Frissítve: előtelepített sebezhetőséggel árulták a Lenovo gépeit

Írta: Szűcs Péter
Forrás: IT café
2015-02-20 10:46

Az új Lenovo laptopok előre telepített szoftvercsomagjában megtalálható a VisualDiscovery nevű program, aminek fejlesztője a Superfish Inc. Meglétét legegyszerűbben a feladatkezelőben, a visualdiscovery.exe révén lehet ellenőrizni.

Fizikailag a %PROGRAMFILES%/Lenovo/VisualDiscovery mappában található, az első visszajelzés pedig 2014. Augusztus 31. érkezett róla. A történet azonban csak a napokban eszkalálódott, amikor a Mozilla közösségének egyik tagja, Reed Loden felhívta a figyelmet a kártékony programra. Egy amerikai üzletláncba sétált be, ahol probléma nélkül tudta rekonstruálni a sérülékenységet.

A Superfish alkalmazása ugyanis SSL MITM (Man In The Middle, azaz közbeékelődéses támadás) módszerét használja. Ez lehetőséget biztosít arra, hogy elhitesse a felhasználókkal, biztonságos oldalon járnak, miközben nem a céloldal, hanem egy másik adja a titkosítókulcsot.

A Lenovo elismerte, hogy "rosszul jött ki" az előre telepített programok sora a frissen polcokra került gépek egy részénél, és ígéretet tettek arra, hogy hamarosan kiadnak egy eszközt, amivel eltávolítható lesz a fertőzés. „Egy rakás mérnököm van most zavarban. Nem vették észre a hibát” nyilatkozott Peter Hortensius, a Lenovo műszaki vezérigazgató-helyettese.

Szeptember óta egyre több felháborodott felhasználó sérelmezte, hogy a Superfish reklámokat injektál a keresési találatokba. Ahogy ezt fentebb említettük, egészen csütörtökig nem vették komolyan ezeket a jelzéseket, akkor azonban komoly biztonsági résnek jelölték az alkalmazást.

A program kifejezetten az SSL titkosítású webes forgalomba mászik bele azáltal, hogy installálja saját certifikációját, amit a megbízható webhelyek feletti layerben helyez el. Ezt követően újabb és újabb kulcsokat generál, amikor a felhasználó HTTPS oldalakat látogat meg.

Biztonsági szakértők a reverse engineering technikával fejtették meg a működési elvét, az Errata Security egyik vezetője, Robert Graham nevét is adta a felfedezéshez.

[+]

A Lenovo második számú műszaki vezetője elmondta, a vállalatnál nem voltak tisztában a sebezhetőség létezésével, míg az nagy nyilvánosságot nem kapott. Elfogadhatatlannak nevezte, hogy a felhasználók ki legyenek téve ilyen mértékű sebezhetőségnek. Elmondta, megpróbálják helyrehozni a hibát, publikálták a módszert, amivel a géptulajok eltávolíthatják a Superfisht, illetve hamarosan egy automatikus tisztítóeszközt is kiadnak, ami törölni fogja a programot és a korábban létrehozott certifikációkat.

Azon is dolgoznak, hogy mindezt egy automatikus update során hajtsa végre a gép, ne kelljen hozzá felhasználói beavatkozás. Ebben kérték a Microsoft és a McAfee segítségét is. Mindezek mellett a már boltokba került laptopokkal is kezdeni kell valamit, ezeken ugyanis szintén megtalálható a Superfish. A problémát nehezíti, hogy az előre telepített driverek és szoftverek között, a rejtett partíción szintén megtalálható a szoftver, tehát egy gyári visszaállítás során újra védtelenek lesznek a felhasználók gépei.

Hortensius azt ígéri, hasonló eset nem fordulhat majd elő a jövőben, még jobban fognak majd figyelni arra, milyen programokat telepítenek elő.

Firefox felhasználók azt hitték, hogy ők nem érintettek, mert a böngésző különálló certifikációkat használ, melyeket külön is tárol a Windows sajátjaitól.

Ezzel szemben a Electronic Frontier Foundation 44 000 MITM támadást regisztrált a Decentralized SSL Observatory projekten keresztül, ami azokat a Firefox böngészőket vizsgálja, melyekre telepítették a HTTPS Everywhere kiegészítőt. Ez azt jelenti, hogy a Superfish a Firefox certifikációk közé is beépül, igaz, nekik a böngésző szólt, hogy potenciálisan veszélynek vannak kitéve - írja az EFF egy blogposztban.

A Lenovo tájékoztatása szerint a Superfish a tavaly szeptember és idén január között telepített gépeken található meg, és a program előtelepítésével leálltak, amikor a felhasználóktól negatív visszajelzéseket kezdtek kapni. A vállalat szerint a G, U, Y, Z, S, Flex, MIIX, Yoga és az E széria is érintett. A teljes listát ezen a linken lehet megtekinteni, az érintettséget pedig ezen a felületen lehet ellenőrizni.

Frissítés#1: A Lenovo magyar nyelvű nyilatkozatot és eltávolítási útmutatót is kiadott.

Frissítés#2: A Microsoft Defender észleli és nem kívánatos szoftverként értékeli a Superfish alkalmazást, amit a certifikációkkal együtt töröl.

Hozzászólások (51)

Kapcsolódó cégek:
Lenovo

Azóta történt

A Lenovo nyilatkozata a Superfish ügyben

A vállalat magyar nyelven is nyilatkozatot adott ki az előre telepített kártékony szoftverrel kapcsolatban, melyet változtatás nélkül közlünk.

Biztonság 2015-02-20 34
Frissítve: Bitcoin bányászt is telepít a legújabb uTorrent kliens

Az EpicScale a processzor erőforrásait használja, de nem is szólt róla a telepítő. Az uTorrent telepítője azóta frissült, már kér engedélyt a bányász.

Biztonság 2015-03-06 163
Egymilliárd e-mail címet loptak, 2 milliót kerestek

Két vietnámi és egy kanadai állampolgárt vádolnak az eddigi legnagyobb volumenű adatlopással. Az évek alatt szépen meggazdagodtak.

Biztonság 2015-03-08 44
3200 főt bocsát el a Lenovo

Nem úgy sikerült a negyedév, ahogyan várták. Gyors és szigorú döntéseket kell meghozni a hosszú távú célok eléréséért.

Mérleg 2015-08-13 54

Percről percre

ZTE Blade A34 - nem a legélesebb kés a fiókban

ma Visszautaztunk az időben a ZTE furcsa belépőajánlatával.

A virágcsokor mellé hardvert is ajándékozhatunk anyák napján

ph A héten desktop PC-k, monitorok, gamer kiegészítők és házak vannak a kirakatban.

Lunar Lander Beyond teszt

gp Nagyon sok évtizeddel az eredeti Lunar Lander megjelenése óta ismét ezen a címen jelent meg Atari logóval egy játék. Vajon mennyit javult a játékdesign a hetvenes évek óta?