Lenovo, cel mai mare producator mondial de PC-uri, a dezactivat la presiunea publicului un software controversat care a fost gandit sa ajute userii la shopping, dovedindu-se insa ca lasa computerele vulnerabile in fata unor atacuri informatice. Lenovo spune ca soft-ul a fost instalat doar pe cateva modele de PC-uri, iar in ianuarie 2015 a incetat preinstalarea. Compania si-a cerut scuze si spune ca nu a avut intentii rele.

Este vorba de soft-ul Superfish care a fost preinstalat pe cateva dintre seriile de PC-uri Lenovo, fiind prezentat ca o unealta vizuala care sa ajute userii sa descopere produse noi cand fac online shopping.

Utilizatorii s-au plans inca din septembrie ca Superfish insereaza publicitate aditionala in paginile vizitate de user, fara ca acesta sa-si fi dat acordul pentru aceste bannere suplimentare. Nu este ceva iesit din comun ca producatorii sa puna pe dispozitive inca din fabricatie astfel de adware-uri, insa la Lenovo problema s-a dovedit a fi mai grava fiindca acest soft crea vulnerabilitati ce puteau fi exploatate de hackeri.

Mai multe companii de securitate au atras atentia ca Superfish emite propriul ceritifcat de securitate ce se substituie originalului si lasa "poarta" deschisa unui atac de tipul "man in the middle".

Practic, in aceste atacuri de tip "man in the middle", pe scurt MITM, hackerii fac conexiuni directe cu fiecare dintre tinte si tot ce comunica acele tinte intre ele este intermediat de hackerii care pot astfel sa vada toata comunicarea. In plus, hackerii pot interveni in comunicare pentru a induce interlocutorii in eroare.

In conditiile in care utilizatorii informati se feresc cu disperare de vulnerabilitati care sa le puna computerele in pericol, faptul ca un soft preinstalat aducea inca din start pericolul, a fost aspru criticat. Lenovo a raspuns initial mai vag, insa vineri a venit cu explicatii in care recunostea ca feedback-ul a fost negativ.

Compania a admis ca a identificat vulnerabilitati in soft-ul Superfish si a explicat ca a fost preinstalat pe anumite modele in intervalul septembrie-decembrie. Compania spune ca in urma plangerilor primite a incetat sa mai instaleze soft-ul in ianuarie si a inchis si conexiunile cu serverele care permiteau functionarea programului.

Lenovo si-a cerut scuze pentru neplaceri si a precizat ca utilizatorii aveau inca de la inceput posibilitatea de a alege daca vor, sau nu, sa foloseasca Superfish, iar daca nu doreau, era dezactivat.

Compania a livrat anul trecut 60 de milioane de PC-uri, avand o cota de 19%, ceea ce i-a permis sa ocupe locul intai in lume.

UPDATE Pe 21 februarie, Lenovo a remis HotNews.ro o declaratie de presa pe tema Superfish

Asa cum am anuntat si ieri, Lenovo examineaza fiecare actiune posibila pentru a raspunde preocuparilor utilizatorilor in ceea ce priveste Superfish. Astazi am luat doua masuri suplimentare:

1. In plus fata de instructiunile de eliminare manuala disponibile online in acest moment, am lansat un instrument automat pentru a ajuta utilizatorii sa elimine software-ul si certificatul. Acest instrument este disponibil aici: http://support.lenovo.com/us/en/product_security/superfish_uninstall

2. Lucram impreuna cu McAfee si Microsoft pentru a tine in carantina si pentru a elimina certificatul si software-ul Superfish, folosind instrumente si tehnologii de top. Aceste masuri au fost luate deja si vor stabili vulnerabilitatea in mod automat, chiar si pentru utilizatorii care nu si-au dat inca seama ca se confrunta cu aceasta problema.

Am decis incetarea pre-incarcarilor si oprirea conexiunilor serverelor in ianuarie, in urma sesizarilor consumatorilor cu privire la experienta de utilizare. Cu toate acestea, nu am stiut de aceasta potentiala vulnerabilitatea de securitate pana ieri. Acum ne concentram pe rezolvarea acestei situatii.

De atunci am actionat rapid si decisiv. Desi aceasta problema nu afecteaza in niciun fel produsele ThinkPad (tablete, desktop-uri sau smartphonuri) si niciun server sau dispozitiv de stocare destinat segmentului business, recunoastem ca toti consumatorii Lenovo trebuie sa fie informati. Ne cerem scuze daca am provocat motive de ingrijorare oricarui utilizator din orice motiv - invatam mereu din experienta si imbunatatim mereu ceea ce facem si felul in care o facem. Vom lua masuri in continuare pentru a ajuta clientii nostri sa elimine usor software-ul si certificatele vulnerabile, astfel incat acestia sa foloseasca in continuare produsele noastre cu increderea asteptata si meritata.￢

Cel mai recent update pentru Windows dezinstaleaza Superfish si deasemenea rezeteaza certificatele SSL.