Adware kauza Superfish: vysvětlení a řešení (aktualizováno)
Lenovo se dnes dostalo do přestřelky především na sociálních sítích, blozích a technologických magazínech kvůli kauze „Superfish“ – software, který předinstalovávalo na některá Idea zařízení a který je klasifikován jako adware.
Aktualizace: Oficiální postup a seznam postižených zařízení
Lenovo dnes (20. 2. 2015) vydalo oficiální postup na odstranění software a certifikátu Superfish, který je však shodný s naším výše uvedeným. Naleznete jej zde. Zároveň Lenovo na webu podpory vydalo seznam potenciálně postižených zařízení, jedná se o tyto modely vyrobené mezi zářím 2014 a únorem 2015:
- E-Series:
- E10-30
- Flex-Series:
- Flex2 14, Flex2 15
- Flex2 14D, Flex2 15D
- Flex2 14 (BTM), Flex2 15 (BTM)
- Flex 10
- G-Series:
- G410
- G510
- G40-70, G40-30, G40-45
- G50-70, G50-30, G50-45
- M-Series:
- Miix2 – 8
- Miix2 – 10
- Miix2 – 11
- S-Series:
- S310
- S410
- S415; S415 Touch
- S20-30, S20-30 Touch
- S40-70
- U-Series:
- U330P
- U430P
- U330Touch
- U430Touch
- U540Touch
- Y-Series:
- Y430P
- Y40-70
- Y50-70
- Yoga-Series:
- Yoga2-11BTM
- Yoga2-11HSW
- Yoga2-13
- Yoga2Pro-13
- Z-Series:
- Z40-70
- Z40-75
- Z50-70
- Z50-75
Původní článek:
Součástí předinstalovaného software na některých zařízeních Lenovo řady Idea vyrobených mezi zářím a prosincem 2014 byla také aplikace Superfish Visual Discovery, která do výsledků vyhledávání (např. na Google) přidávala výsledky online nakupování spolu s obrázky, cenami a prodejci. Cíl této aplikace byl tedy jasný – nabízet vám nejlepší cenové nabídky pro hledaný produkt.
Software se však nesetkal s příliš pozitivní odezvou, byl rovněž charakterizován jako adware a celá situace vygradovala dnes, kdy byl tento software v „kauze Superfish“ označen za potenciálně nebezpečný. Ostatně informaci o něm najdete na sociálních sítích, blozích, ale také významných technologických magazínech, některé vlivné „kyberpostavy“ dokonce vybízí k tomu, aby kvůli této aféře uživatelé bojkotovali produkty Lenovo.
Proč tak silná reakce? Superfish si kromě aplikace jako takové do počítače nainstaluje také vlastní kořenový bezpečnostní certifikát (celkem logicky – potřebuje číst vyhledávané fráze, ke kterým by se za použití výchozího certifikátu nedostal), kterým je však následně šifrována další webová komunikace. Internet tak propadl strachu z toho, že by se citlivé informace odesílané skrze zabezpečené (HTTPS) spojení mohly dostat do nepravých rukou nebo že je snad dokonce Superfish sbírá. Druhé jmenované však Lenovo jasně vyvrátilo – Superfish rozhodně nesbírá žádné informace, nebuduje si žádnou formu vašeho online profilu, jakákoliv interakce je zcela anonymní a každé hledání je zcela samostatné.
Lenovo dnes zároveň vydalo prohlášení, ve kterém kromě výše uvedeného uvádí, že po negativní reakci na Superfish ze strany zákazníků okamžitě v lednu ukončilo veškerou činnost serverů Superfish, čímž byl tento software deaktivován.
Z dnešního prohlášení Lenovo: „Pro ujasnění, technologie Superfish je založená čistě na kontextu/obrázcích, nikoliv na chování. Neprofiluje ani nesleduje chování uživatele. Nezaznamenává žádná uživatelská data. Nezná identitu uživatele. Uživatelé nejsou sledováni ani na ně není zpětně cíleno. Každá relace je nezávislá. Uživatelé si mohou zvolit, zda budou produkt používat, nebo ne. Vztah se Superfish není pro Lenovo finančně významný, naším cílem bylo zlepšit uživatelskou zkušenost. Chápeme, že tento software nesplnil svůj účel, proto jsme jednali rychle a rozhodně.“
Zásadním problémem však je, že se vzhledem k dnešní popularitě tématu „Lenovo a Superfish“ podařilo certifikát Superfish prolomit (snadnou slovníkovou metodou v řádu několika vteřin), a tak se tento certifikát stal velice nebezpečným. Máte-li Superfish (resp. hlavně jeho certifikát) v počítači, existuje významné potenciální nebezpečí, že může útočník dešifrovat a číst vaši zabezpečenou komunikaci po internetu (třeba internetové bankovnictví, e-mail či nákupy). Doporučuje se proto certifikát spolu s aplikací okamžitě odinstalovat!
Komentář autora
Myslím si, že kauza Superfish není nic jiného než nafouknutá bublina a na unáhlená, dětinská prohlášení technologických celebrit sociálních sítí o bojkotu Lenova mám názor jasný. Sám nemám rád bloatware případně jiný předinstalovaný software, který nechci využívat (nicméně od toho je ve Windows funkce odinstalovat aplikaci). A chápu, že problém a narušení bezpečnosti, které Superfish přináší, je vážné. Ale přijde mi nefér útočit kvůli ojedinělému problému na Lenovo tak ostře. Je mi jasné, že předinstalovat Superfish bylo pouze manažerské rozhodnutí bez dostatečného vhledu do problematiky (a umím si představit, že nikdo nepředpokládal narušení uživatelského soukromí či snad snížení zabezpečení) – navíc se určitě jevilo pro všechny strany výhodně. Jen se minulo účinkem, Lenovo chybu uznalo a problém řešilo a řeší.
Jak se Superfish zbavit?
Jak jsem zmínil výše, máte-li Superfish nainstalovaný, je více než vhodné se jej zbavit. Nicméně nestačí pouze odinstalovat aplikaci, protože uživatelská data, ale především a hlavně závadný certifikát tím neodstraníte.
1. Odstranění software Superfish
Odstranit software Superfish Visual Discovery je naprosto snadné – vyhledejte jej klasicky ve správci nainstalovaných aplikací (Ovládací panely\Programy\Programy a funkce) a odinstalujte jej. Stejně jako jakýkoliv jiný software.
2. Odstranění certifikátu
Odstranit závadný certifikát je maličko složitější, ale opět se nejedná o nic, co byste nezvládli:
- Otevřete správce certifikátů v místním počítači. Nejrychlejším způsobem je spuštění certlm.msc, případně lze vyhledat v Ovládacích panelech výraz „certifikát“.
- Ve správci certifikátů přejděte do sekce „Důvěryhodné kořenové certifikační autority“ a v ní do „Certifikáty“.
- Zde vyhledejte certifikát od vydavatele Superfish, Inc. se stejným názvem a smažte jej.
- Restartujte počítač.
Pokud jste certifikát odstranili správně, tato internetová stránka by měla zobrazit chybu certifikátu. Nezobrazí-li ji, máte buď certifikát Superfish stále nainstalovaný, případně máte velmi benevolentní nastavení zabezpečení internetu a doporučuji jej rozhodně zvýšit.
Odpovědět
„Superfish rozhodně nesbírá žádné informace, nebuduje si žádnou formu vašeho online profilu, jakákoliv interakce je zcela anonymní a každé hledání je zcela samostatné“
Tomu lze velmi tezko verit, kdyz je ve hre Google. Pro nej jsou prave takove informace hlavnim (spise jedinym) zdrojem prijmu. Ostatne predinstalovany Google Chrome … Nemluve o moznem zneuziti informaci napriklad u internetoveho bankovnictvi a dalsich citlivych aplikaci. Zneuzitim nemyslim jen zamerne zneuziti, ale to ze uvedeny technologicky postup muze zneuziti utocnikum zbytecne usnadnit.
Ta kauza ukazuje myslim daleko horsi vec, ze to ruzne predinstalovane smeti nikdo moc ve skutecnosti nekontroluje. Ta technika s lokalnim certifikatem se sice pouziva napriklad pri ladeni sifrovane komunikace, ale predinstalovat toto beznemu uzivateli (bez varovani, pokud tomu rozumim, bylo to nainstalovano hned po prvnim zapnuti) ktery nic takoveho nepotrebuje je opravdu podraz. Ocekaval bych, ze pro firmu co to tam dodala to po takovem skandalu znamena jeji konec.
Jakou má Superfish souvislost s Google? Superfish pouze přečte vyhledávanou frázi a vrátí výsledky, to je vše.
Lenovo na řešení problému (kompletní odstranění aplikace i certifikátu) pracuje a udělalo pro to za pouhých 24 hodin opravdu hodně. Věřím, že nějaký odinstalátor bude k dispozici.
Nekde se psalo (mozna nespravne) ze to pouziva Google k dohledavani tech dalsich nabidek. Ono je spornych informaci vice, nekde se tvrdi ze to tam neni predinstalovane automaticky, ale ze to musi uzivatel nejdrive potvrdit (nebo zamitnout).
Najdu tu nějaký notebook s Superfish (snad se podaří) a vyzkouším.
Právě jsem vyzkoušel na zcela novém Flex 2 15, Superfish tam předinstalovaný je, na žádnou aktivaci či potvrzení se neptá, certifikát je tam taky. Pokud ale vím, Google do toho zapojený není.
Což by ale určitě 50% těchto strojů nepomohlo- jenom málo z nich je kompatibilní s Lenovo System Update- část má jenom Lenovo updates (čistě ovladače) nebo pouze stažení aplikací z webu Lenova. Dále asi tak 90% uživatelů ten System update stejně nespouští- a samy se tyhle opravy nenainstalují. Naštěstí se tyhle stroje nevyskytují ve firemním prostředí (spíše sféra Think řady), takže je to sice nepěkné, ale na strojích to stejně nainstalované nejspíš zůstane (u obyčejných BFU). Btw. zrovna včera jsem jeden „Fish“ odstraňoval, ale certifikát tam vůbec nebyl nainstalovaný (takže nevím…).
Ten certifikat nebude videt v certifikatech pod prihlasenym uzivatelem v Control Panel – Internet Options – Content. Musi se pouzit ten pristup pres MMC.
Chápu, že na blogu placeném Lenovem je potřeba to zlehčit, ale podle mě je to fakt velký průšvih, který by se neměl podceňovat, ať už ho udělá kdokoli. Dneska používáme notebooky ke všemu možnému a tenhle adware umožňuje útočníkovi hodně usnadnit útok a získání informací z libovolného šifrovaného spojení. To abych se s ideapadem opravdu bál připojit v jakékoli síti, kam mají přístup i další lidé, které neznám. Já si to odstranit umim, ale většina lidí se bojí něco odinstalovat, aby něco špatnýho neprovedli…
Kromě toho nepochybuju, že ten software tam není proto, že by si někdo v lenovu říkal, jak je potřeba dát lidem nabídky na levnější nákupy, ale protože dostávají prachy od výrobce toho programu za každý notebook, kde to je nahrané.
Samozřejmě, že je to velký průšvih, rozhodně nic nezlehčuju, jen se na věc dívám z jiného úhlu něž jen z toho jednoduchého, vnějšího. Prostě ano, chyba se stala, holt v Lenovu někdo udělal hloupé rozhodnutí (ano, tento adware Lenovu přinese nějaký dolar, ačkoliv nic dramatického), jehož důsledky nedomyslel, rozhodně za tím nevidím žádnou konspiraci nebo cílené narušení uživatelské bezpečnosti, jako někteří jiní. Teď je na řadě problém vyřešit, o což se Lenovo za 48 hodin intenzivně snažilo a vzhledem k tomu, že už vydalo X prohlášení, postupů a seznam konkrétních zařízení, kterých se to týká, vydalo taky nástroj na odstranění Superfish.
V článku jsem narážel jen na trapné dětinské výlevy a sociálních sítí, které vybízí k tomu bojkotovat Lenovo, ještě vtipnější mi to přišlo od lidí (jako je Matt Cutts), kteří mají ThinkPady (zde tento software nikdy nebyl a nebude).
A ještě jeden detail: Lenovo není jediné. :-)
To já si upřímně taky nemyslim, že by to udělali schválně, aby mohli někoho sledovat. Podle mě šlo čistě o prachy a jen se nekontrolovala možná rizika (což považuju za velkou chybu). V novém počítači by bez vědomí uživatele určitě nemělo být něco, co jakkoli přesměrovává komunikaci.
Postara se o to pry Microsoft. Aktualizace Windows Defender to ted odstrani, vcetne certifikatu.
Nejen Microsoft – Lenovo o tom jednalo jak s MS, tak McAfee. Dále vydalo včera oficiální removal tool, který odstraní aplikaci, její data, certifikát i Mozilla certifikát.
Zrovna vybírám notebook pro manželku (mně je to jedno, já si tam dám čistý Linux) a tahle kauza způsobila, že všechny notebooky od Lenova mají u mě velké mínus. Nevíte, jak je náročné dát třeba na Yogu čisté Windows od MS bez bloatwaru od Lenova?
[…] jste slyšeli o kauze Lenovo a Superfish. Pokud ne, zde najdete detaily. V kostce šlo ale o to, že v období září 2014 až únor 2015 předinstalovávalo Lenovo do […]
[…] v únoru (asi v návaznosti na populární kauzu Superfish) odhalilo bezpečnostní díru v aplikaci Lenovo System Update pro automatickou aktualizaci […]