Voor enkele maanden werden veel notebooks van consumenten geleverd met de adware Superfish Visual Discovery. Het toont niet alleen ongewenste advertenties op websites, maar opent ook een gevaarlijk veiligheidsgat.
Veel PC-fabrikanten leveren hun apparaten met testversies van software om wat geld van de fabrikanten los te krijgen en zo de krappe marges op de apparaten te compenseren. Lenovo is een beslissende stap verder gegaan met een hele serie notebooks voor consumenten: Gedurende enkele maanden tot begin januari was software met de naam Superfish Visual Discovery vooraf geïnstalleerd. Een lijst van de getroffen Lenovo-computers is hier te vinden.
Adware met beveiligingslek
De Superfish-software onderzoekt afbeeldingen die op websites worden weergegeven en voegt bijpassende advertenties in. Dit alleen al categoriseert de software als adware en moet worden bekritiseerd. Maar veel erger is dat de software de beveiliging van HTTPS-verbindingen ondermijnt. Om HTTPS-gecodeerde websites te kunnen wijzigen, installeert de software zijn eigen root-certificaat in de systeembrede certificaatopslag van Windows, die wordt gebruikt door Internet Explorer en Google Chrome. Firefox, dat met zijn eigen certificaatinfrastructuur werkt, wordt ook getroffen, omdat Superfish ook hier een certificaat installeert. Superfish heeft de code voor het onderscheppen van SSL-verbindingen niet zelf geschreven, maar gekocht van de Israëlische softwarefabrikant Komodia. Deze code opent de deur voor zogenaamde man-in-the-middle aanvallen: Zoals beveiligingsexpert Filippo Valsorda heeft ontdekt, vervangt de Komodia-code in Superfish ook ongeldige certificaten door zijn eigen certificaten, die door de browser als geldig worden herkend. Hierdoor kunnen aanvallers valse HTTPS-websites maken die door browsers op Lenovo-machines niet als nep worden herkend.
Lenovo biedt ondertussen een tool en instructies voor handmatige verwijdering van de Superfish-software en het certificaat. Ze zijn hier te vinden.
Lenovo CTO Peter Hortensius heeft inmiddels een officiële verontschuldiging aangeboden voor het Superfish-incident en hoopt dat Lenovo het verloren vertrouwen van zijn klanten kan terugwinnen. Volgens Hortensius hebben Microsoft, McAfee en Symantec sindsdien hun anti-malwareprogramma’s voorzien van een update die de Superfish-software verwijdert. Alle Lenovo-notebooks met deze anti-malwareprogramma’s zijn dus automatisch beschermd en Superfish wordt ook verwijderd als het besturingssysteem van de computer in de toekomst opnieuw wordt geïnstalleerd vanaf de herstelpartitie.
Niet alleen Superfish getroffen
Het probleem met onveilige HTTPS-verbindingen treft niet alleen Lenovo met Superfish, maar waarschijnlijk ook sommige softwareleveranciers. Dit komt omdat een hele reeks programma’s de gebrekkige Komodia-technologie bevatten. Daaronder is het anti-adware programma Ad-Aware Web Companion van Lavasoft. Een lijst van getroffen software is te vinden op US-CERT.