A Lenovo reagált az előtelepített adware felfordulásra

Titkosítás, biztonság, privát szféra

Úgy tűnik, hogy a hírverés már elég volt ahhoz, hogy a Lenovo is komolyan vegye a Superfish problémát. A cég ma állásfoglalást tett közzé a weboldalán.

Az állásfoglalásban arról ír a vállalat, hogy a Superfish-t tavaly szeptember és december közt szállította egyes készülékein. Természetesen kizárólag azzal a céllal, hogy segítse ügyfeleit érdekes termékek felfedezésében. Mivel azonban a felhasználói visszajelzések nem voltak pozitívak, gyorsan reagáltak és letiltották a Superfish-t szerver oldalon, így az már január óta nem aktív. A Lenovo január óta már nem telepíti a szoftvert gépeire és a jövőben sem fogja már.

A Lenovo állítja, hogy alaposan megvizsgálta a technológiát és nem talált semmi bizonyítékot arra, hogy Superfish megalapozott biztonsági veszélyt hordozna.

A Lenovo bejelentése itt olvasható. Az Electronic Frontier Foundation is kiadott egy állásfoglalást az ügyben. Elolvasható itt.

( müzso | 2015. 02. 19., cs – 21:27 )

"A Lenovo állítja, hogy alaposan megvizsgálta a technológiát és nem talált semmi bizonyítékot arra, hogy Superfish megalapozott biztonsági veszélyt hordozna."

Azért ennél lehetett volna okosabb a cég PR osztálya. Mármint egy dolog, hogy megtörtént, észrevették, ennyi. Más dolog ezután még kihirdetni közleményben, hogy alaposan megvizsgálták és szerintük nem jelent(ett) semmilyen biztonsági veszélyt. Rossz irányba (tagadás) menekültek a botrány elől. :-(

Engem tavaly megnyugtatott egy szervezet, hogy egy hétvége alatt átvizsgálta magát és teljesen korrupciómentes. Cserkészbecsszó. Én ennek ellenére nem nyugodtam meg. Azok akik a bejelentéstől nyugodtak meg, egyébként se voltak idegesek a problémától, tehát a vizsgálat meg a közlemény effektív hatást nem ért el.
Úgy vagyok vele egyébként, hogy lehetőség szerint az előtelepített dolgokat inkább letolom és DIY telepítek. Az se 100%, de legalább a rátelepített gyártói demóktól meg malware-ektől megszabadulok.

Csak egy kis pontosítás: Tavaly (2014-ben) csak közzétette az egy hétvégés vizsgálat eredményét, de maga a vizsgálat 2013-ban volt. A tavaly ősszel elvégzett/elkezdett/megígért (?) vizsgálatról nem sokat lehet tudni.

http://hvg.hu/gazdasag/20141126_A_NAV_kozzetette_a_ketnapos_vizsgalatot
http://hvg.hu/gazdasag/20150219_Mire_jutott_Vida_Ildiko_NAVelnok_a_korru

Egyetlen hétvégén 1200 oldalas vizsgálati anyagot összeállítani már önmagában nagy teljesítmény. Már ezért dicséretet érdemelnek. :-)

----- 

(&%;_98\<|{3W10Tut,P0/on&Jkj"Fg}|B/!~}|{z(8qv55sr1C/n--k**;gfe$$5a!BB]\.-

( _jack_ | 2015. 02. 20., p – 00:11 )

"kizárólag azzal a céllal, hogy segítse ügyfeleit érdekes termékek felfedezésében"

Hát végül is ez sikerült, az ügyfelek felfedeztek egy érdekes terméket. :)

( hendrick v | 2015. 02. 20., p – 08:48 )

elég vastag bőr kell ehhez ... szerintem lazán be lehetne perelni őket ... igazából a microsoft perelhetné be őket, mivel a termékük biztonságába vetett bizalmat alaposan megingathatta az ő általuk kiadott hmmm ... bundle ...

Nem is értem egy ekkora felelős vállalat hogyan blamálhatja magát ennyire egy ilyen hivatalos válasszal... a legkisebb rossz kb egy hivatalos patch lehetett volna és egy bocsánatkérés az alvállalkozó által szállított insecure modért... ami még mindig felveti, hogy miféle QA van a gyártónál ha egy ilyen megoldás átcsúszik?!

Bár láttunk korábban vírust gyári driver lemezeken is... szóval annyira új nincsen a nap alatt... de ilyen nagy és nagy múltú gyártónál nem gondolná az ember, hogy lehetséges.

PS: A belinkelt bejelentésben nem találok ilyet: "A Lenovo állítja, hogy alaposan megvizsgálta a technológiát és nem talált semmi bizonyítékot arra, hogy Superfish megalapozott biztonsági veszélyt hordozna." mondjuk ez volt a legdurvább az egészben... időközben kieditálták?

A probléma az, hogy a Superfish "szolgáltatás" eltávolítása a "Programs and features" használatával NEM szedi ki a feltelepített, rosszindulatú Superfish tanúsítványt.

Ehhez a certmgr.msc futtatása, majd a "Trusted Root Certification Authorities" kiválasztása és a tanúsítvány kézi törlése szükséges.

Minden bizonnyal ez ismert dolog a laikusok előtt és könnyen kivitelezi egy hozzá nem értő ember is (nem).

--
trey @ gépház

Már rég nem arról van szó, hogy a tanusítványt esetleg egy kókler cég használhatja. Most ott tartunk, hogy a tanusítvánnyal te is tudsz MIM támadásokat indítani, elég, ha nyitsz egy wifit valami forgalmas helyen. Itt a tanusítvány privát kulcsa, amelyet a Lenovó-tulajok böngészője eredetiként fogad el: https://www.reddit.com/r/netsec/comments/2we1ae/lenovo_confirms_install… Ezzel, már amennyire én értem a dolgokat, alá tudsz írni bármilyen tanusítványt, akár a GMail-hez vagy egy telebankhoz is.

( zrubi v | 2015. 02. 23., h – 11:20 )

Értem én hogy ez gáz, meg minden... de kérdezem én, hogy a többi előre telepített tanúsítványba mitől bizík meg bárki is?

--
zrubi.hu