Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj [AKTUALIZOVÁNO]

Počítače od Lenova přicházejí s adwarem jménem Superfish – ten vsouvá reklamy například do vyhledávání v Googlu, ale je podstatně více nebezpečný.

  • doplněno vyjádření firmy Lenovo pro BBC

Jak uvádí řada článků v zahraničních médiích (například Lenovo caught installing adware on new computers), nové laptopy od Lenovo obsahuji adware jménem Superfish. Ten je zodpovědný za vsouvání reklam nejenom do vyhledávání Google, ale i na další weby. Ovlivňuje Internet Explorer i Google Chrome.

Paradoxní je, že existence tohoto adwaru byla ve fórech na webu Lenovo potvrzena. Ještě paradoxnější je, že zástupce Lenova ve fóru uvádí, že Superfish by měl být kvůli stížnostem uživatelů z nových notebooků dočasně odstraněn – ovšem jen do doby, než výrobce dodá stabilnější verzi. 

Vrcholem absurdity je, že existenci adwaru obhajuje s tím, že má jen „pomáhat uživatelům vizuálně najít nové produkty“. Software podle něj „analyzuje obrázky na webu a nabízí identické nebo podobné produkty s případně nižšími cenami“. A samozřejmě dodává, že uživatelé mohou Superfish odmítnout nepřijetím licenčních podmínek při prvním zprovoznění jejich laptopu.

As an update on this…

Due to some issues (browser pop up behavior for example), with the Superfish Visual Discovery browser add-on, we have temporarily removed Superfish from our consumer systems until such time as Superfish is able to provide a software build that addresses these issues. As for units already in market, we have requested that Superfish auto-update a fix that addresses these issues.

To be clear, Superfish comes with Lenovo consumer products only and is a technology that helps users find and discover products visually. The technology instantly analyzes images on the web and presents identical and similar product offers that may have lower prices, helping users search for images without knowing exactly what an item is called or how to describe it in a typical text-based search engine.

The Superfish Visual Discovery engine analyzes an image 100% algorithmically, providing similar and near identical images in real time without the need for text tags or human intervention. When a user is interested in a product, Superfish will search instantly among more than 70,000 stores to find similar items and compare prices so the user can make the best decision on product and price.

Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior.  It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted.  Every session is independent. When using Superfish for the first time, the user is presented the Terms of User and Privacy Policy, and has option not to accept these terms, i.e., Superfish is then disabled.

Podle dalších uživatelů na fóru je ovšem Superfish klasické MITM a proxy, které vedle vsouvání inzerce může dělat i další věci. Podle informací z webu vsouvá obsah i na https spojeních a vše naznačuje tomu, že k tomu dokonce využívá vlastní falešnou certifikační autoritu.

Což by v praxi znamenalo, že Superfish není jenom adware a PUP (Potentially Unwanted Program), ale hlavně extrémně nebezpečný software, který v počítači ponechává zneužitelné prvky, umožňující daleko více, než jenom vsouvání reklam do stránek.

EBF6

Aktualizace 14:10 – Lenovo se k obviněním zatím oficiálně nevyjádřilo. poslalo britské BBC oficiální stanovisko k případu: „Lenovo odstranilo Superfish z předinstalací v nových počítačích v lednu 2015. Ve stejné době firma Superfish vypnula aktivaci softwaru na existujících zařízeních Lenovo na trhu. Superfish byl předinstalován jen na vybraném počtu modelů. Lenovo důkladně prošetřuje všechny obavy, které se Superfish souvisí.“

Na webu už jsou postupy, jak činnost Superfish v počítači zastavit. Bezpečným řešením je ovšem hlavně přeinstalace Windows z jiného zdroje, než je instalační image od Lenova. Nebo přechod na jiný operační systém.

49 názorů Vstoupit do diskuse
poslední názor přidán 24. 2. 2015 9:48

Školení: Online Public Relations aneb PR sociálního věku

  •  
    Jak se liší digitální PR oproti klasickému PR.
  • Jak tvořit tiskové zprávy.
  • Jak monitorovat a vyhodnocovat PR.

Detailní informace o školení »