Analytikere: Lenovo-PCer sendt med sikkerhetssvakende programvare

OPPDATERT klokka 11:58 med PT med kommentar fra Lenovo.

Noen Lenovo bærbare datamaskiner har levert med programvare som sikkerhetsanalytikere sier kan gjøre brukerne utsatt for angrep.

Superfish er såkalt adware - programvare som genererer annonser på en brukers skjerm. Det er designet for å identifisere produkter som brukere leter etter på nettet, og deretter trykke på annonser for disse elementene. Men sikkerhetseksperter sier at det gjør det, delvis, ved å bryte krypteringen som brukes til å skjule data når brukere besøker tilsynelatende sikre nettsteder.

Den britiske sikkerhetsforskeren Graham Cluley sier at det i virkeligheten utgjør et "man-i-midten" hack, og avlyser hva som skal være sikker kommunikasjon, "så alle kan vise noen irriterende annonser."

"Du satser på det er dårlig," skrev Cluley i et blogginnlegg. "Hvis du har Superfish på datamaskinen, kan du virkelig ikke stole på sikre forbindelser til nettsteder lenger."

Lenovo sier Superfish deaktivert

Det var uklart torsdag hvilke modeller av Lenovo-datamaskiner som kan bli påvirket. Selskapet sa "noen forbruker notebook-produkter" sendt mellom september og desember hadde Superfish installert.

Lenovo sa at det fjernet Superfish fra nye datamaskiner i januar, at det ikke vil bli inkludert på noen nye datamaskiner, og at Superfish har deaktivert programvaren, slik at den ikke lenger løper selv når den er installert.

Likevel fastholder selskapet at Superfish ikke utgjør den trusselen som noen sier det gjør.

"Vi har grundig undersøkt denne teknologien og finner ikke noe bevis for å underbygge sikkerhetsproblemer," sa Lenovo torsdag i en uttalelse. "Men vi vet at brukerne reagerte på dette problemet med bekymring, og så har vi tatt direkte tiltak for å slutte å sende produkter med denne programvaren.

"Vi vil fortsette å gjennomgå hva vi gjør og hvordan vi gjør det for å sikre at vi først legger våre brukerbehov, erfaring og prioriteringer inn."

Noen datamaskiner har klart gjort det til butikker med aktive versjoner av programvaren.

ArsTechnica rapporterte torsdag at en sikkerhetsforsker kjøpte en Lenovo Yoga 2 Pro for $ 600 i en San Francisco-området Best Buy og "raskt bekreftet" at Superfish hadde blitt installert.

Cluley skriver det, fordi Superfish erstatter sikkerhetssertifikatet for nettsteder med en av sine egne. det ville være "lett for en annen fiendtlig skuespiller å utnytte dette og videre kompromittere brukerens tilkoblinger."

Bli kvitt programvaren

Å fjerne programvaren helt fra en allerede kjøpt datamaskin ser ut til å være et vanskelig forslag. I tillegg til å avinstallere programvaren, sier Cluley at brukerne må fjerne det som kalles "root certificate" for det.

Microsoft, hvis Windows-operativsystem kjører på Lenovos datamaskiner, har utgitt en trinnvis veiledning om hvordan du gjør det. Den har også opprettet en liste over de klarerte rotcertifikatene i ulike versjoner av Windows, slik at brukerne kan se om noe annet er lagt til uten deres kunnskap.

Den enkleste tilnærmingen, men drastisk, er å tørke datamaskinens harddisk og installere en ny versjon av Windows eller et annet operativsystem.

"Det er en brutal respons, men det er nok den eneste du kan stole på akkurat nå," skrev Cluly. "Det tok sikkerhetssamfunnet i løpet av seks måneder for å legge merke til hva Lenovo gjorde på sine PCer, hvem vet om det gjør noe annet litt dumtisk også."

Bilde via iStock