Het probleem van adware op Lenovo-laptops is niet nieuw, aangezien het sinds vorig jaar voor verbittering zorgt bij gebruikers. Nu is er echter nieuwe informatie over dit onderwerp naar voren gekomen. Het blijkt dat de Superfish-applicatie, die we op nieuwe computers zullen vinden, niet alleen internetbrowsers introduceert …
Het probleem van adware op Lenovo-laptops is niet nieuw, aangezien het sinds vorig jaar voor verbittering zorgt bij gebruikers. Nu is er echter nieuwe informatie over dit onderwerp naar voren gekomen. Het blijkt dat de Superfish-applicatie, die we op nieuwe computers zullen vinden, niet alleen zijn eigen advertenties in webbrowsers pusht, maar ook luistert naar gebruikersverbindingen.
Superfish is een applicatie die advertenties injecteert op de websites die door gebruikers worden bezocht. Lenovo installeert het blijkbaar vooraf op zijn computers als onderdeel van een deal met ontwikkelaars, waaruit het enige winst plukt. Het bedrijf benadrukt dat deze oplossing gebruikers voordelen biedt door producten aan te bevelen waarin ze, hypothetisch gezien, geïnteresseerd zouden kunnen zijn. In theorie kan elke gebruiker ook beslissen of hij wil dat het programma werkt, want als hij het voor de eerste keer opstart, krijgt hij een bericht met informatie over de licentievoorwaarden die hij moet accepteren.
In de praktijk is het probleem echter veel ernstiger, omdat Superfish blijkt te werken als een spyware man-in-the-middle. Daarom wordt op computers een extra SSL-certificaat geïnstalleerd, dat netwerkverkeer omleidt naar proxyservers en zo toegang krijgt tot alle verzonden informatie. In een notendop, Superfish biedt een extra server waar alle HTTPS-gecodeerde verbindingen doorheen gaan.
Dit is niet het einde, want het certificaat wordt niet voor elke computer afzonderlijk gegenereerd. Het is een universele oplossing gebaseerd op een verborgen sleutel ergens in de broncode van de applicatie. Als u het eruit haalt, kunt u uw eigen certificaten maken en naar Lenovo-computergebruikers luisteren. En alsof dat nog niet genoeg was, kan het certificaat niet eenvoudig van het systeem worden verwijderd door Superfish te verwijderen. Het is noodzakelijk om extra trucs te gebruiken om alle componenten van het programma te verwijderen.
Interessant is dat het probleem niet van toepassing is op Firefox, dat zijn eigen SSL-certificaten gebruikt en niet die van het systeem. Superfish heeft er dus geen toegang toe en kan dus niets injecteren. Gelukkig is het probleem al gedetecteerd, want antivirusprogramma’s detecteren Superfish. Het is te verwachten dat na verloop van tijd uw certificaten ook worden geblokkeerd door alle browserleveranciers. Lenovo heeft zelf al aangekondigd dat Superfish op nieuwe computers crasht en dat de huidige eigenaren binnenkort een update ontvangen die het probleem verhelpt.
Het hele verhaal is gemakkelijk terug te voeren op het besluit van de Britse inlichtingendienst om volledig af te zien van het gebruik van Lenovo-hardware op deze meest gevoelige en prioritaire netwerken. De reden zou beveiligingsproblemen zijn. Geval? Ik denk niet.
Bijwerken
Lenovo heeft een verklaring opgesteld over de hele zaak. We nemen ze hieronder op:
Superfish-technologie werd eerder geïnstalleerd in sommige consumentennotebooks die van september tot december op korte termijn werden verkocht om klanten te helpen potentieel interessante producten te ontdekken terwijl ze winkelen. De feedback van klanten over deze software was echter niet positief, dus we reageerden snel en resoluut:
1) Superfish-interactie aan de serverzijde is volledig uitgeschakeld (sinds januari) op alle Lenovo-producten. Daarom is deze software niet langer actief. Zo is Superfish gedeactiveerd in alle producten op de markt.
2) Lenovo is in januari gestopt met het installeren van deze software vanuit de fabriek.
3) We zullen deze software in de toekomst niet meer installeren.
We hebben de technologie zorgvuldig onderzocht en hebben geen bewijs gevonden dat de bezorgdheid over de beveiliging ondersteunt. We weten echter dat gebruikers hierover hun bezorgdheid hebben geuit, dus hebben we resoluut actie ondernomen en zijn we gestopt met het verkopen van producten met deze software. We zullen ons blijven laten leiden door de behoeften, meningen en prioriteiten van onze klanten, en ons daaraan ondergeschikt blijven maken en ons handelen adequaat controleren.
We willen benadrukken dat de werking van de Superfish-technologie uitsluitend gebaseerd is op context en afbeeldingen, niet op gebruikersgedrag. Deze technologie controleert de gebruikersactiviteit niet. Het registreert geen gebruikersinformatie. Het heeft geen informatie over wie de gebruiker is. Gebruikers worden niet gecontroleerd en advertenties op basis van hun eerdere gedrag worden niet weergegeven. Elke sessie staat los van de vorige. Gebruikers kunnen kiezen of ze dit product willen gebruiken. Onze associatie met Superfish is financieel niet significant; we hebben ernaar gestreefd gebruikers het best mogelijke aanbod te bieden. We zijn van mening dat deze software dit doel niet heeft bereikt, dus hebben we snel en daadkrachtig gereageerd.
We bieden hulp aan alle geïnteresseerde gebruikers in onze forums. We streven ernaar om de technologieën te vinden die onze klanten het beste van dienst zijn. In dit geval reageren we snel op negatieve feedback en nemen we resoluut actie. Gedetailleerde informatie voor extra gebruikers is te vinden op http://forums.lenovo.com.
