Чоловік проходить повз рекламу Lenovo у комп’ютерному центрі в Гонконзі 14 серпня 2014 року. Фото: Dale de la Rey/AFP/Getty Images
Китайський виробник ПК Lenovo заявив, що більше не встановлюватиме на свої пристрої рекламне ПЗ Superfish. Експерти з кібер-безпеки твердять, що воно робило користувачів уразливими для злому.
«Superfish повністю відключив звернення до серверної частини (із січня) на всіх продуктах Lenovo, тому цей продукт більше не активний, — повідомили представники Lenovo у заяві 19 лютого. — У січні компанія Lenovo припинила попередньо встановлювати це ПЗ. Ми більше не будемо попередньо завантажувати цю програму».
Наразі потерпілі користувачі пристроїв Lenovo можуть видалити цю уразливість лише вручну, і компанія Lenovo заявила, що працює над оновленням ПЗ, аби видалити діру в безпеці.
«Щойно програма буде зроблена, ми надамо інструмент, який повністю видалить цей додаток із ноутбуків користувачів», — пообіцяв в інтерв’ю (англ.) технічний директор Lenovo Пітер Гортензіус.
За словами експертів із кібер-безпеки, рекламне ПЗ Superfish оголює пристрої Lenovo для шпигунів, коли пристрої використовують у звичайній ситуації безпечні з’єднання, наприклад, ті, що використовуються для банкінгу. Фахівці називають рішення Lenovo встановити це рекламне ПЗ серйозним порушенням етики. Деякі з них навіть назвали Superfish «шкідливим ПЗ».
«Ми довіряємо нашим виробникам апаратного забезпечення створювати продукти, які відповідають вимогам безпеки. У нинішній ситуації все більшої кібер-злочинності, якщо ти не можеш довіряти виробнику обладнання, то ти у великій скруті, — написав у (англ.) 19 лютого Марк Роджерс, дослідник безпеки у CloudFlare. — Коли зловмисники здатні проникати у ланцюги постачань і встановлювати шкідливі програми, це згубно».
За словами Роджерса, Superfish робить користувачів уразливими до атак типу «людина-в-середині» (англ. Man-in-the-middle), навіть якщо вони використовують шифроване веб-підключення. Оскільки це ПЗ має необмежений довірений кореневий сертифікат, вразливість невидима для звичайних перевірок безпеки, кажуть експерти з безпеки.
«З їхнього [Lenovo] боку це неймовірно безграмотно і нерозважливо. Цілком можливо, що на моєму досвіді це найгірше з того, що виробник коли-небудь робив зі своєю клієнтурою», — пише Роджерс.
Lenovo заперечує, що Superfish становить загрозу безпеці, і заявляє, що видаляє це рекламне ПЗ через невдоволення користувачів.
«Ми ретельно дослідили цю технологію і не знайшли ніяких доказів, які підтвердили би побоювання щодо безпеки, — повідомляють у Lenovo. — Але нам відомо, що користувачі відреагували на це питання із занепокоєнням, і ми вжили прямі заходи щодо припинення поставок будь-яких продуктів із цим програмним забезпеченням».
«Зламано»
Роберт Грем із Errata Security 19 лютого продемонстрував у своєму блозі, як він (англ.) до сертифікату Superfish’у, що дозволило йому «перехопити шифрований зв’язок» тих, хто використовує ноутбуки Lenovo в одній і тій самій Wi-Fi-мережі, наприклад, у кафе. Пароль до цього сертифікату — це назва компанії, що продає ПЗ, яке перехоплює безпечні з’єднання, дозволяючи батькам шпигувати за своїми дітьми.
Lenovo відкинув ці побоювання як «теоретичні».
«Ми не намагаємося сперечатися із хлопцями, які спеціалізуються на безпеці. Вони мають справу з теоретичними побоюваннями, — сказав Гортензіус. — Ми не вважаємо, що сталося щось безчесне… згідно зі зворотнім зв’язком із користувачами, воно [рекламне ПЗ] було некорисним, і саме тому ми його відключили».
Це вже не вперше, коли китайський виробник апаратури потрапив під пильну увагу за проблеми, пов’язані із кібер-безпекою. Проведена Конгресом у 2012 році перевірка показала, що Huawei Technologies Inc і ZTE Inc, штаб-квартири яких у Китаї, становили ризик для національної безпеки США з огляду на те, що їхнє обладнання, швидше за все, містило «бекдори*», які могли би бути використані для шпигування за американцями.
*Бекдор (від англ. Back door — задні двері) — програма, що встановлюється хакерами на зламаному комп’ютері після отримання початкового доступу для того, щоб отримати повторний доступ до системи.
Велика частина результатів цієї перевірки не могла бути доведена, оскільки зазначені компанії в основному не йшли на співпрацю зі слідством, що проводилося Конгресом. Наприклад, жодна з компаній не пояснила ні те, яку роль відіграє всередині компанії відділ «Комітету китайської компартії», ні будь-чого про їхню внутрішню структуру менеджменту.
За інформацією компанії IDC, що спеціалізується на маркетингових дослідженнях, Lenovo є найбільшим у світі виробником персональних комп’ютерів, і його пристрої у жовтні 2014 року становили одну п’яту частину світового ринку.
Читайте також:
Китайські смартфони Xiaomi шпигують за користувачами?
На китайському смартфоні виявлено шпигунську програму
Китай засікли на шпигуванні за світовими перевезеннями товарів
Китайські смартфони Coolpad мають лазівку для шпигування