De Superfish-adware die Lenovo op laptops installeerde en waardoor SSL-verbindingen risico lopen doet denken aan het Sony-rootkitschandaal van een aantal jaren geleden en zal de computerfabrikant uiteindelijk klanten kosten. Dat zegt Adam Winn van softwarebedrijf Opswat tegen Security.NL.
"Hoewel de intenties misschien niet kwaadaardig zijn, is de implementatie dat zeker wel. Superfish is meer dan alleen adware, het is een Man-in-the-Middle-aanval die zich als adware voordoet. In een tijdperk van continu security-gerelateerd nieuws is het schokkend dat Lenovo software installeert dat de SSL-keten op op zo'n fundamentele manier breekt." Winn ziet dan ook overeenkomsten met het Sony-rootkitschandaal uit 2005, alleen zijn de gevolgen dit keer veel groter.
"Het raakt zowel de privacy als het fundamentele vertrouwen dat consumenten in door SSL-beschermde websites hebben." Hij voorspelt dan ook dat deze actie Lenovo klanten zal kosten. "Lenovo heeft een trouwe aanhang onder IT-professionals, zoals blijkt uit de overal aanwezige Thinkpads binnen ondernemingen. Er is dan ook geen twijfel dat dit incident een zware aanslag op de balans van Lenovo zal hebben. Geen enkele systeembeheerder tolereert een Man-in-the-Middle-aanval op bedrijfseigen of BYOD-apparatuur."
De Amerikaanse burgerrechtenbeweging EFF noemt het een amateuristische ontwerpkeuze van Superfish om advertenties via een zelf gesigneerd certificaat te injecteren. "Lenovo's beslissing om deze software te leveren was ongekend onverantwoordelijk en een groot misbruik van het vertrouwen dat ze van klanten kregen." Lenovo laat tegen Bloomberg weten dat het een fout was om de software standaard op laptops te installeren en dat het enige doel was om de ervaring van klanten te verbeteren.
Deze posting is gelocked. Reageren is niet meer mogelijk.