Все новые компьютеры Lenovo оказались заражены

Безопасность Техника
мобильная версия
, Текст: Сергей Попсулин
Владельцы компьютеров Lenovo оказались в неприятной ситуации. На их компьютерах обнаружено устанавливаемое производителем рекламное ПО, которое может привести к печальным последствиям — вплоть до потери средств с банковских счетов.

Все новые компьютеры китайской компании Lenovo, предназначенные для потребительского рынка, оказались заражены разновидностью вредоносной программы под названием Superfish. Приложение внедряет рекламные объявления в результаты поиска Google без согласия пользователя. Причем объявления выглядят так, как будто их туда поместила сама Google, сообщает TechCrunch.

Вся серьезность ситуации заключается в том, что хакеры могут легко взломать Superfish и использовать это приложение для перехвата пользовательских данных — от логинов и паролей до номеров банковских карт, указываемых пользователем в веб-формах, отмечает The Verge.

Superfish устанавливается на компьютер сразу после его покупки, при первом запуске. Пользователю предлагается ознакомиться с соглашением и начать установку или отказаться от нее. Как правило, никто не читает соглашение.

В установочный пакет Superfish входит прокси-сервер. После установки на компьютер он начинает перехватывать все веб-соединения, включая соединения по защищенному каналу HTTPS. Последнее осуществляется с помощью корневого сертификата, который также содержится в пакете Superfish, объясняет Hacker News.

В одном из примеров, приведенных пользователями, видно, как легко Superfish выдает поддельный сертификат для сайта Bank of America. То есть эффективно маскирует присутствие прокси-сервера, перехватывающего соединение.


Поддельный сертификат для сайта bankofamerica.com

Объявления видны только в Microsoft Internet Explorer и Google Chrome, так как эти браузеры пользуются системными сертификатами. В браузере Mozilla Firefox реклама не отображается, так как эта программа поставляется с собственными сертификатами и использует только их.

Корневой сертификат, входящий в пакет установки Superfish, на всех компьютерах Lenovo один и тот же. При этом закрытый ключ, необходимый для работы прокси-сервера, также находится на компьютере. Расшифровать этот ключ — дело нескольких часов, пишет Hacker News. После того как хакеры это сделают, они смогут легко взломать практический любой компьютер Lenovo.

Более того, удаление программы не решает проблему, так как сертификат остается на жестком диске, добавляет Hacker News.

На официальном интернет-форуме Lenovo впервые вопрос, связанный с приложением Superfish, компании был задан одним из покупателей еще в сентябре 2014 г. «Почему, Lenovo, ты ставишь на компьютеры это рекламное приложение? Разве тебе не достаточно того, что мы платим за компьютер, когда его покупаем?» — задал пользователь риторический вопрос.

В январе 2015 г. компания ответила. Ее представитель написал, что Superfish вовсе не вредоносное ПО, а утилита для визуального поиска. Она анализирует просматриваемые владельцем ПК изображения в интернете и позволяет искать товары на аналогичную тему в 70 тыс. онлайн-магазинах, пояснили в компании.

В Lenovo, тем не менее, добавили, что разберутся в ситуации и попросят у Superfish выпустить обновление, после которого реклама больше не будет отображаться. До этого времени вендор пообещал деактивировать утилиту.