Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Forskare knäcker Lenovos annonsprogram Superfish – öppnar för MITM-attack

Historien om det kontroversiella annonsprogrammet Superfish tar en ny vändning när forskare bevisar att mjukvaran utgör en högst påtaglig säkerhetsrisk.

För några dagar sedan uppmärksammades att världens största datortillverkare levererar åtskilliga datormodeller med ett minst sagt kontroversiellt annonsprogram. Mjukvaran heter Superfish och installerar ett eget SSL-certifikat, vilket gör det möjligt att hitta in i krypterade anslutningar. Det inbegriper allt från vanliga webbsidor till e-posttjänster och internetbanker.

super-03.png

Armed with this password, I continued where I left off with the openssl command-line tool and successfully decoded the certificate. I can now use this to Man-in-the-Middle people with Lenovo desktops (in theory, I haven't tried it yet).

Nu påvisar bland annat säkerhetsforskaren Robert Graham att det inte handlar om en teoretisk säkerhetsbrist utan om en högst påtaglig fara för användarna. Med några snabba handgrepp lyckas han lista ut lösenordet till certifikatet och öppna för en fullskalig man in the middle-attack.

Det betyder att det är fritt fram för angripare att utnyttja annonsprogrammets beteende för att snappa upp och manipulera data som passerar annars krypterade anslutningar, exempelvis genom att avlyssna trafiken i trådlösa nätverk.

step4.png

Lenovo betonar dock att annonsprogrammet sedan januari 2015 inte längre används och tillhandahåller nu även instruktioner för att ta bort Superfish och dess certifikat. Bland berörda modeller syns en uppsjö konsumentklassade datorer, dock inte Thinkpad-serien eller Lenovos plattor och telefoner.

Klicka här för att läsa hela Lenovos uttalande

LENOVO STATEMENT ON SUPERFISH

At Lenovo, we make every effort to provide a great user experience for our customers. We know that millions of people rely on our devices every day, and it is our responsibility to deliver quality, reliability, innovation and security to each and every customer. In our effort to enhance our user experience, we pre-installed a piece of third-party software, Superfish (based in Palo Alto, CA), on some of our consumer notebooks.

We thought the product would enhance the shopping experience, as intended by Superfish. It did not meet our expectations or those of our customers. In reality, we had customer complaints about the software. We acted swiftly and decisively once these concerns began to be raised. We apologize for causing any concern to any users for any reason – and we are always trying to learn from experience and improve what we do and how we do it.

We stopped the preloads beginning in January. We shut down the server connections that enable the software (also in January, and we are providing online resources to help users remove this software. Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future. Detailed information on these activities and tools for software removal are available here:

http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall

To be clear: Lenovo never installed this software on any ThinkPad notebooks, nor any Lenovo desktops or smartphones. This software has never been installed on any enterprise product -- servers or storage -- and these products are in no way impacted. And, Superfish is no longer being installed on any Lenovo device. In addition, we are going to spend the next few weeks digging in on this issue, learning what we can do better. We will talk with partners, industry experts and our users. We will get their feedback. By the end of this month, we will announce a plan to help lead Lenovo and our industry forward with deeper knowledge, more understanding and even greater focus on issues surrounding adware, pre-installs and security. We are eager to be held accountable for our products, your experience and the results of this new effort.

Superfish may have appeared on these models:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45

  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch

  • Y Series: Y430P, Y40-70, Y50-70

  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70

  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch

  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10

  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11

  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

  • E Series: E10-30

Visa mer
Kommentarer till artikeln

35 debattinlägg

Skicka en rättelse
33

Asus ROG Swift PG27UQ: Stora kompromisser vid 144 Hz i 4K-upplösning

I praktiken är det 4K i 120 Hz som gäller för Asus PG27UQ. SweClockers går igenom den komplexa situationen med bandbredd, subsampling och mitt i allt ett fel som gör bilden för mörk. Läs mer

74

SweClockers guide till datorlådor

Går du i uppgraderingstankar efter alla chassinyheter som presenterades på Computex? Missa då inte SweClockers guide till datorlådor, där allt från formfaktorer till funktioner gås igenom. Läs mer

71

AMD Ryzen Threadripper 2990X presterar dubbelt upp mot Threadripper 1950X

I kamp om prestandatronen gör AMD Ryzen Threadripper med 32 kärnor, som enligt uppgift får namnet Threadripper 2990X. Den testas dessutom i Cinebench med imponerande resultat. Läs mer

25

Playerunknown's Battlegrounds har sålts i 50 miljoner exemplar

Lite mer än ett år efter den ursprungliga lanseringen har Playerunknown's Battlegrounds sålts i 50 miljoner exemplar, något som utvecklarna firar med en temporär prissänkning. Läs mer

102

EU-utskott röstar ja till hårdare upphovsrättsregler på webben

Efter en omröstning går nu Europaparlamentets juridiska utskott vidare med Artikel 13. Denna kan dock fortfarande stoppas om den röstas ned i Europarlamentets plenum den 2–5 juli. Läs mer

25

Hårda ord om Intels marknadsföring skapade diskussion under Computex 2018

Årets jättemässa i Taiwan har sedan länge slagit igen portarna. En blick i backspegeln visar att två nyheter skapade extra mycket diskussion – båda om Intels 28-kärniga processor. Läs mer

85

EU röstar om upphovsrättslagen Artikel 13 – automatisk avläsning av uppladdat innehåll

I strävan att blidka upphovsrättsinnehavare röstar idag ett av Europaparlamentets juridiska utskott om Artikel 13, som kraftigt skulle begränsa möjligheten att ladda upp innehåll med upphovsrätt. Läs mer

107

Intervju från arkivet: Sven Rollenhagen – specialist på datorspelsberoende

WHO vill klassa dataspelsberoende som en sjukdom, vilket ger bränsle till debatten om huruvida för mycket gaming är skadligt. Under 2014 intervjuade SweClockers Sven Rollenhagen i ämnet, och svaren är lika aktuella idag. Läs mer

I samarbete med Phanteks
30

Rösta fram snyggaste RGB-bygget i Phanteks tävling

Fem medlemmar är i final i Phanteks RGB-inspirerade tävling och nu är det upp till SweClockers läsare att rösta fram bidraget som vinner ett presentkort på 5 000 kronor hos Webhallen. Läs mer

16

Jonas sammanfattar chassinyheterna från Computex 2018

Årets Computex-mässa bjöd likt tidigare upplagor på en uppsjö av nya chassimodeller. Då dessa lätt drunknar i flödet passar Jonas på att sammanfatta modellerna som redaktionen kikade på. Läs mer

0

Galleriet: Bilder från Dreamhack Summer 2018

Spana in galleriet från årets stora LAN-fest Dreamhack, som bjöd på spelturneringar, moddningstävlingar och ett överflöd av Billys pan pizza. Läs mer

5

Samsung vill utveckla egna grafikkretsar för mobiltelefoner

Precis som Apple före dem ska Samsung börja utveckla egna grafikprocessorer, vilka ska användas i billigare mobiltelefoner samt självkörande fordon. Läs mer