Lenovo YOGA Pro 2 er blant produktene som har blitt levert med Superfish Visual Discovery. (Bilde: Lenovo)

Superfish-sertifikatet knekket

Kan brukes til å signere falske nettsteder og programvare.

Det har skjedd en betydelig utvikling i saken om adware-produktet Superfish Visual Discovery som har fulgt med en del pc-er fra Lenovo som har blitt solgt i forbrukermarkedet i perioden fra september i fjor til og muligens helt til nå i februar.

Les også: Lenovo leverte mange pc-er med alvorlig skadevare 

Knekket

Det kanskje viktigste er at sikkerhetsspesialisten Robert Graham i går kunne fortelle at han hadde greid å knekke passordet rotsertifikatet som Superfish Visual Discovery installerer i Windows. I et blogginnlegg forteller han i detalj hvordan han fant ut av dette på omtrent tre timer. Det som gjorde dette mulig, var at passordet var oppgitt i klartekst i minnet til Superfish-programmet. Passordet var det samme som navnet på en leverandør av sikkerhetsprogramvare som skal ha blitt brukt av selskapet Superfish i forbindelse med dette programmet. Tilsynelatende var det enda litt enklere å få tilgang til den private nøkkelen.

Til Ars Technica sier Graham at enhver kan bruke den private nøkkelen til å utføre HTTPS-baserte «man-in-the-middle-angrep»-angrep uten at disse kan oppdages av maskiner hvor Superfish-rotsertifikatet er installert. Graham forteller at sertifikatet for eksempel fungerer mot Google.

I praksis kan dette brukes til å opprette tilsynelatende sikre nettsteder, for eksempel en kopi av en nettbank. Den falske nettbanken kan ha nøyaktig samme adresse som originalen og fungere på samme måte, men hensikten vil selvfølgelig være å bruke informasjonen brukeren legger igjen, i den virkelige nettbanken. Dette krever dog at angriperen lede offeret til feil adresse, noe som kan oppnås for eksempel ved å sette opp en WLAN-sone som man kontrollerer fullstendig.

Trolig kan sertifikatet også brukes til å signere skadevare-programmer som kan installeres i Windows.

Test og slett

Den enkleste måten for å finne ut om Superfish-sertifikatet er installert på pc-en, er å besøke nettstedet canibesuperphished.com med Internet Explorer eller Chrome, som begge bruker sertifikatene som er installer direkte i Windows. Dersom man kan komme inn på dette nettstedet uten at det vises noen advarsel, er det fare på fære. Dette nettstedet bruker et sertifikat som er signert med den private nøkkelen til Superfish, og dersom det ikke vises en advarsel, tyder dette på at rotsertifikatet til Superfish er installert på pc-en. Lenovo har publisert en gjennomgang på denne siden om hvordan både Superfish-programvare og -sertifikatet kan slettes.

Lenovo

Selv om selskapet allerede i januar sluttet i å installere Superfish på nye maskiner, så kom nok gårsdagens nyhet brått på. Selskapets offisielle uttalelser har fått mye kritikk

– Vi har gransket denne teknologien grundig og finner ingen bevis som kan dokumentere sikkerhetsbekymringer, Men vi vet at brukere har reagert med bekymring på dette tilfellet, og derfor har vi stoppet å levere produkter med denne programvaren, heter det i en uttalelse som kom i går ettermiddag.

Nå er denne uttalelsen tatt ut av sin sammenheng, og sammenhengen er viktig. For det er tydelig at Lenovo bare har sett på hvordan programvaren og informasjonen den får tilgang til, brukes av selskapet Superfish. Problemene med sertifikater og lignende blir ikke omtalt.

Lenovo skriver at Superfish allerede i januar stengte serverdelen av tjenesten, slik at produktet som sådan ikke lenger er aktivt. Det opplyses også at brukerne ikke på noen måte har blitt sporet av Superfish, fordi hver økt er helt uavhengig.

Lenovo skriver også at selskapets forhold til Superfish ikke har stort finansiell betydning, men at målet til selskapet var å forbedre opplevelsen til brukerne. Det vil si at Lenovo trodde at dette var noe brukerne faktisk ville ha.

– Vi innser at programvaren ikke tilfredsstilte dette målet og ha reagert raskt og bestemt, skriver Lenovo.

Noe senere i går ble Lenovos teknologidirektør, Peter Hortensius, intervjuet at Wall Street Journal. Han kommer heldigvis med litt mer informerte uttalelser enn PR-avdelingen har bidratt med. Han forteller først og fremst at selskapet skal gi ut en verktøy som fjerner alle spor etter Superfish på maskinen. Dette verktøyet skal gjøres tilgjengelig i løpet av dagen.  Noen automatisk fjern-avinstallering av programmet blir ikke nevnt, så brukerne må nok ordne dette selv.

Uenighet

På spørsmål om hvorfor selskapets uttalelser om risikoen denne situasjonen har skapt i liten grad stemmer overens med det mange sikkerhetseksperter har sagt, sier Hortensius at selskapet ikke vil krangle med sikkerhetsfolkene.

– De forholder seg til teoretiske bekymringer. Vi har ingen kjennskap til at det har skjedd noe forbrytersk. Men vi er enige i at dette ikke er noe vi ønsker å ha på systemet, og vi har innsett at vi er nødt til å gjøre mer.

På spørsmål om selskapet undersøker sikkerheten til programvaren som forhåndsinstalleres på selskapets pc-er, svarer Hortensius at selskapet gjør dette, men tydeligvis ikke grundig nok. Han sier dog at selskapet fjernet det igjen på grunn av at brukerne ikke syntes det var nyttig.

– Omdømmet vårt er alt, og produktene våre er til syvende og sist måten vi oppnår omdømmet vårt på, sier han.

På spørsmål om det ikke er like greit å kutte ut å forhåndsinstallere programvare som brukerne i utgangspunktet ikke har bedt om, svarer Hortensius at selskapet stort sett får ganske gode tilbakemeldinger fra brukere om programvaren selskapet forhåndsinstallerer på datamaskinene.

– Det vi kommer til å gjøre i de neste ukene, er å grave dypere og samarbeide med brukere, bransjeeksperter og andre for å se hvordan vi kan forbedre det vi gjør med programvare som kommer forhåndsinstallert på datamaskinene til forbrukere. Resultatet av dette kan være en bedre beskrivelse av programvaren som er på en brukers datamaskin og hvorfor den er der, sier Hortensius til Wall Street Journal.

Berørte modeller

Lenovo har publisert en oversikt over de berørte maskinene på denne siden. Dette er:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Produktfamiliene ThinkPad, ThinkCentre, Lenovo Desktop, ThinkStation, ThinkServer og System x er ikke berørt.

Digi.no har foreløpig ikke fått svar på om Superfish har fulgt med maskiner som har blitt solgt i Norge.

Til toppen