Analyytikot: Lenovo-tietokoneet toimitetaan turvallisuuden heikkenemisohjelmistolla
Tämän takia Lenovon yritysläppäreihin luotetaan
Sisällysluettelo:
PÄIVITETTY klo 11.58 PT ja Lenovon kommentti.
Jotkut Lenovon kannettavat tietokoneet ovat toimittaneet ohjelmistoja, joita tietoturva-analyytikot sanovat voivat saada käyttäjiä alttiiksi hyökkäyksille.
Superfish on niin sanottu mainosohjelmisto, joka tuottaa mainoksia käyttäjän näytöllä. Se on suunniteltu tunnistamaan ne tuotteet, joita käyttäjät etsivät verkossa ja jotka sitten mainostavat näitä mainoksia. Turvallisuusasiantuntijat sanovat kuitenkin, että se tekee osittain rikkomalla salausta, jota käytetään tietojen piilottamiseen, kun käyttäjät vierailevat oletettavasti turvallisilla verkkosivustoilla.
Britannian turvallisuustutkija Graham Cluley sanoo, että se tarkoittaa tehokkaasti "mies-in-the-middle" -haastattelua, joka tunkeutuu siihen, mitä pitäisi olla turvallinen viestintä, "niin että he voivat näyttää ärsyttäviä mainoksia."
"Lyö vetoa, että se on huono", Cluley kirjoitti blogikirjoituksessa. "Jos sinulla on Superfish tietokoneellasi, et todellakaan voi luottaa turvallisiin yhteyksiin sivustoihin enää."
Lenovo sanoo, että Superfish ei ole käytössä
Oli epäselvä torstai, millä Lenovo-tietokoneiden malleilla voi olla vaikutusta. Yhtiö sanoi, että "joitakin kannettavia kannettavia tietokoneita" toimitettiin syys-joulukuun välisenä aikana.
Lenovo totesi, että se poisti Superfishia uusilta tietokoneilta tammikuussa, eikä sitä sisällytetä mihinkään uuteen tietokoneeseen, ja että Superfish on poistanut ohjelmiston käytöstä, joten se ei enää toimi asennettuna.
Yhtiö kuitenkin väittää, että Superfish ei aiheuta uhkaa, jonka jotkut sanovat.
"Olemme tutkineet perusteellisesti tätä tekniikkaa ja löydämme todisteita turvallisuusongelmien osoittamiseksi", Lenovo totesi torstaina lausunnossaan. "Mutta tiedämme, että käyttäjät ovat reagoineet tähän ongelmaan huolestuttavasti, joten olemme ryhtyneet välittömiin toimiin lopettamaan tuotteiden toimitukset tämän ohjelmiston kanssa.
"Jatkamme edelleen tarkistamme, mitä teemme ja miten voimme tehdä sen, jotta voimme ensin asettaa käyttäjien tarpeet, kokemuksemme ja prioriteetit".
Jotkut tietokoneet ovat tehneet sen selvästi myymälöissä, joissa on aktiivisia versioita ohjelmistosta.
ArsTechnica kertoi torstaina, että tietoturva-tutkija osti Lenovo Yoga 2 Pro 600 dollaria San Franciscon Best Buy -alueella ja "nopeasti vahvisti", että Superfish oli asennettu.
Cluley kirjoittaa, että koska Superfish korvaa verkkosivustojen turvallisuustodistuksen yhdellä omalla. se olisi "helppoa toisen vihamielisen toimijan hyödyntää tätä ja vaarantaa käyttäjän yhteydet".
Ohjelmiston poistaminen
Ohjelmiston täydellinen poistaminen jo ostetuista tietokoneista näyttää olevan hankala ehdotus. Ohjelmiston asennuksen poistamisen lisäksi Cluley sanoo, että käyttäjien on poistettava, mitä kutsutaan "root-varmenteeksi".
Microsoft, jonka Windows-käyttöjärjestelmä on Lenovon tietokoneissa, on julkaissut vaiheittaiset ohjeet siitä, miten se tehdään. Se on myös luonut luettelon luotetuista juurivarmenteista eri Windows-versioissa, joten käyttäjät voivat nähdä, onko mitään muuta lisätty ilman heidän tietämystään.
Yksinkertaisin lähestymistapa, vaikkakin jyrkkä, on pyyhkiä tietokoneen kiintolevy ja asenna uusi versio Windowsista tai muusta käyttöjärjestelmästä.
"Se on julma vastaus, mutta se on luultavasti ainoa, jonka voit täysin luottaa juuri nyt", Cluly kirjoitti. "Se vei turvallisuusyhteisön kuuden kuukauden ajan huomaamaan, mitä Lenovo teki tietokoneissansa, joka tietää, että se tekee jotain muutakin vähän hämmentävää."
Kuva iStockin kautta
