A Microsoft lépett, a Windows Defender már eltávolítja a Superfish-t

Titkosítás, biztonság, privát szféra

A Microsoft saját, beépített antispyware megoldása, a Windows Defender immár eltávolítja a napokban nagy port kavart Superfish malware-t. Filippo Valsorda tweetje szerint a Windows Defender az 1.193.444.0 verziótól kezdve mind a Superfish alkalmazást, mind a tanúsítványt eltávolítja.

If you’re a developer working with an OEM to preinstall your app, you must follow specific steps to list your app in the Windows Store or make it available for imaging on OEM PCs.

Ez alapján nagyon úgy tűnik, hogy eleve nem kerülhetett volna rá a nagytesó tudta nélkül. 


After your app passes certification, we'll let you know you as soon it's been published. 
Once that happens, notify the OEM you're working with. 
The OEM can then download your app, set the app's position on the Start screen, 
and image the OEM's PCs.

Az igazán szomorú az lenne, ha tényleg keresztülverték magukat ezen.

Nem olvastam vegig a szoveget, de az "app" szohasznalatbol arra tippelek, h. store-ra vonatkozott az idezett szoveg. De attol meg hagyomanyos win32 API program is lehet a lenovo-e, ami esetben semmilyen app-store atvilagitason nem kell atmennie a programnak. Pusztan mar csak azert sem, mert nem alkalmazasbolton keresztul terjesztodik. Ilyen esetben pedig az MS-nek sem joga, sem eselye nincs vizsgalgatni tetszoleges 3rd party ceg hulladek szoftveret.
Valszeg majd az lesz kihozva a vegen, h. lam megiscsak mennyire jo es biztonsagos a walled garden bekorlatozott appstore-os programterjesztes, mert ott ilyen galad programok nem fordulhatnak elo.
--
WP8.x kritika: http://goo.gl/udShvC

( therion | 2015. 02. 21., szo – 02:29 )

Érdemes elolvasni a következő cikket: Lenovo CTO admits Superfish put users at risk, talks damage control. Nagyon jó munkát végzett az újságíró, szerintem feltette a figurának a megfelelő kérdéseket:

  • I think it’s interesting that you bring up security vulnerabilities because you told The Wall Street Journal that you thought these were theoretical concerns.
  • What’s your normal process for security audits with preinstalled software, and how did this slip through?
  • Lenovo’s gotten a lot of criticism for saying that this tool was included for the benefit of customers. But a lot of people have said it was likely included because you were paid. How would you respond to that?
  • Do you think it’s OK for software to break HTTPS for advertising purposes?
  • Has this experience made you reconsider your policy on preinstalled bloatware and adware?
  • OK, but realistically do you think there are customers out there who would want Superfish on their computer?

Válaszok a cikkben...

+1 az újságírónak, valóban feltette a kényes kérdéseket, de a válaszok nem mindig kielégítőek, bár jobbak mint a korábbi közlemények. Kár, hogy a közleményben nem voltak ennyire ... korrektek ...

Q Do you think it’s OK for software to break HTTPS for advertising purposes?
A No, and we made sure the version we had did not do that.

Na most akkor...
- ki installálta a SF-t a gépekre? feltételezem a Lenovo (mert akkor elvileg azt kellett volna installálniuk, amit bevizsgáltak... IMHO)
- preinstallálnak olyan szoftvert, amit nem vizsgáltak be? ezek szerint igen, mivel csak egy másik verziót vizsgáltak be
- persze valószínűbb, hogy kifogás az egész, a SF-el aláirattak egy teljes felelősséget vállaló flepnit és onnantól nem foglalkoztak vele, csak utólag inkább ezt kommunikálják ... mert ők sem gondolták, hogy a SF ilyen felelőtlen lesz, esetleg a legelején amikor szerződést kötöttek bekértek egy demo példányt, ami "plausible deniability"t biztosít most nekik, de onnantól szerintem levették a kezüket az ügyről és nem vizsgálták be a followup verziókat.

A Microsoft szerint meg nem...

http://images.anandtech.com/doci/8993/B-TI0oHIAAA1BCg_575px.jpg
Sikerült bekategorizálni "potentially unwanted software"-nek. Gratulálok, ekkora eufemizmust is rég láttam.

Nem baj, most már legalább világos, hogy ez a kategória pontosan mit is jelent: veszélyes spyware, amit nem szabad nevén nevezni, nehogy per legyen belőle
---
Régóta vágyok én, az androidok mezonkincsére már!

ez addig meg is állhatta a helyét, amíg nem forgott közkézen a CA, így azonban egy ordasnagy secu risk, amit ezzel lekicsinyít az ms.

(egyébként a link elolvasása után én személy szerint egyetértek, hogy kb az van körbeírva, hogy ugyan mindenki tudja, hogy a programnak nincs olyan felhasználója, aki akarná azt, de ha nem aktívan ransomol, akkor nem nevezzük nevén, mert mi lesz a bizniccel)

Mármint, ha valaki a potentially unwanted miatt azt mondja, hogy szedjed le. Értsd, ha én elmegyek erre az oldalra, hogy megnézzem mit jelent, akkor azt a következtetést fogom levonni, hogy hát, ez valami reklámozós szar lehet, azt pedig nem, hogy a bazmeg, át tudják kúrni összes ssl sessiönömet.

Igen, értem, hogy ez alapvetően CVE kategória, nem pedig a program besorolására vonatkozik, de as it is, ezt az információt az MS nem teszi az arcába. Hogy eszerint szarok a kategóriák definícióstul, mert ez nem jön ki belőlük, és a lista alapján unwatned, attól még nem lesz jó, hogy oda van sorolva.

De egyébként megnézve, még a lista alapján is ez egy backdoor trojan, még akkor is, ha csak véletlen.

Az a baj, hogy ez csak megerősíti, amit mondok. Definíció szerint simán befért volna leginkább a Malware/BackdoorTrojan, de akár Malware/Trojan, Malware/TrojanSpy kategóriákba is.

Csak a gyártó által is elismert "szándékolt" funkciója alapján kategorizálták be Unwanted/Advertising-ba, nem pedig az alapján hogy effektíve mit csinál. Mire fel ez a fene nagy óvatoskodás? Egy $40 millós bevételű cégnek mennyi esélye van pert nyerni a Microsoft ellen, pláne úgy hogy jónéhány másik 3rd part (pl US CERT) is kerek perec bekategorizálta spyware-nek? Vagy esetleg más okból ilyen óvatosak?
---
Régóta vágyok én, az androidok mezonkincsére már!

( ezqgtouvszfgc | 2015. 02. 21., szo – 09:21 )

“Make no mistake,” Marlinspike said. “They are a surveillance business”

( azbest | 2015. 02. 21., szo – 18:49 )

Picit zavaros, az-e az igazi baj, hogy reklámokkal szór tele weblapokat vagy pedig az, hogy a https-be belenyúl.
Ha a https a nagyobb probléma, akkor érdemes megnézni a tanúsítványokat olyan gépen is, ahol vírusirtó van telepítve. Nálam az avast is belenéz a https-be és az ő certjével mutatja a böngésző a weblapokat. Igaz, a beállításoknál ez kikapcsolható.
http://prohardver.hu/dl/upc/2015-02/23987_avast-ssl-mitm.png

( Hijaszu | 2015. 02. 21., szo – 20:59 )

Az tehát fel sem merült bennük, hogyha az eredeti módosítatlan verziója a szoftvernek olyat csinált ami kifogásolható volt, hogy egyáltalán módosítással együtt is milyen valós létjogosultsága van a gyári telepítésen? Miért nem mindjárt a vírus írókat kérik meg, hogy "jó, csak a terjedési kódot kapcsoljátok ki, és jöhet."

"Most people don't even know what a rootkit is" -- Thomas Hesse, Sony BMG's Global Digital Business President

https://www.f-secure.com/weblog/archives/00002058.html

What do you think of your antivirus company, the one that didn't notice Sony's rootkit as it infected half a million computers? And this isn't one of those lightning-fast internet worms; this one has been spreading since mid-2004. Because it spread through infected CDs, not through internet connections, they didn't notice? This is exactly the kind of thing we're paying those companies to detect -- especially because the rootkit was phoning home.

https://www.schneier.com/blog/archives/2005/11/sonys_drm_rootk.html