Superfish-mainosohjelma osassa Lenovon tietokoneita
Janne Kauhanen
Lenovo on jäänyt kiinni housut kintuissa siitä, että heidän tuotteisiinsa esiasennetussa käyttöjärjestelmässä on ollut Superfish-niminen mainosohjelma, joka toimii välityspalvelimena ja kaappaa kaikki selainyhteydet, siis myös https-osoitteisiin tehdyt suojatut yhteydet.
Tapaus tuli ilmi torstaina 19.2. ja koskee useita Lenovon malleja. Mainosohjelmaa on asennettu Lenovon useisiin malleihin kesäkuusta 2014 lähtien.
Kyseinen sovellus toteuttaa siis niin sanotun man-in-the-middle -hyökkäyksen ("Mies välissä", MiTM) käyttäjän selainta vastaan ja kyseistä hyökkäystä hyödyntäen syöttää käyttäjälle ylimääräisiä mainoksia. Hyökkäys tapahtuu siten, että Superfish asentaa oman juurivarmenteensa (root CA) Windowsin luotettujen varmenteiden säilöön, jolloin selain luottaa kaikkiin sillä allekirjoitettuihin varmenteisiin. Tämän jälkeen kaikki selaimelta lähtevät HTTPS-yhteydet kaapataan siten, että kyseiset yhteydet (tai tarkalleen palvelinten sertifikaatit) ovat tämän sertifikaatin allekirjoittamia. Tällöin selain ei varoita käyttäjää virheellisestä sertifikaatista.
Erityisen vaaralliseksi tämän tapauksen tekee se, että mainosohjelman lisäksi muukin maailma pystyy nyt tekemään tämän hyökkäyksen kyseisiä Lenovon koneita vastaan, hyödyntämällä mainosohjelmasta kaivettua X.509-sertifikaattia ja avainta. Tämä toki vaatii hyökkääjältä myös oikeaa sijaintia verkossa, mutta esimerkiksi julkisissa WLAN-verkoissa (nettikahvilat, yms.) tämä on hyvin helppoa. Lenovo ja Superfish ovat siis saattaneet asiakkaansa vaaraan ja nyt hyökkääjillä on mahdollisuus tehdä kyseinen hyökkäys vaikkapa verkkopankkiyhteyksiä vastaan.
Haitakkeen poistaminen
Ensimmäisenä käyttäjän pitää poistaa koneelle asennettu VisualDiscovery-nimeä kantava mainostusohjelma, mutta tämän lisäksi käyttäjän pitää poistaa "Superfish, Inc." CA-sertifikaatti luotettujen sertifikaattien säilöstä. Tämä tapahtuu Windowsissa Ohjauspaneelin kautta:
Control panel -> Network and Sharing Center -> Internet Options -> Content -> Certificates -> Trusted Root Certification Authorities
Tarkempia tietoja juurivarmenteiden poistoon löytyy Microsoftilta: How to Remove a Root Certificate from the Trusted Root Store.