torstai 19. helmikuuta 2015

Lenovon kuluttajakannettavissa vakoilusovellus

Esimerkki: Lenovo Z50 - Josta haitake voi löytyä.Kiinalainen laitevalmistaja Lenovo on asentanut tahallisesti kuluttajille suunnattuihin läppäreihin tietoturvaa vaarantavan mainosohjelman.

Adwarena kutsutaan ohjelmaa joka tykittää tietokoneen käyttäjille mainoksia, mainokset saattavat ilmaantua esimerkiksi selaimeen, verkkosivujen päälle.

Yllä mainittu esimerkki kuvaa Adwaren yleisintä tapausta mutta  Lenovon tapauksessa mainoshaittaohjelma tai suoraan sanottuna vakoiluohjelma, Superfish on erityisen monimutkainen haitake, ensinnäkin se luo Windowsiin väärennetyn sertifikaatin tai varmenteen joka oikeuttaa sen päästä salattujen yhteyksien väliin.

Superfish kyllä esittää edelleen mainoksia ja tuo niitä SSL-salattuihin sivustoihin, kyseisellä varmenteella kuitenkin pystyy tekemään paljon muutakin kuin päästä vain salattuihin sivustoihin (lähinnä Googlen hakusivustolle) esittämään mainoksia.

Superfishin luoma varmenne on hyvin vaarallinen sillä se antaa käytännössä täydet vakoiluominaisuudet sitä hyödyntäville ohjelmille, varmenteen avulla voi päästä esimerkiksi käyttäjän ja pankkiyhteyden väliin ja seurata näiden välistä tietoliikennettä.

Varmenne periaatteessa korvaa esimerkiksi pankin käyttämän sertifikaatin, pankki tai muu salattuja yhteyksiä hyödyntävä verkkopalvelu ei tätä huomaa, kuten alla olevasta tietoturva-asiantuntija Kenn Whiten Twitteriin lähettämästä kuvasta selviää:

Haitakkeen idea on kuulemma tunnistaa verkkosivuilla esiintyviä kuvia ja etsiä samankaltaisia tuotteita Superfish Inc:n (Superfishin kehittäjä) yhteistyökumppaneiden katalogeista ja tarjota näitä tuotteita käyttäjälle mainoksen avulla.

Superfish ei ole uusi ongelma:

Käyttäjät alkoivat raportoimaan Superfishistä viime vuoden kesäkuun aikoihin kun huomasivat mainosten käyttäytyvän kummallisesti ja totesivat tämän erään bloatwaren, eli Superfishin syylliseksi moiseen.

Lenovon järjestelmissä Superfish ohjelma löytyy nimellä Visual Discovery.

Siitä lähtien Lenovolta on odotettu virallista kommenttia asiasta mutta sellaista ei kuultu ennen tammikuuta 2015.

Lenovon kommentti:

Lenovo on vastannut Superfishin aiheuttamaan meteliin ja ilmoittanut ettei Superfishiä enää ole asennettu tammikuun jälkeen kuluttajakoneisiin, eivätkä sitä tule enää myöhemminkään tekemään.

Lenovo on antanut myös vastauksensa heille jotka ovat ostaneet Lenovo läppärinsä ennen tammikuuta. Näistä Lenovo on omien sanojensa mukaan poistanut Superfishin, tosin vain mikäli käyttäjä ei ole poistanut Lenovon automaattista sovelluspäivitysohjelmaa järjestelmästä.

Ohjelman pystyy myös Lenovon ohjeiden mukaan poistamaan Windowsin Ohjelmat ja toiminnot -sovelluksen avulla itse.

Mikäli ohjelmaa ei poista tai sitä ei ole automaattisesti jostain syystä poistettu, on Lenovo joka tapauksessa estänyt ohjelman kommunikoinnin palvelimensa kanssa.

Tässä välissä on hyvä muistuttaa myös siitä että Superfish palvelu on kuitenkin edelleen aktiivinen Windowsissa ja syö laitteen resursseja vaikka se ei toimikaan enää, palvelun voi poistaa vain poistamalla ohjelman.

Lenovolta halutaan myös painottaa sitä että Superfishiä ei ole asennettu ammattilaislaitteisiin vaan kyse on pelkästään kuluttajille suunnatuista laitteista.

Superfishin käsin poistaminen ei takaa tietoturvan palautumista:

Vaikka käyttäjä voikin poistaa ohjelman koneesta itse, ei se takaa sitä etteikö siitä olisi jäänyt väärennettyjä varmenteita tai muita haitakkeita järjestelmään.

Tässä vaiheessa on siis parempi asentaa Windows näihin tietokoneisiin kokonaan uudelleen, mutta olla käyttämättä Lenovon omaa palautustoimintoa, tai Windowsista löytyvää palautusta sillä näissä kaikissa on oletuksena myös Superfish.

Käyttöjärjestelmän palautus on parempi tehdä puhtaalta Windows asennuslevyltä.

Superfish ei ole virus, eli se ei ole saastuttanut käyttäjän tiedostoja, ne on turvallista edelleen varmuuskopioida ja palauttaa.

Ei vain Lenovon koneissa?

Vaikuttaa myös siltä että Superfish olisi asennettuna myös muiden tietokonevalmistajien, kuten Dellin, Acerin, Toshiban sekä  HP:n tietokoneisiin, näin ainakin väittää Should I remove It -sivusto. Sivuston paikkaansa pitävyydestä ei silti ole takeita mutta näidenkin laitteiden omistajien olisi syytä tarkistaa löytyykö kyseisestä haitakkeesta viitteitä.

LÄHDE: SCm