Frissítés: a Lenovo tájékoztatása és az érintett eszközök listája a cikk végén.

Először még szeptemberben, a Lenovo hivatalos fórumán bukkantak fel azok a felhasználói észrevételek, amelyek szerint a gyártó bizonyos típusú gépein szponzorált hivatkozások bukkannak fel az internetes keresőtalálatok között – ez olyasmi, ami akár az adware vagy spyware programok jelenlétére utalhat. Aztán a Facebook egyik informatikusa azt is felfedezte, hogy a szóban forgó konzumer PC-kkel együtt érkező Superfish szoftver közbeékelődő (man in the middle, MITM) belső tanúsítványt telepít az eszközökre. A gyári adware tehát nem csak a keresőtalálatokat buherálja meg, de a titkosított SSL/TLS kapcsolatok manipulálását is elősegítheti.

A Lenovo egyik illetékese még januárban megerősítette, hogy a társaság egyes termékeire valóban előre telepíti a Superfish Visual Discovery programot, amit a böngészőbővítménnyel kapcsolatos aggályok miatt ideiglenesen felfüggesztett, a már piacon lévő eszközök esetében pedig automatikus programfrissítésse orvosolná a problémát. A ZDNet a Lenovo képviselőjét idézi, aki korábban leszögezte, hogy a szoftver nem monitorozza a felhasználók tevékenységét; akiknek az első lefutáskor lehetőségük van a felhasználási feltételek visszautasítására, ezzel pedig a Superfish működésének letiltására.

Ez ebben a formában nem igaz

Legalábbis a Lenovo fórumán közzétett másik észrevétel alapján: a legújabb felfedezés szerint a Superish ettől függetlenül is telepíti saját, legfelső szintű hitelesítésszolgáltató tanúsítványát, ami ugyanúgy lehetővé teszi a MITM támadásokat és a hozzáférést az elvileg titkosított kapcsolatok forgalmához. Közben a Google egyik mérnöke is megerősítette, hogy a Superfish elfogja az SSL/TLS kapcsolatokon keresztül bonyolított adatforgalmat, és saját aláírású tanúsítványát injektálja a megnyitott oldalak mindegyikébe – a szakember ijesztő példaként a Bank of America webes felületéről készített képernyőképet az általa használt Yoga 2 laptopon.

Az előre telepített Superfish kapcsán további panszokról is lehet olvasni más digitális tanúsítványok vagy smartcard olvasók vonatkozásában. A tanúsítványok ráadásul minden gépen ugyanazt a kulcsot használják, vagyis bármelyik Lenovo-felhasználó sebezhetővé válik, ha ahhoz a támadók valamilyen módon hozzáférnek. Hogy a dolog kerek legyen, a Superfish eltávolítása a beszámolók szerint a legfelső szintű hitelesítésszolgáltató tanúsítványt érintetlenül hagyja, vagyis a megoldás annak kézi eltávolítása, a Windows újratelepítése egy másik image felhasználásával, vagy akár egy másik operációs rendszer telepítése.

Várjuk a megoldást

Természetesen nem a Lenovo az egyetlen OEM gyártó, amely előre telepített szoftverekkel pakolja tele a termékeit. Ezek között a programok között nem ritkán találhatók teljesen felesleges vagy kifejezetten idegesítő darabok, de minden esetben jár hozzájuk a "felhasználói élmény javítása" című kamu indoklás. Ez a mostani, malware-szerű kód azonban még a tévénézőt figyelő okostévék korában is elég kellemetlen – a The Next Web arról is beszámol, hogy bizonyos antivírus-programok károkozóként jelölik meg a Superfish-t, és javasolják az eltávolítását.

Arról egyelőre nem tudni, hogy a sebezhetőséggel bárki visszaélt volna, és remélhetőleg a Lenovo is minél hamarabb orvosolja a problémákat. Maga a gyártó egyelőre nem kommentálta az ügyet, a társaság hivatalos reakcióját természetesen mi is közölni fogjuk.

Frissítés: a Lenovo a Bitporthoz eljuttatott kommentárja szerint már januárban letiltotta a Superfish szerveroldali interakcióit, ezzel együtt leállította a szoftver előtelepítését, és ezt a jövőben sem tervezi.

A tájékoztatás alapján a Superfish működése tisztán az online képeken/szövegen alapul, nem figyeli meg a felhasználó viselkedését. A szoftver működése során minden munkaszakasz független, nem rögzíti a felhasználói adatokat, nem követi és nem azonosítja a felhasználót.

A gyártó további lépéseinek nyomon követése és az üggyel kapcsolatos bővebb információ a Lenovo hivatalos fórumán érhető el. Az érintett eszközök listája itt olvasható, a Superfish eltávolításáról pedig ezen az oldalon található részletes útmutatás. A Lenovo ígérete szerint a tájékoztató anyagokat rövidesen magyar nyelven is elérhetővé teszi.