Pesquisadores: Lenovo navio laptops com adware que redireciona conexões HTTPS

Lenovo foi ridicularizado por uma série de especialistas em segurança para o transporte de software nos seus dispositivos Windows de consumo que não só injeta publicidade em resultados de pesquisas, mas também tem a capacidade de interceptar e roubar SSL / TLS para sites, graças à instalação de um autoridade de certificação auto-assinatura, em máquinas afetadas.

Inovação;? Mercado M2M salta para trás no Brasil; Segurança; prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t EUA; Segurança; WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas; Segurança; Casa Branca nomeia primeiro Chefe Federal Information Security Officer

Um certificado Superfish afirmando ser Bank of America (Chris Palmer)

A questão permaneceu latente desde Mark Hopkins, a Lenovo gerente do programa de mídia social, confirmou em janeiro que a empresa foi a instalação do software Descoberta Visual Superfish em alguns de seus produtos, a fim de veicular anúncios.

“Devido a alguns problemas (comportamento pop-up do navegador, por exemplo) com o navegador Visual Descoberta Superfish add-on, removemos temporariamente Superfish de nossos sistemas de consumo até ao momento em que Superfish é capaz de fornecer uma compilação de software que aborda estas questões . Quanto a unidades já no mercado, que solicitaram que Superfish auto-update uma correção que aborda estas questões “, escreveu Hopkins em um fórum Lenovo.

A má notícia é que a Lenovo já colocou Superfish em seus laptops de consumo. A boa notícia é que não é tão difícil de se livrar dele.

Para ser claro, Superfish vem com apenas produtos de consumo da Lenovo, e é uma tecnologia que ajuda os usuários a encontrar e descobrir produtos visualmente. A tecnologia analisa instantaneamente imagens na web e apresenta ofertas de produtos idênticos e semelhantes que podem ter preços mais baixos, ajudando os usuários procuram por imagens sem saber exatamente o que um item é chamado ou como descrevê-lo em um motor de busca típica baseada em texto.

Hopkins disse que o software não monitorar o comportamento do usuário, com cada sessão de ser independente.

“Ao usar Superfish, pela primeira vez, o usuário é apresentado o Termo de Usuário e Política de Privacidade, e tem a opção de não aceitar estes termos, ou seja, Superfish é então desativado”, disse Hopkins.

No entanto, outro usuário em fóruns da Lenovo descobriu que Superfish estava instalando sua própria autoridade de certificação de raiz auto-assinado, permitindo que o software Superfish para conduzir um ataque man-in-the-middle (MITM) e exibir o conteúdo de todas as conexões que devem ser criptografados .

Um engenheiro de segurança do Google, Chris Palmer, confirmou no Twitter que Superfish foi interceptando as conexões SSL / TLS e injetando seus próprios certificados auto-assinados para todos os sites em um laptop Yoga 2, inclusive para o Bank of America.

A instalação de Superfish para novos laptops Lenovo tem visto um número de clientes reclamam que o software estava interferindo com outros certificados digitais, bem como leitores de cartões inteligentes.

Potencialmente mais prejudicial de tudo, Palmer confirmou com um outro usuário afetado que os certificados utilizados compartilham a mesma chave, o que deixa qualquer usuário Lenovo impactado vulnerável a um ataque de alguém capaz de extrair a chave privada do certificado, com o usuário deixou sem qualquer aviso ou aviso de tal ataque.

O único remédio para a remoção de Superfish parece ser reinstalar o Windows a partir de uma imagem não-Lenovo, ou mover para outro sistema operacional – a desinstalação do software Superfish supostamente pode deixar a autoridade de certificação raiz para trás.

Lenovo foi abordado para comentar o assunto, mas não tinham respondido no momento da escrita.

? Mercado M2M salta para trás no Brasil

prisões do FBI supostos membros de Crackas com atitude para cortar funcionários gov’t dos EUA

WordPress pede que os usuários para atualizar agora para corrigir falhas de segurança críticas

Casa Branca nomeia primeiro Chief Information Security Officer Federal