserat speltiteln på Playstation 4. Läs mer

25

Tesla arbetar med AMD om AI-kretsar för självkörande bilar

Skräddarsydda kretsar för självkörande bilar är ett av de snabbast växande områdena. Nu framgår att biltillverkaren Tesla ingått ett samarbete med AMD för att ta fram en egen lösning för ändamålet. Läs mer

17

Toshiba säljer sin minnesverksamhet för 144 miljarder kronor

Efter flera månaders letande har nu Toshiba hittat en köpare för sin minnesverksamhet, där den slutgiltiga försäljningssumman hamnar på 144 miljarder kronor. Läs mer

53

AMD tar arkitekturerna Zen och Vega till 12 nanometer år 2018

Globalfoundries förbättrade 14-nanometersteknik får stå åt sidan till förmån för nya 12 nanometer, som ska användas för nästa generations processorer och grafikkort från AMD. Läs mer

12

Google köper del av HTC:s mobilverksamhet för 9 miljarder kronor

Efter månader av rykten bekräftar nu Google att de köpt av mobiltillverkaren HTC. Detta innebär att en stor del av utvecklingsteamet bakom Pixel nu går över till att arbeta för Google. Läs mer