+ Comment fabricante de computadores chinesa Lenovo publicou instruções sobre como esfregar o adware Superfish-lo instalado em seus novos laptops - mas ainda bizarramente insiste que não fez nada de errado e que não há nada para se preocupar.
Isso é apesar de classificar a gravidade da infecção deliberada como "alta" em seu próprio site . Bem jogado, Lenonope. Ou que deveria ser LOLovo?
Superfish foi empacotado em novos laptops Lenovo do Windows com um certificado da CA raiz para que ele pudesse interceptar sites ainda protegidos por HTTPS visitados pelo usuário e injetar anúncios nas páginas. Removendo o badware Superfish vai deixar para trás o certificado raiz - permitindo meliantes para atrair proprietários Lenovo para sites disfarçados de bancos on-line, webmail e outros sites legítimos, e roubar senhas em ataques man-in-the-middle.
"Superfish anteriormente incluído em alguns produtos de notebooks de consumo embarcadas em uma pequena janela entre setembro e dezembro para ajudar os clientes potencialmente descobrir produtos interessantes durante as compras", disse Lenovo em um comunicado na quinta-feira.
"Nós sabemos que os usuários reagiram a esta questão com preocupação, e por isso tomamos a ação direta para parar de enviar todos os produtos com este software. Vamos continuar a avaliar o que fazemos e como o fazemos, a fim de que possamos colocar nossas necessidades do usuário , experiência e prioridades em primeiro lugar ".
Passo-a-passo as instruções sobre como remover o aplicativo Superfish, eo certificado de que ele usa para se passar por sites confiáveis , foram publicadas pela Lenovo . Se você usar qualquer um dos seguintes produtos, ou alguém que você conhece faz, você deve verificar se há crapware de Superfish:
E10-30, Flex2 14, Flex2 15, Flex2 14D, Flex2 15D, Flex2 14 (BTM), Flex2 15 (BTM), Flex 10, G410, G510, G40-70, G40-30, G40-45, G50-70 , G50-30, G50-45, Miix2 - 8, Miix2 - 10, Miix2 - 11, S310, S410, S415, S415 Touch, S20-30, S20-30 Touch, S40-70, U330P, U430P, U330Touch, U430Touch , U540Touch, Y430P, Y40-70, Y50-70, Yoga2-11BTM, Yoga2-11HSW, Yoga2-13, Yoga2Pro-13, Z40-70, Z40-75, Z50-70, e Z50-75.
Especialistas em segurança estão alertando que o código Superfish está tão mal concebido que é fácil de extrair a chave privada para o seu certificado da CA raiz. Esta chave privada pode ser usada para certificados SSL gerados que um site nefasto pode usar para disfarçar-se como um site legítimo.
Por exemplo, se você é uma pessoa ruim trabalhar em um café com controle sobre seu público Wi-Fi, e você vê um usuário Lenovo afetados participar da sua rede, você pode tentar redirecionar a sua ligação a um banco online para o seu próprio por senha roubar servidor. O seu servidor pode usar um certificado SSL desonestos gerada a partir da chave privada que vazou de Superfish fantochada como dotcom do banco. O certificado da CA raiz Superfish no laptop diz ao navegador para realizar a conexão desonesto - e usuário será nenhum o mais sábio (a menos que inspecionar a sessão SSL, que ninguém faz).
Nas últimas 24 horas sites como canibesuperphished.com e filippo.io/Badfish/ foram criados para identificar PCs com o CA raiz desonestos instalado, usando os certificados SSL assinados pela chave privada vazada. Se você estiver em uma máquina Lenovo e você não vê todos os erros sobre a conexão HTTPS para esses sites, você tem o certificado mau instalado.
Realizou mais de 138k cheques para Superfish,> 14500 resultou positivo. A maioria do tráfego vindo agora do Japão. https://t.co/LGk8cAzhKn
- Filippo Valsorda (FiloSottile) 20 de fevereiro de 2015 Rob Graham da Errata Security procurou os arquivos Superfish usando o bom e velho comando UNIX strings para retirar possíveis senhas para descriptografar a chave privada incorporado do software. Ele descobriu a senha 'komodia' em apenas algumas horas - o que lhe permite extrair a chave secreta.
Eu extraí o #SuperFish certificado e rachou a senha: http://t.co/mBg42VBn46 http://ift.tt/1w0Wc4X
- Rob Graham (ErrataRob) 19 fev 2015 Essa senha é importante também por outro motivo - ele aponta para onde os desenvolvedores de Superfish pode ter conseguido o seu código. Komodia é uma empresa de segurança de computadores que faz software chamado SSL Digestor, que funciona de forma muito semelhante ao superfish para quebrar a criptografia SSL e injetar publicidade.
Opa, nossa má
O software pré-instalado em uma gama de portáteis de consumo da Lenovo, um movimento Peter Hortensius, diretor de tecnologia da empresa, admitiu foi um erro. Mas ele disse que não havia riscos de segurança com o uso de software que borks HTTPS.
"Nós não estamos tentando entrar em uma discussão com os caras da segurança", ele disse ao Wall Street Journal. "Eles estão lidando com preocupações teóricas. Nós não temos conhecimento de que qualquer coisa nefasta ocorreu. Mas nós concordamos que isso não era algo que queremos ter no sistema, e percebemos que precisávamos de fazer mais."
Normalmente Lenovo realiza diligência em todos os softwares pré-instala-lo, mas neste caso o procedimento de habilitação não foi realizado bem o suficiente, ele opinou. A inclusão de tal software é, aparentemente, coberto no contrato de licença de usuário final entediante que ninguém lê.
Em uma declaração estendida Lenovo disse Superfish não foi um dos principais contribuintes para a linha inferior da fabricante, e disse que o software não construir perfis pessoais dos usuários - apenas publicidade sob medida para qualquer que seja a vítima estava navegando.
"Superfish não tem sido ativa em laptops Lenovo desde dezembro", CEO da Superfish Adi Pinhas disse El Reg em um comunicado.
"É importante notar: Superfish é completamente transparente, em que o nosso software faz e em nenhum momento se os consumidores vulneráveis - estamos por isso hoje Lenovo irá lançar um comunicado mais tarde hoje, com todos os detalhes que esclarecer que não houve. atitude errada de nosso fim. "
Isso continua a ser visto. Lenovo tem uma relação muito próxima com a Microsoft como uma caixa de máquina de alto vôo, e Redmond disse El Reg hoje que está investigando a situação para ver se a inclusão do software quebra qualquer de suas regras de licenciamento.
"Nós estamos olhando para os relatórios sobre esta questão de terceiros", disse um porta-voz da Microsoft.
+ Comentário por Reg homem Iain Thomson
Eu escrevi este artigo sobre hardware Lenovo, na verdade eu usei ThinkPads para os últimos 15 anos como jornalista profissional e os amava com carinho - o teclado é excelente, a qualidade de construção excelente, e meu atual sistema personalizado tem teclas desgastadas fora de repetido martelando.
Mas, à luz do caso Superfish, a empresa pode esquecer sobre qualquer negócio mais repetir. Bastante é bastante, e neste caso é tão flagrante como o rootkit debacle Sony uma década atrás, que levou a empresa a música que está sendo rejeitado pela segurança consciente.
Ninguém faz PC limpo constrói mais. Eles quase todos vêm carregado com versões de teste de aplicativos, pacotes de amostra de material e ferramentas de OEM. Você espera que ele, e os usuários experientes sabem para limpar qualquer nova máquina. Os usuários não-savvy são deixados para colocar-se com ele.
Mas, embora este material é irritante, há um mundo de diferença entre a obtenção de teste gratuito de um mês de Norton ou LoJack que é facilmente identificável - e tendo algo como a engrenagem do Superfish instalado clandestinamente. Lenovo não fez qualquer menção clara de ter esse código em seus sistemas, porque se o tivesse feito, ninguém teria comprado o sistema.
Felizmente, ThinkPads não estavam recebendo o software Superfish, apenas PCs de consumo. Mas isso não muda o fato de que a Lenovo tinha tanto desprezo por uma parcela de sua base de usuários que estava disposta a sacrificar a sua privacidade e segurança para fazer 30 peças de prata.
Se Lenovo está disposto a construir crapware mal escrito como Superfish em seus sistemas, em seguida, a empresa já não pode ser confiável para manter até mesmo uma pretensão de ter os melhores interesses de seus clientes no coração.
Vai ser triste para deixar ir do meu laptop quando atinge fim da vida, mas a Lenovo não vai ter outra cento do meu orçamento PC a partir de agora. Com base no feedback que estamos recebendo dos leitores muito poucos de vocês se sentem da mesma maneira. ®
Nenhum comentário:
Postar um comentário