Lenovo was paid money to install malware by a company that couldn't pay a developer who knew what they were doing.
— InfoSec Taylor Swift (@SwiftOnSecurity) February 19, 2015
Lenovo se ovšem tvářilo, že vám doplněk měl pomoci, místo aby se dotázalo, zda si něco takového v počítači přejete, nebo na přítomnost adwaru aspoň zdaleka upozorňovalo. Manipulace s obsahem stránky, na níž Lenovo vydělává, je v přímém rozporu s etickým kodexem. Situace trvá minimálně od poloviny roku 2014.
Software se při prvním použití aspoň zeptá, jestli souhlasíte s podmínkami použití. Když ne, vypne se. Lze předpokládat, že většina lidí aktivaci normálně povolí. Jak se taková situace může ještě rapidně zhoršit? V přídavném softwaru bylo nalezeno slabé místo v zabezpečení. Superfish do počítačů instaloval certifikát, který adwaru dával možnost sledovat šifrovanou komunikaci.
To je samo o sobě špatně. Pod vlivem se nachází Chrome a IE, zatímco do Firefoxu certifikát nepropašujete. S každou hodinou od odhalení přítomnosti malwaru se nepovedená historka protahuje o ještě méně povedené části. Bezpečnostní výzkumníci si proklepli přidaný certifikát a potvrdili, že případné napadení počítače skrze něj není utopie.
Po prolomení hesla certifikátu, které bylo poměrně jednoduché, byl člověk z Errata Security schopný zanedlouho zachytit šifrovanou komunikaci z počítačů se Superfish. Sedl si do kavárny s veřejnou Wi-Fi a majitelé počítačů Lenovo byli okamžitě v ohrožení. Kterákoli třetí strana potenciálně mohla sledovat vaši komunikaci.
Pánové z Lenova se ze skandálu budou nejspíš vzpamatovávat ještě dlouho. Jak se adwaru zbavíte? Napoví toto video. Potíže vyřeší rovněž zformátování úložiště a čistá instalace systému. Lenovo tvrdí, že od ledna už software na nové počítače neinstaluje a už nikdy nebude. Na stávajících strojích software na dálku vypnulo.
This is a problem. #superfish pic.twitter.com/jKDfSo99ZR
— Kenn White (@kennwhite) February 19, 2015