Hlavní navigace

Bezpečnostní experti: instalace crapwaru do počítačů musí skončit

Autor: Isifa
Daniel Dočekal

Debakl Lenova s instalací nebezpečného adwaru do notebooků vyvolal bouřlivou reakci. Škoda, že až teď, po tolika letech tradice instalace bloatwaru.

Už roky všichni, kdo si kupují počítače či notebooky, vědí, že dostanou ne čistý a použitelný operační systém, ale najdou v počítači desítky nesmyslných programů, přednastavených vyhledávacích strojů či změněných domovských stránek. Tradice zaplňování počítačů bloatwarem (jak se této kategorii softwaru přezdívá) sahá roky do minulosti. Výrobci železa to dělají proto, že za to dostávají zaplaceno.

Až debakl Lenova s instalací extrémně nebezpečného adwaru do notebooků (viz Lenovo instaluje na nové počítače nebezpečný adware a MITM nástroj) vyvolal poměrně ostrou reakci bezpečnostních expertů. Computer World cituje například Kena Westina z Tripwire: „Bloatware musí skončit. Společnosti jako Apple, které prodávají vlastní produkty po svém, své zákazníky takto neprodávají.

Ken Westin má nepochybně pravdu. Je to totéž, jako když se každá aktualizace Javy snaží vnutit do systému zbytečný a nesmyslný toolbar od Ask.com. Tyto praktiky měly už dávno skončit. Jsou totiž potenciálně nebezpečné – nikdy není jasné, zda je instalovaný software bezpečný. Nemluvě o tom, že čím více podobných zbytečností v počítači máte, tím menší je šance, že budou udržovány v aktuálním stavu.

Nebezpečný adware

Obchodní model je pochopitelný, výrobci hardwaru dostávají za nové zákazníky zaplaceno. Například za ty, kteří si zkušební verzi McAfee upgradují na plnou verzi. Pro samotné výrobce pak podobné příjmy mohou, teoreticky, tvořit poměrně významnou složku v případném zisku z prodeje jimi vyráběného a prodávaného hardwaru.

Lenovo u SuperFish adwaru zašlo příliš daleko. Nejenom, že jde o efektivní spyware, ale jak ukázala bezpečnostní analýza, může být extrémně nebezpečný. Jednak tím, že instaluje do počítače mechanismus používaný k odposlouchávání  zabezpečeného připojení. Ale také tím, že je děravý a je možné jej zneužít. O otaznících okolo soukromí se raději ani nezmiňovat, samotné Lenovo totiž nejspíš ani netuší, kam vlastně data od uživatelů proudila.

WT100

Lenovo navíc komunikačně klasicky začalo pozici „všechno, co děláme, děláme pro dobro zákazníků“. Až poté, co se ukázalo, jak vážný problém je, firma náhle obrátila. Lenovo přitom tento software instalovalo od září do prosince 2014 a teprve v lednu ho na počítačích zákazníků „zakázalo“, ale neodstranilo. Odstranění z počítače je tak ponecháno čistě na uživatelích, kteří se ale o něčem takovém musí dozvědět.

Výrobci počítačů dlouhé roky ohrožují zákazníky softwarem, který v počítačích v principu nemá co dělat. Nemluvě o tom, že zákazníci tento software nejenom nechtěli, ale v řadě případů ho ani nemohou odstranit. V příznivějších případech v počítačích najdete „jen“ další software, který se má starat o aktualizace. Což v praxi znamená pouze další bezpečnostní riziko.

Našli jste v článku chybu?