Lenovo está tentando desarmar controvérsia sobre sua crapware Superfish pré-instalado - o que parece ter executado man-in-the-middle contra os consumidores, a fim de anúncios estilingue - dizendo que descontinuou o uso da tecnologia visual-reconhecimento em novos laptops e prometendo rever questões em suspenso.
Superfish teria interceptado o tráfego dos usuários para estilingue anúncios para eles, mesmo quando eles estavam visitando sites bancários.
O adware-on-esteróides instala seu próprio certificado da CA raiz auto-assinado no Windows antes de gerar certificados on the fly para cada conexão SSL tentada. Superfish mesmo servido certs falsos, a fim de sites bancários MITM, tem sido relatado.
A questão provocou queixas isoladas sobre Lenovo fóruns de tecnologia nos últimos meses, com a Lenovo a emissão de uma resposta oficial em janeiro. Gerente do programa de mídia social Mark Hopkins disse:
Para ser claro, Superfish vem com apenas produtos de consumo da Lenovo e é uma tecnologia que ajuda os usuários a encontrar e descobrir produtos visualmente. A tecnologia analisa instantaneamente imagens na web e apresenta ofertas de produtos idênticos ou similares que podem ter preços mais baixos, ajudando os usuários a procurar imagens sem saber exatamente o que um item é chamado ou a forma de descrevê-lo em um motor de busca baseada em texto típico.
Mas o problema só atingiu o mainstream depois da segurança pesquisador Marc Rogers escreveu sobre ele na quarta-feira ( aqui ), provocando a reação mais raivosa contra uma empresa de tecnologia desde a Sony BMG rootkit caso de volta em 2005.
Lenovo foi deliberadamente quebrar conexões seguras, tornando mais fácil no processo para todos os atacantes a falsificar qualquer site HTTPS, dizem os pesquisadores. A obtenção de uma chave privada a partir de um laptop Lenovo permitiria que o conhecimento técnico para espionar o tráfego web de quaisquer outros usuários da Lenovo na mesma rede.
Isso é tudo além das preocupações mais imediatas que a Lenovo estava espionando dados da web banco / médico / namoro dos usuários antes de monetizar-lo através de anúncios pop-up.
A mais antiga Lenovo fórum destacamento sobre a questão remonta a Junho de 2014.
Questionado pelo El Reg, Lenovo divulgou um comunicado afirmando que ele havia cavado a tecnologia e ainda alegando que tinha deficiência instalações existentes. Este vai mais longe nesta frente de sua linha anterior em fóruns públicos que iria simplesmente atualizar o adware.
Lenovo removido Superfish dos pré-carregamentos de novos sistemas de consumo em janeiro de 2015. Ao mesmo tempo Superfish desativado máquinas Lenovo existentes no mercado de ativar Superfish.Superfish foi pré-carregado para um número seleto de apenas modelos de consumo. Lenovo é cuidadosamente investigando todas e quaisquer novas questões referentes Superfish.
Basta remover o adware - que já é detectado como indesejada por muitas empresas de software de segurança - não lidar com o problema e os usuários precisam para remover o certificado manualmente. Microsoft tem uma explicação sobre como fazer isso aqui .
Robert Graham, da Errata Security montou um post bem escrito explicando como Superfish trabalha aqui . Um FAQ pelo veterano Graham Cluley segurança no blog Tripwire pode ser encontrada aqui .
A polêmica serviu para gerar um debate sobre a economia do negócio de fabricação de PC, que sofre de margens notoriamente baixos, entre especialistas em segurança.
Pessoas surpreso com Lenovo / Superfish não entendem a economia de laptops de consumo. As margens são negativas w / o crapware pré-instalado.
- Halvarflake (halvarflake) 19 de fevereiro de 2015
O #lenovo #superfish debacle é apenas mais um motivo para proibir fornecedores instalar nada além de motoristas e OS necessárias.
- Paul Moore (Rambling_Rant) 19 de fevereiro de 2015 ®
Nenhum comentário:
Postar um comentário