Adware Superfish w notebookach Lenovo
Informacje o Superfish pojawiły się jeszcze we wrześniu zeszłego roku na oficjalnym forum Lenovo. Z czasem jeden z pracowników Lenovo potwierdził, że funkcje programu zostały zdezaktywowane. Jednocześnie firma zapewniła użytkowników, że Superfish był bezpieczną aplikacją, która nie narusza prywatności użytkowników.
Tymczasem internauci odkryli, że Superfish, aby dokonać "wstrzyknięcia" reklam, rzekomo korzystał z tak zwanej taktyki Man in The Middle, czyli podkładał swój certyfikat SSL, unikając komunikatu o "złamanej kłódce". Z podobnej strategii korzystają cyberprzestępcy - oczywiście ich plany są o wiele bardziej złowieszcze.
Pełne oświadczenie prezentujemy poniżej
"W Lenovo dokładamy wszelkich starań, by zapewnić klientom jak najlepszą ofertę. Wiemy, że z naszych urządzeń korzystają codziennie miliony osób, a my jesteśmy zobowiązani zapewniać użytkownikom wysoką jakość, niezawodność, innowacyjność i bezpieczeństwo informacji. Dążąc do doskonalenia swojej oferty, na niektórych notebookach dla klientów indywidualnych instalowaliśmy fabrycznie oprogramowanie producenta zewnętrznego - firmy Superfish z Palo Alto w stanie Kalifornia.
Wychodziliśmy z założenia, że produkt ten, zgodnie z intencjami Superfish, ułatwi użytkownikom zakupy w Internecie. Oprogramowanie to nie spełniło jednak oczekiwań naszych ani klientów, którzy krytykowali jego działanie. Na te skargi zareagowaliśmy szybko i zdecydowanie. Przepraszamy, jeżeli nasi użytkownicy poczuli się zaniepokojeni z jakiegokolwiek powodu. Zawsze wyciągamy wnioski z własnych doświadczeń i staramy się doskonalić na ich podstawie.
W styczniu zaprzestaliśmy fabrycznej instalacji tego oprogramowania. Także w styczniu zablokowaliśmy połączenia z serwerem, który umożliwiał jego działanie. Na naszych stronach internetowych zamieściliśmy instrukcję usuwania tego oprogramowania. We współpracy z Superfish oraz innymi partnerami branżowymi reagujemy na wszelkie obecne i potencjalne kwestie związane z bezpieczeństwem informacji. Szczegółowe informacje na temat tych działań oraz narzędzia do usuwania oprogramowania można uzyskać pod adresami:
http://support.lenovo.com/us/en/product_security/superfish
http://support.lenovo.com/us/en/product_security/superfish_uninstall
Pragniemy podkreślić, że firma Lenovo nigdy nie instalowała tego oprogramowania na jakichkolwiek notebookach marki ThinkPad, komputerach stacjonarnych ani smartfonach. Oprogramowanie to nie było nigdy instalowane na żadnych produktach dla klientów z sektora dużych przedsiębiorstw -serwerach ani rozwiązaniach pamięci masowej - i sprawa ta w żaden sposób nie dotyczy tych urządzeń. Nie instalujemy już technologii Superfish na żadnych urządzeniach Lenovo.
Najbliższe tygodnie poświęcimy na dogłębne zbadanie tej sprawy i wyciąganie wniosków na przyszłość. Będziemy prowadzić dialog z partnerami, specjalistami branżowymi oraz użytkownikami i poprosimy ich o opinie. Pod koniec miesiąca przedstawimy plan działań, które pomogą Lenovo i całej branży działać z większą świadomością kwestii związanych z oprogramowaniem adware, oprogramowaniem instalowanym fabrycznie i zabezpieczeniami. Poczuwamy się do odpowiedzialności za swoje produkty, ofertę dla użytkowników i wyniki naszych nowych działań.
Technologia Superfish mogła być instalowana na następujących modelach komputerów:
Seria G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
Seria U: U330P, U430P, U330Touch, U430Touch, U530Touch
Seria Y: Y430P, Y40-70, Y50-70
Seria Z: Z40-75, Z50-75, Z40-70, Z50-70
Seria S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Seria Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
Seria MIIX: MIIX2-8, MIIX2-10, MIIX2-11
Seria YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
Seria E: E10-30"
