neprihlásený Nedeľa, 24. novembra 2024, dnes má meniny Emília
Na nových Lenovo notebookoch je adware, ktorý navyše úplne eliminuje bezpečnosť SSL

Značky: LenovobezpečnosťSSL / TLSInternet

DSL.sk, 19.2.2015


Najväčší výrobca osobných počítačov Lenovo začal zrejme v minulom roku na svoje nové predávané osobné počítače a najmä notebooky predinštalovávať softvér od spoločnosti Superfish, ktorý realizuje adware praktiky a do cudzích stránok vkladá reklamu.

Navyše ale podľa dostupných informácií to softvér robí spôsobom, ktorý na týchto počítačoch prakticky úplne eliminuje bezpečnosť protokolu SSL používaného pre prístup k zabezpečeným stránkam a tiež ďalším zabezpečeným službám.

Adware Superfish

Na inštaláciu softvéru od Superfish, s označením VisualDiscovery, na základe sťažností užívateľov vo fórach Lenova upozornil The Next Web. Sťažnosti odštartovali minimálne v septembri 2014.

Softvér má vkladať vlastnú reklamu do webových stránok prezeraných na danom PC, napríklad aj do stránok vyhľadávača Google.

Už toto správanie je u softvéru predinštalovávaného výrobcom samozrejme netolerovateľné.

Spoločnosť v druhej polovici januára po negatívnej odozve avizovala, že dočasne Superfish prestáva na PC dávať. Dôvodom má byť dokonca zobrazovanie nežiadúcich pop-upov, pričom spoločnosť avizuje opätovný návrat softvéru po odstránení nežiadúceho správania.

Hoci zamestnanec spoločnosti už pred takmer mesiacom avizoval ukončenie preinštalovávania Superfish, bezpečnostný expert Chris Palmer našiel adware na včera kúpenom Lenovo Yoga 2 Pro v Best Buy v San Franciscu. Dodávané produkty sa samozrejme istý čas nachádzajú v distribučnom systéme a tak je možné adware očakávať na nových kupovaných PC aj v blízkej budúcnosti.

Spôsob fungovania Superfish

Alarmujúce na Superfish je navyše ale spôsob, akým zabezpečuje svoju funkčnosť. Keďže mnohé moderné webové stránky sú v súčasnosti šifrované, HTTPS, Superfish sa podľa dostupných informácií nastaví v operačnom systéme Windows ako zrejme lokálny webový proxy server a realizuje Man-In-The-Middle útok.

Aby takýmto spôsobom mohol softvér modifikovať prenášané HTTPS stránky bez bezpečnostných upozornení webových prehliadačov, do systému Windows inštaluje ako dôveryhodný svoj vlastný root SSL / X.509 certifikát.

Následne pri užívateľovej návšteve zabezpečenej stránke používa vlastný falošný certifikát pre doménu tejto stránky, podpísaný root certifikátom Superfish. Webový prehliadač akceptujúci root certifikát Superfish tak užívateľa neupozorní na falošný certifikát.


Sfalšovaný SSL certifikát pre www.bankofamerica.com používaný Superfish (obrázok: Chris Palmer)



U ktorých všetkých webov aplikuje takéto správanie nie je jasné, podľa užívateľov sa tak ale napríklad deje aj pri stránkach bánk ako napríklad Bank of America.

Eliminácia bezpečnosti SSL

Takéto riešenie má ale vážne bezpečnostné dôsledky na celkovú bezpečnosť na počítačoch s inštalovaným softvérom Superfish.

Podľa zistení užívateľov počítačov s týmto softvérom tento používa všade root certifikát s rovnakým kľúčom, pričom privátny kľúč sa nachádza priamo v softvéri Superfish inštalovanom na PC.

Kľúč bol síce zašifrovaný, v súčasnosti už má byť úspešne dešifrovaný a známy.

Ktokoľvek kto ho získa tak môže vytvoriť falošný certifikát pre ľubovoľnú doménu podpísaný root certifikátom Superfish, ktorý zrejme budú softvéry inštalované na Lenovo osobných počítačoch s inštalovaným Superfish akceptovať ako platný.

Útočníci tak môžu v kombinácii s útokom sprístupňujúcim dátovú prevádzku užívateľov, napríklad na podvrhnutej WiFi sieti, podvhrnúť týmto užívateľom ľubovoľné zabezpečné stránky a realizovať phishingové a iné útoky nedetekované webovým prehliadačom užívateľa.

Certifikáty z Windows používa okrem Internet Exploreru napríklad aj Chrome. Naopak užívatelia Firefoxu, ktorý má vlastné certifikáty, takýmto útokom vystavení nie sú.

Spoločnosť Lenovo sa podľa dostupných informácií ešte k situácii nevyjadrila a napríklad na ktorých všetkých PC je softvér inštalovaný nie je známe.

Ako sa chrániť

Prvým krokom ochrany je samozrejme zistiť, či je softvér Superfish na PC inštalovaný. Softvér sa objavuje štandardne v inštalovanom softvéri, pod označením VisualDiscovery.

Štandardným spôsobom je ho možné aj odinštalovať. Odinštalovanie ale nemusí odstrániť problematický root SSL certifikát.

Pre jeho odstránenie je potrebné s administrátorskými oprávneniami spustiť certmgr.msc, v ktorom je možné certifikát nájsť napríklad pomocou jednoduchého hľadania textu Superfish a následne je možné certifikát odstrániť.

Overiť, či je root certifikát Superfish stále inštalovaný, je možné aj návštevou stránky https://www.canibesuperphished.com cez IE alebo Chrome. Stránka používa certifikát podpísaný root certifikátom Superfish a ak prehliadač pri jej návšteve nezobrazí bezpečnostné upozornenie, certifikát je stále na PC inštalovaný.


      Zdieľaj na Twitteri



Najnovšie články:

Japonci uviedli ethernetový kábel s magnetickým konektorom
Starship by mohla za najbližšie štyri roky uskutočniť až 400 štartov
Protimonopolný úrad začal prešetrovať, prečo v SR nie sú skutoční virtuálni mobilní operátori
Nový trailer filmu Minecraft
Linux v ďalšej verzii vyradí súborový systém Reiser
Odštartovaná výroba flash pamäte s 321 vrstvami
Apple má prvýkrát použiť vlastný 5G modem v iPhone v marci
Linux dostáva podporu veľkokapacitných pamäťových SDUC kariet
USA požadujú, aby Google predal Chrome a potenciálne aj Android
ISS zvýšila orbitu, aby sa vyhla troskám zo satelitu


Diskusia:
                               
 

šikmooké dojebali to krasne
Odpovedať Známka: 7.0 Hodnotiť:
 

Nemusi byt kazdy z Vychodnej Azie "kurva sikmooka", vsakze?
Odpovedať Známka: -2.1 Hodnotiť:
 

nie kazdy z vychodnej azie je kua sikmooka, ale kazda kua sikmooka je vychodnej azie
Odpovedať Známka: 8.9 Hodnotiť:
 

nie kazda sikmooka je azia kua
Odpovedať Známka: 7.6 Hodnotiť:
 

Niekto musí financovať tie notebooky za 269€...
Odpovedať Známka: 8.3 Hodnotiť:
 

To je jedno, kto to financuje. Každé mnou lúpené PC okamžite výmaz partície na HDD a vytvorenie mnou novej partície podľa mojej potreby.
Odpovedať Známka: 8.2 Hodnotiť:
 

nepomozes si ak mas napadnuty firmver, vid predosly clanok
Odpovedať Známka: 7.5 Hodnotiť:
 

Jednoduchšie ignorovat Lenovo, co aj robím.
Odpovedať Známka: 2.0 Hodnotiť:
 

Presne tak, vsetko je o peniazoch.
Odpovedať Hodnotiť:
 

tak vam treba lebo kupujete tie sracky s windowsom
Odpovedať Známka: -3.2 Hodnotiť:
 

Ja som včera zapol jednú mašinu kde je XP SP3 len s Avastom, Mozillou a CS 1.6. Otvorím net a v každej jednej vete, v každom texte vyskakovacia reklama. Antivirák nenašiel nič, už ma napadá to len cele sformatovať a install arch
Odpovedať Známka: 8.2 Hodnotiť:
 

antivirak? :)

skus najskor spybot verzia 1.6.2 (nestahuj tu novu 2+ verziu, stoji za hovno) a potom malwarebytes, s tym ze nezapinaj antivirovu online ochranu

lavasoft adaware s novou verziou totalne pojebali a staru verziu uz nestiahnes, vyhni sa mu sirokym oblukom
Odpovedať Známka: 8.9 Hodnotiť:
 

Dík, vyskúšam
Odpovedať Známka: 10.0 Hodnotiť:
 

pripadne este stiahni KAV 10 rescue CD,robi celkom dobru robotu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Ach ta nostalgia ... Spybot + AdAware, bratia v zbroji proti svinstvu ...

Toho AdAware je sakra škoda, taky fajny program to bol ...
Odpovedať Známka: 10.0 Hodnotiť:
 

Ja som včera zapol jedinú mašinu s windows a čuduj sa svete všetko bolo v poriadku...
Odpovedať Známka: 5.0 Hodnotiť:
 

ja som dneska v robote zapol masinku s windows a rychlo som pootvaral vsetky okna - vsade same virusy, jak chori kolegovia kychali a kaslali :-)
Odpovedať Známka: 9.2 Hodnotiť:
 

ja mam tiezm asinu s XP3 a firefoxom.

ziadna masina nie je rychlejsia na surfovamie..

PS: ma to 512MB RAM
Odpovedať Známka: -6.0 Hodnotiť:
 

ja to mam s operou a 192 ram - viac sa mi tomu virtualu vo virtualboxe davat nechcelo :-D
Odpovedať Hodnotiť:
 

Vyskúšaj Lubuntu, potom niečo hovor :D
Odpovedať Známka: 6.7 Hodnotiť:
 

Toto bolo evidentne myslene ako vtip, kto to ako vtip nevnima, staci si pozriet kto to napisal: "shitposter#1", uz ten nick prezradza akej kvality dany prispevok je. :)
Odpovedať Známka: -4.0 Hodnotiť:
 

nie je az tak dolezite, s kym diskutujes, ale najma ako diskutujes. ved diskutujes najma kvoli vsetkym ostatnym, ktori to budu citat a ocakavaju, ze sa daco dozvedia, alebo aspon pobavia :-)
Odpovedať Známka: 10.0 Hodnotiť:
 

riesenie je jednoduche: kupovat lenovo notebooky bez OS :)
Odpovedať Známka: 9.1 Hodnotiť:
 

ale potom prides o zazitok z odstranovania predinstalovaneho bordelu :)a "servisaci nebudou mit co zrat"
Odpovedať Známka: 9.5 Hodnotiť:
 

Alebo si zohnat ciste OEM instalacky ako som to robil ja, ked niekomu klakol HDD a system bol fuc.
Pouzil sa aktivacny kluc zo stitku a frcalo sa dalej.
Odpovedať Známka: 2.5 Hodnotiť:
 

na win8 uz nemas stitky s cislami
Odpovedať Známka: 10.0 Hodnotiť:
 

lenze win8 nikoho normalneho netrapi.
Odpovedať Známka: 7.2 Hodnotiť:
 

Ty nikoho netrápiš. Skús si kúpiť sluśný nový laptop bez zadrbaného Win8+. Windows 7 sa už pomaly nedá zohnať a laptopov bez OS je v naších krajoch žalostne málo :/
Odpovedať Známka: -4.3 Hodnotiť:
 

ked to nevies pouzivat tak normalny asi nie si ty
Odpovedať Známka: -2.7 Hodnotiť:
 

Joj aby si sa neposral. Mne narozdiel od teba sluzi win tak ako ja chcem, nie ako si MS predstavuje.
Odpovedať Známka: 0.0 Hodnotiť:
 

ako zarazka na dvere?
Odpovedať Známka: 6.0 Hodnotiť:
 

Tak skusit pouzit aplikaciu WinGuggle a opisat si licencny kluc. Mozno to bude fungovat.
Odpovedať Známka: 6.0 Hodnotiť:
 

A to sa ako stazujes, ze to nevies preinstalovat,

alebo sa tesis, lebo cislo je ulozene v BIOSE, kde ho instalacka sama najde a nemusis ho pracne opisovat?
Odpovedať Známka: 10.0 Hodnotiť:
 

sucho konstatujem ako odpoved na komentar na ktory reagujem. PReinstalovavat nic nepotrebujem, kedze notebooky/pc od cias visty maju recovery partition...
Odpovedať Známka: -6.7 Hodnotiť:
 

A v pripade Lenova je recovery aj so SuperFish certifikatom. No nekup to!
Odpovedať Známka: 10.0 Hodnotiť:
 

od dnes, databaza 11206 superfish pozna aj NOD, takze pondelok dostanem dalsich 13 emailov :)
Odpovedať Hodnotiť:
 

Aha takze toto je dovod preco sa Lenovo zubami nechtami brani alternativnym OS. Notebookov bez OS maju iba par a aj to povacsinou iba sracky. Ale kto chce kam...
Odpovedať Známka: 8.6 Hodnotiť:
 

licencia (nepoužitá) sa dá vrátiť výrobcovi za protihodnotu. Teda ak aj neexistuje model bez OS, tak OS môžeš vrátiť. Ak bude robiť problémy tak smer SOI...
Odpovedať Známka: 2.0 Hodnotiť:
 

skor smer lamparen
Odpovedať Známka: 7.0 Hodnotiť:
 

Ten proces ale nie je vôbec jednoduchý a ani sa nesnažia ho nijako zjednodušiť. Z môjho pohľadu je najjednoduchšie po rokoch opustiť Lenovo a kúpiť niečo iné.
Odpovedať Známka: 10.0 Hodnotiť:
 

Je to take "jednoduche" ako napriklad toto? http://dopice.sk/csI

Myslim, ze skor zomries na starobu ako vratis licenciu Lenovu...
Odpovedať Známka: 10.0 Hodnotiť:
 

famozny clanok, klobuk dolu a odporucam kazdemu toto spachat - nech sa spamata mrkvosoft, aj jeho kumpani..
Odpovedať Známka: 5.0 Hodnotiť:
 

Mam rad tebe podobnych. Bratia licenciu a Windows následne ukradnu.
Odpovedať Známka: -10.0 Hodnotiť:
 

Super fishy...
Odpovedať Známka: 8.3 Hodnotiť:
 

I smell something fishy ... :]
Odpovedať Známka: 10.0 Hodnotiť:
 

Here, fishy-fishy
Odpovedať Známka: 10.0 Hodnotiť:
 

Da sa ten soft niekde stiahnut ? Pojde mi aj na Toshibe ? Citim sa tam osamotene a pocit ze ma niekto sleduje alebo odpocuva by mi pomohol :)
Odpovedať Známka: 8.9 Hodnotiť:
 

Staci nainstalovat Bitdefender total security 2015, ten tiez nahradza SSL certifikaty stranok za vlastny. :)
Odpovedať Známka: 10.0 Hodnotiť:
 

To robi aj CSOB :))))
Odpovedať Hodnotiť:
 

To iste robi aj antivir Avast [http://ix.sk/W2KgJ]
Odpovedať Známka: 10.0 Hodnotiť:
 

Tiež používam avast, no idem tých zmrdov čeknúť
Odpovedať Známka: 10.0 Hodnotiť:
 

Práve som to musel v tom zasranom avaste vypnúť. Dik za info. Rozmýšľam teda, aký antivirák použiť, keď už sa ani im nedá dôverovať.
Odpovedať Hodnotiť:
 

Microsoft Secutity Essentials

Zakladna ochrana uplne zdarma. Väčšinu infiltracii si aj tak sposobi uzivatel sám svojou demenciou.
Odpovedať Známka: 5.0 Hodnotiť:
 

Skus si kazdych 30 dni nainstalovat eset demo verziu kde das len fiktivny mail a mas to zdarma aj ta to ochranu
Odpovedať Hodnotiť:
 

Tiež sa pripájam, rád by som si to stiahol a nainštaloval tiež. Potrebujem verziu pre Mint 17.1 (kernel 3.13.0-37). Ďakujem.
Odpovedať Známka: 2.5 Hodnotiť:
 

Buď rád že tam také debiliny od výrobcov nemáš. Myslím si že aj to je dôvod prečo sa výrobcovia nehrnú do predaja notebookov s Linuxom lebo kde by inštalovali potom tie ich sprostosti?? V Linuxe to funguje úplne inak (práva, root, striktne určené miesta kde sa to inštaluje - žiadny chaos, repozitáre...) Tak isto stačí sa pozreť čo je býva na CD-čkach dodávaných ku základným doskám. 10% ovládače a ostatok Google Chrome a iný balast
Odpovedať Známka: 8.7 Hodnotiť:
 

myslim ze by bolo nacase aktualizovat kernel
Odpovedať Hodnotiť:
 

Vieš ako to je, nikdy neopravuj, čo nie je pokazené. Ale bude prísť ten čas. Raz. Cez víkend. Asi.
Odpovedať Známka: 5.0 Hodnotiť:
 

a naco? ja som donedavna fungoval na 2.6 verzii. aktualizoval som distro len preto, ze mi tam neslo nainstalovat najnovsie vlc a libreoffice.
Odpovedať Hodnotiť:
 

pokial tam nema ziadnu realne vyuzitelnu zranitelnost (ci uz remotne alebo lokalne beziacimi procesmi), tak nie je dovod za kazdu cenu menit jadro...
Odpovedať Hodnotiť:
 

Odporucam skusit Microsoft Signature Experience, je to HW priamo od MS bez nainstalovanych kokotin: www.microsoftstore.com/signature
Odpovedať Známka: -10.0 Hodnotiť:
 

Kde zoženiem ten lietajúci z tej reklamy? Taký by som bral bez váhania.
Odpovedať Známka: 5.0 Hodnotiť:
 

windows lsd edition? od kazdeho spravneho obchodnika :)
uvidis aj matku terezu honit draka :)
Odpovedať Známka: 10.0 Hodnotiť:
 

Ma tak napadlo, v telefonnoch od Lenova sa take nic nedeje?
Odpovedať Známka: 10.0 Hodnotiť:
 

treba otestovat. Mas?
Odpovedať Známka: 10.0 Hodnotiť:
 

Aj keby som mal, tak neviem ako. Na to su tu povolanejsi ludia. :)
Odpovedať Hodnotiť:
 

Mna na tu stranku z clanku ani nepusti. Chome mi napise ze: Útočníci sa možno pokúšajú ukradnúť vaše informácie zo stránok www.canibesuperphished.com (napríklad heslá, správy alebo informácie o kreditných kartách).
NET::ERR_CERT_AUTHORITY_INVALID
Odpovedať Známka: 3.3 Hodnotiť:
 

Znamená to, že máš modernú myšku, ktorá kontinuálne meria tvoje IQ a vyhodnotila, že tú stránku by si nezvládol.
Odpovedať Známka: 5.6 Hodnotiť:
 

Dobré
Odpovedať Známka: 7.1 Hodnotiť:
 

7 - vase IQ je prilis kratke, aby ste nim dokazali zaujat priemernu zenu.
Odpovedať Známka: 10.0 Hodnotiť:
 

Momentálne pripravujem NTB, ktorý mi prišiel dnes, obsahuje sys. image z konca novembra 2014 a ten balast som tam našiel. Človek kúpi nový NTB a 2 hodiny strávi odinštalovávaním <>-ovín. Načo je tam to poj..ané Pokki, tá k...ina má roz.ebaný inštalátor, takže nejde ani riadne odinštalovať. Pomohol iba Revo Uninstaller.
Odpovedať Známka: 6.7 Hodnotiť:
 

Neporusujes odinstalovanim tych <>vin nahodou reklamacne podmienky? :-)
Odpovedať Známka: -2.0 Hodnotiť:
 

Podľa podmienok záruky Lenovo drží záruku len na hardware. O SW tam nie je nič.
Odpovedať Známka: 10.0 Hodnotiť:
 

preto, ze ten balast ti zabezpecuje nizsi cenu, kedze lenovo dostava peniaze za to, ze ti tam instlauju. Ak si domaci uzivatel, tak 1x si snad das namahu to odinstalovat a 3-4 roky mas pokoj. Ak si firemny a mas tych pc viac, tak 1x si snad das namahu to odinstalovat a na dalsie kusy aj tak nakopirujes image toho jedneho co si vsetko nastavil. Takze osral to pes, nech si tam instaluju co chcu.
Odpovedať Známka: -5.0 Hodnotiť:
 

ale aj ked to odinstalujes, tak windows nebude rovnaky, ako ked tam ten bordel nikdy nebol. Nevies, co vsetko pri instalacii meni v systeme.
Odpovedať Známka: 10.0 Hodnotiť:
 

nj, takze lenovo predava so 100% ziskom, lebo adware mu plati HW vyrobne naklady..
tj, su to obycajne, slusne povedane, ku-prostititky ?
Odpovedať Hodnotiť:
 

Na kieho boha kupujete ľudia tie zasrane lenova?!
Odpovedať Známka: 0.0 Hodnotiť:
 

Schvalne posli nejaky ntb okolo 600€, co bude mat lepsie parametre.
Odpovedať Známka: 10.0 Hodnotiť:
 

vobec nejde o parametre, asusy a acery maju parametre lepsie, ale co z toho ked sa ti to za 2 mesiace pokaz a na acerizasadne nevydrzia panty viac ako 10 zavreti/otvoreni.
Odpovedať Hodnotiť:
 

Esus u mna skoncil prave pre caste reklamacie, acer je smejd. Dell je super akurat v zaruke, mimo nej je to rovnaky srot a este aj horsie s opravou alebo ND. S MSI su zle skusenosti pri drsnejsom zaobchadzani. Takze preto ma zaujima co ten expert odporuci.
Odpovedať Hodnotiť:
 

MSI su este o 2 triedy horsie ako Asus a Acer, prave preto, ze idu po parametroch a cene. To proste nemoze fungovat. Dell ma aktualne a skoro vzdy mal spatne notebooky, vyberal som bratovi okolo 1000€ ale to sa proste neda. Lenovo mam dlhodobo odskusane, pripadne HP probook. Nic ine by som nekupil.
Odpovedať Hodnotiť:
 

ja som vdaka tomu zarobil 50e za par kliknuti. za mna, pokojne nech to tam lenovo dava a idioti nech to kupuju
Odpovedať Hodnotiť:
 

Stačí kúpiť bez OS, hodiť tam Linux a ide sa... :) best of! (až na tú switchable grafiku ktorá neposlúcha s ovládačmi)
Odpovedať Hodnotiť:
 

http://bumblebee-project.org/
Odpovedať Hodnotiť:
 

http: //praha.idnes.cz /stavba-haly-amazonu -v-dobrovizi-dns- /praha-zpravy .aspx?c =A150219_2140703 _praha-zpravy_mav

zas +1 blbý velkosklad konzumu, pre polo-negraamotních východnárov a úplne nevzdelaních ukrajinsko-albánskych robošov na švarcku a za sub-minimálnu mzdu,
..ale narobia z v médiách toho haló, jakoby šlo minimálne o lodenice "shipyard" pre USS NC-1701A Enterpride , alebo Voyager.. :/(
Odpovedať Známka: -2.5 Hodnotiť:
 

pot tychvsetkych skandaloch beriem ipad2 jebem ! chcem byyyt ik0k0t xD
Odpovedať Známka: 6.7 Hodnotiť:
 

Najlepsim riesenim je podla mna cinske zariadenia nekupovat. Nikdy som z toho nemal dobry pocit a nikdy mat nebudem. Ked sa tomu mozem vyhnut, tak to urobim, aj za cenu toho ze to bude trochu drahsie. Uz len z toho ze mam doma router Huawei od Orange ma velkym stastim nenaplna, ale co uz.. nenavyberam si.

Niekto moze argumentovat, ze uz skoro cela spotrebna elektronika sa vyraba v Cine.. ale to nie je to iste. Europska alebo americka spolocnost si takyto amaterizmus nemoze dovolit. Ked uz, tak aspon oslovia profesionalov z NSA, vdaka ktorym zijeme v sladkej nevedomosti. Nahovarat si ze ked urobim cistu instalaciu Windowsu tak som v bezpeci, je rovnako naivne ako kupit si "kvalitny cinsky vyrobok".
Odpovedať Hodnotiť:

Pridať komentár