Все новые компьютеры Lenovo оказались заражены Superfish

25 Марта 2015
Не так давно в сфере информационной безопасности разразился новый скандал. Все новые компьютеры корпорации Lenovo (Китай) оказались инфицированы вредоносным приложением Superfish. Утилита встраивает рекламные блоки в результаты поисковой выдачи Google, причем внешне это выглядит как официальная реклама от поискового сервиса. Происходит это без согласия пользователя. 

Опасность данной схемы заключается в том, что теоретически злоумышленники могут взломать Superfish и использовать функционал программы для перехвата информации. К примеру, может быть похищена платежная информация, а также данные для аутентификации. 

Инсталляция Superfish осуществляется при первом запуске купленного ПК. Утилита честно предоставляет пользователю возможность ознакомиться с пользовательским соглашением, однако обычно люди не читают такие документы. 

В пакет инсталляции программы входит полноценный прокси-сервер, который после установки приложения начинает перехватывать все интернет-соединения, включая данные, передаваемые по каналу HTTPS. Для доступа к защищенному каналу используется корневой сертификат, включенный в пакет Superfish. 

Специалисты продемонстрировали, как довольно легко утилита использует поддельный сертификат для интернет-ресурса Bank of America. Это позволяет эффективно маскировать работу встроенного прокси-сервера. 

Рекламные блоки отображаются только в двух браузерах – Chrome и Internet Explorer. Данные программы используют сертификаты операционной системы. Mozilla Firefox использует собственные сертификаты, поэтому реклама не отображается. 

На всех компьютерах Lenovo используется один корневой сертификат, входящий в состав пакета Superfish. Закрытый ключ, используемый для полноценной работы прокси-сервера, также хранится на компьютере. Расшифровать такой ключ можно буквально за несколько часов. Если злоумышленники смогут это сделать, они получат возможность взламывать практически любой ПК от компании Lenovo. 

Специалисты отметили, что деинсталляция программы не решает проблему безопасности, поскольку используемый сертификат остается в системе. 

Любопытно, что первые претензии от покупателей появились на официальном форуме производителя еще в сентябре 2014 года. Ответ появился только в начале текущего года. Представители компании уверяли, что утилита не является вредоносной и предназначена для визуального поиска. Она анализирует изображения из интернет-магазинов, после чего осуществляет поиск похожих товаров в других онлайн-каталогах. В компании также отметили, что уже связались с разработчиками Superfish и попросили убрать функцию отображения рекламы в браузерах.

Один из главных выводов, которые мы делаем из этой истории – это то, что нельзя считать даже компьютер, который только что приобретен в магазине и вынут абсолютно новым из коробки, абсолютно безопасным. 

И конечно, если вы занимаетесь вопросами безопасности данных в своей компании, возможно вас заинтересует наше предложение  по размещению серверов и стоек в нашем дата-центре.
Получить консультацию специалиста