התוכנה, בשם "Superfish Visual Discovery", מחליפה את תעודת האבטחה שנשלחות מכל אתר שהמשתמש גולש אליו ובכך היא מסוגלת לעקוב ולפענח מידע מאובטח
תעודת אבטחה רגילה (שמאל) לצד תעודת אבטחה שקרית של Superfish (מימין)
האם לנובו פישלה ובגדול? תגלית חדשה מצביעה על כך שמחשבים חדשים מתוצרת החברה מגיעים הישר ממפעל הייצור עם תוכנת פרסום זדונית המותקנת עליהם. התוכנה, שמחליפה תעודות אבטחה של אתרים חשובים כמו בנקים וגופים פיננסיים אחרים (ושבמקרה פותחה על ידי חברה ישראלית), מסוגלת לפענח את כל המידע המאובטח העובר מהמחשב של המשתמש לאתרים בעזרת חיבור HTTPS, זאת בנוסף לפריצות אבטחה אחרות ומגוונות.
עוד יותר גרוע? תוכנת ה-Superfish הזדונית פועלת עם מפתח אחד לכלל תעודות האבטחה של כלל המחשבים, מה שמאפשר לפורצים לגנוב את המידע של המשתמש בזמן חיבור לא מאובטח כמו רשתות Wi-Fi ציבוריות וכדומה. לא מספיק? בהיותה תוכנת פרסום (זדונית), Superfish מטמיעה קוד Javascript לדפי אינטרנט בכדי להציג פרסומות, דבר שעשוי לגרום לבעיות תאימות עם מחשבים רבים.
לנובו אומנם הכירה בפריצת האבטחה וסיפקה תיקון למחשביה בכדי להסיר את תוכנת ה-Superfish, אך הסרה בלבד של התוכנה לא מחליפה בחזרה את תעודות האבטחה המקוריות עם השקריות של החברה הנמצאות על המחשב, שהתגלו בתור "Komodia" – מפנה TCP/IP להזרמת המידע המאובטח של המשתמש ושהינו גם, על פי האתר עצמו, "פיסת טכנולוגיה חדשה שמאפשרת גישה למידע המאובטח על ידי הצפנת SSL ופענוח מידע זה בצורה מיידית".
תגובה מהירה גם הגיעה ממיקרוסופט בעצמה, שעדכנה את תוכנת האנטי-וירוס שלה "Windows Defender" להוקיע את תוכנת ה-Superfish הזדונית ממחשבים מודבקים. בנוסף, תוכנת ה-Defender "מאתחלת" את התעודות במחשבים המודבקים ובכך מוציאה את התעודות השקריות של תוכנת ה-Superfish, מה שנותן אפשרות לתעודות המקוריות לקחת את מקומן בחזרה.
אם כך, השאלה הגדולה יותר בעניין הינה – "למה לנובו איפשרה לתוכנה פרסום, שמטרותיה ופעולותיה זדוניות באופן ברור, להימצא על מחשבים מתוצרתה הישר מהמפעל?". אנחנו עדיין מחכים לתשובות של לנובו בנושא, תשובות שאנחנו בספק אם יועילו לנו יותר מאשר התיקון חסר התועלת שסיפקה. נדבקתם? אם כן ואם לא, מה דעתכם?
התביעה כבר בדרך… http://www.pcworld.com/article/2887392/lenovo-hit-with-lawsuit-over-superfish-snafu.html
שתי החברות ישראליות… כבוד 😛
http://www.calcalist.co.il/internet/articles/0,7340,L-3652918,00.html
נו, לא מפתיע.
ישראלים מגעילים שחיפשו לעשות עוד קצת כסף על הצד ושמו ז*ן על כל העולם.