Af Torben B. Sørensen, 11/10/16
Artiklen blev oprindeligt publiceret den 19/2/2015
Lenovo har leveret bærbare pcer til privatmarkedet med software, der lægger annoncer ind på websider. Et sikkerhedshul gør det muligt at aflytte krypteret kommunikation.Programmet Superfish er adware: Et program, der finansieres ved at lægge annoncer ind på websider, når de vises i browseren.
Superfish kan både lægge annoncer ind på sider fra åbne websteder og på sider fra servere, der anvender kryptering. For at håndtere krypterede websider installerer programmet sit eget CA-certifikat (rodcertifikat). Derefter danner programmet nye certifikater til alle de servere, browseren besøger. De nye certifikater er signeret med Superfish-certifikatet.
Da rodcertifikatet er det samme for alle computere, vil det være muligt via et man-in-the-middle-angreb at opsnappe og dekode krypteret kommunikation. Det kan fx ske, hvis angriberen befinder sig på samme trådløse netværk som offeret.
Lenovo oplyser, at de foreløbig er holdt op med at installere Superfish på de laptops, de sælger.
Kommunikation via browsere som Internet Explorer og Chrome er ramt. Firefox har sit eget system til certifikater og er derfor ikke berørt.
Kun Lenovos laptops til forbrugermarkedet er berørt.
Anbefaling
Fjern Superfish. Fjern derefter det rodcertifikat, Superfish har installeret.