Analisten: Lenovo-pc's verzonden met software die de veiligheid verzwakt

UPDATE om 11:58 a.m. PT met commentaar van Lenovo.

Sommige Lenovo-laptops zijn geleverd met software waarvan beveiligingsanalisten zeggen dat ze gebruikers kwetsbaar kunnen maken voor aanvallen.

Superfish is zogenaamde adware - software die advertenties genereert op het scherm van een gebruiker. Het is ontworpen om producten te identificeren waarnaar gebruikers op internet zoeken en vervolgens advertenties voor die items te pushen. Maar beveiligingsdeskundigen zeggen dat dit gedeeltelijk gebeurt door de codering te verbreken die wordt gebruikt om gegevens te verbergen wanneer gebruikers zogenaamd veilige websites bezoeken.

De Britse veiligheidsonderzoeker Graham Cluley zegt dat dit feitelijk neerkomt op een "man-in-the-middle" -hack, waarbij wordt onderschept wat veilige communicatie zou moeten zijn, "allemaal zodat ze een aantal irritante advertenties kunnen weergeven."

"Je gok dat het slecht is," schreef Cluley in een blogpost. "Als je Superfish op je computer hebt, kun je echt geen veilige verbindingen meer vertrouwen met sites."

Lenovo zegt dat Superfish uitgeschakeld is

Het was onduidelijke donderdag welke modellen van Lenovo-computers mogelijk worden beïnvloed. Het bedrijf zei dat "sommige notebookproducten voor de consument" tussen september en december zijn verscheept als Superfish is geïnstalleerd.

Lenovo zei dat het Superfish in januari uit nieuwe computers heeft verwijderd, dat het niet zal worden opgenomen op nieuwe computers en dat Superfish de software heeft uitgeschakeld, dus het zal niet meer worden uitgevoerd, zelfs wanneer het is geïnstalleerd.

Niettemin beweert het bedrijf dat Superfish niet de bedreiging vormt waarvan sommigen beweren dat het dat wel doet.

"We hebben deze technologie grondig onderzocht en vinden geen enkel bewijs om beveiligingsproblemen te onderbouwen", zei Lenovo in een verklaring. "Maar we weten dat gebruikers met zorg op dit probleem hebben gereageerd en daarom hebben we directe actie ondernomen om te stoppen met het verzenden van producten met deze software.

"We zullen blijven beoordelen wat we doen en hoe we het doen om ervoor te zorgen dat we eerst de behoeften, ervaring en prioriteiten van onze gebruikers stellen."

Sommige computers hebben het duidelijk tot winkels gemaakt met actieve versies van de software.

ArsTechnica meldde donderdag dat een beveiligingsonderzoeker een Lenovo Yoga 2 Pro kocht voor $ 600 in een Best Buy-buurt in San Francisco en "snel bevestigde" dat Superfish was geïnstalleerd.

Cluley schrijft dat, omdat Superfish het beveiligingscertificaat van websites vervangt door een eigen exemplaar. het zou "gemakkelijk zijn voor een andere vijandige acteur om hiervan gebruik te maken en de connecties van de gebruiker verder in gevaar te brengen".

De software verwijderen

Het volledig verwijderen van de software van een reeds gekochte computer lijkt een lastig voorstel. Naast het verwijderen van de software, zegt Cluley dat gebruikers het zogenaamde root-certificaat moeten verwijderen.

Microsoft, wiens Windows-besturingssysteem op Lenovo's computers draait, heeft een stap-voor-stap handleiding gepubliceerd over hoe dat te doen. Het heeft ook een lijst met vertrouwde basiscertificaten in verschillende versies van Windows gemaakt, zodat gebruikers kunnen zien of er iets anders is toegevoegd zonder hun medeweten.

De eenvoudigste benadering is, hoewel drastisch, het wissen van de harde schijf van een computer en het installeren van een nieuwe versie van Windows of een ander besturingssysteem.

"Het is een brute reactie, maar het is waarschijnlijk de enige die je nu volledig kunt vertrouwen," schreef Cluly. "Het duurde zes maanden voordat de beveiligingsgemeenschap opmerkte wat Lenovo aan het doen was op zijn pc's, wie weet of het iets anders ook een beetje dodgy doet."

Afbeelding via iStock