Lenovon kannettaviin esiasennettu vaarallinen haittaohjelma

Lenovon kuluttajapuolelle suunnatuista kannettavista tietokoneista on löytynyt haittaohjelmaksi luokiteltava Superfish-yhtiön Virtual Discovery. Virtual Discovery -ohjelmaa asennettiin loka- ja joulukuun 2014 aikana tehtaalta lähetettyihin tietokoneisiin.

Ars Technican mukaan Superfishin Virtual Discovery lisää verkkosivustoille niiltä löytyvien kuvien perusteella omia mainoksiaan. Se käyttää itse allekirjoittamaansa HTTPS-sertifikaattia mahdollistaakseen myös salattujen yhteyksien analysoinnin ja mainoksien lisäämisen niihin.

Itse mainosten lisäämistä huolestuttavampaa on se, että HTTPS-sertifikaatti on ilmeisesti kaikkien Lenovon koneiden kohdalla identtinen ja se korvaa myös aitojen sivustojen sertifikaatteja. Käyttämällä sen avainta, hyökkääjät voisivat naamioida huijaussivustoja luotetulla HTTPS-sertifikaatilla varustetuiksi aidoiksi sivustoiksi. Yhdessä esimerkkitapauksessa Lenovon Yoga 2 Prota käyttänyt käyttäjä huomasi Bank of American -verkkosivujen sertifikaatin olevan Superfishin allekirjoittama VeriSignin sijasta. Toisessa esimerkissä puolestaan Nordean verkkopankkisivujen sertifikaatti näkyi Superfishin allekirjoittamana.

Lenovon antaman lausunnon mukaan Superfishin ohjelman esiasennus lopetettiin tammikuussa 2015. Yhtiöllä ei ole myöskään aikeita jatkaa sen asentamista tulevaisuudessa. Lenovon mukaan Virtual Discoveryn esiasentaminen ei luo turvallisuusongelmia huolimatta Ars Technican osoittamista vaaroista. Superfishin Virtual Discoveryn poistaminen ei ole yksinään riittävä toimenpide tietokoneen puhdistamiseksi ja turvaamiseksi sen sertifikaatin hyväksikäytöltä, vaan sertifikaatti on manuaalisesti poistettava Windows:n sertifikaattilistasta. Lenovon tietokoneita käyttävät, ja mikseivät muutkin, voivat tarkistaa onko heidän koneellaan Superfishin sertifikaattia Filippo.io-sivuston Badfish-testillä.

Ars Technica, Lenovo PC’s ship with man-in-the-middle adware that breaks HTTPS connections