Lenovo „przeprasza” za adware. Jeden z ekspertów już je rozpracował

Początkowe tłumaczenia pracowników Lenovo na niewiele się zdały i obecnie jej CTO „przeprasza” za instalowanie na nowych komputerach niebezpiecznego oprogramowania reklamowego. Oburzenie użytkowników wywołane tym skandalem musiało zostać natychmiastowo zauważone i odczute, bo pracownicy firmy pracują już nad apliakcją, które usunie z systemu moduły reklamowe.

O zupełnej zmianie podejścia możemy dowiedzieć się za sprawą wywiadu przeprowadzonego przez serwis The Wall Street Journal, który porozmawiał z Peterem Hortensiusem, sprawującym w Lenovo funkcję CTO. Firma pracuje obecnie nad odpowiednim programem, który usunie wszystkie komponenty reklamowe SuperFish, jakie było na ich preinstalowane, a także wyczyści wszelkie ślady jego aktywności. Dokładny termin wydania aplikacji czyszczącej nie jest jeszcze znany, ale można podejrzewać, że jest to sprawa priorytetowa – wizerunek firmy został bardzo nadszarpnięty i teraz toczy się walka o zachowanie resztki zaufania ze strony klientów.

Problem ten jest bardzo poważny, bo o ile samo działanie adware nie jest specjalnie szkodliwe, o tyle instalowanie w systemie specjalnego certyfikatu pozwalającego na przechwytywanie ruchu szyfrowanego to już poważne naruszenie bezpieczeństwa. W przypadku tego typu sprzętu dokonanie ataku man-in-the-middle jest bardzo proste, a to naraża użytkowników na utratę danych, włamania i kradzież np. informacji wymaganych do logowania w banku. Problem jest jeszcze poważniejszy ze względu na to, że komuś już udało się rozpracować dostarczany razem z SuperFish certyfikat. Na blogu Roberta Grahama znajdziemy dokładny opis tego co zrobił – dzięki inżynierii wstecznej i zastosowaniu kilku narzędzi udało mu się najpierw uzyskać klucz prywatny, a następnie jego hasło przy pomocy crackera, którego sam stworzył.

Hasło okazało się nad wyraz proste, bo udało się je uzyskać atakiem słownikowym: „komodia”. To cały ciąg, który chroni klucz prywatny przed wykorzystaniem przez niepowołane osoby. Teraz zarówno Graham jak i każdy zainteresowany może podsłuchiwać szyfrowane połączenia użytkowników korzystających z laptopów Lenovo, jakie mają zainstalowany w systemie ten certyfikat. Przypomnijmy: same odinstalowanie aplikacji adware w niczym tu nie pomaga, konieczne jest zupełne usunięcie certyfikatu z systemu. Jak do tej pory pracownicy Lenovo na oficjalnym forum twierdzili, że SuperFish nie jest niczym groźnym. Ich CTO nie chce spierać się z ekspertami ds. bezpieczeństwa, choć zaznacza, że wyrażone przez nich obawy są jedynie teoretyczne, a firma nie ma dowodów na szkodliwe działanie tej aplikacji. Oczywiście agencja tworząca SuperFish również nie ma sobie nic do zarzucenia.

Trudno zrozumieć takie stanowisko, tym bardziej, że Peter wyraźnie daje do zrozumienia, że Lenovo „nie chce czegoś takiego na swoich komputerach” (dlaczego więc było to preinstalowane?), a także, że w tej sprawie zrobiono zbyt mało. Na pytanie związane z tym, czy najlepszym pomysłem nie byłoby po prostu zrezygnowanie z crapware instalowanego na nowych komputerach odpowiedział wymijająco: według danych firmy użytkownicy są zadowoleni z preinstalowanych aplikacji i aktywnie z nich korzystają. Oczywiście dokładnych statystyk brakuje, ale widząc rosnącą popularność oprogramowania do oczyszczania nowych komputerów można stwierdzić, że słowa te nie są do końca zgodne z rzeczywistością.

Nie wiadomo co dokładnie będzie czyszczone przez program tworzony obecnie przez Lenovo i jak firma ma zamiar dotrzeć z nim do użytkowników. Tych narażonych na atak jest zapewne sporo, bo to jeden z wiodących producentów laptopów. Jeżeli aplikacja będzie usuwać jedynie adware, to okażę się niewystarczająca. W takim przypadku Lenovo powinno zaoferować swoim klientom możliwość zwrotu sprzętu w celu przeinstalowania systemu, lub wymiany go na nowy, pozbawiony szkodliwego certyfikatu. Nie każdy przecież musi wiedzieć, jak poradzić sobie z tym problemem samodzielnie.

Zgodnie z otrzymanym przez nas oświadczeniem od firmy Lenovo możemy potwierdzić, że szkodliwe adware nie występuje na urządzeniach przeznaczonych dla klientów biznesowych (np.laptopy z serii ThinkPad), smartfonach, a także komputerach stacjonarnych. Instrukcję usuwania SuperFish można znaleźć na stronach producenta, a od stycznia nie jest on już preinstalowany na kolejnych urządzeniach. Poniżej znajdziecie listę modeli, na których był on wcześniej instalowany:

Seria G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45Seria U: U330P, U430P, U330Touch, U430Touch, U530Touch Seria Y: Y430P, Y40-70, Y50-70Seria Z: Z40-75, Z50-75, Z40-70, Z50-70Seria S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30TouchSeria Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10Seria MIIX: MIIX2-8, MIIX2-10, MIIX2-11Seria YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSWSeria E: E10-30