Nieuws

Expert: Superfish-adware gaat Lenovo klanten kosten

vrijdag 20 februari 2015, 09:49 door Redactie, 16 reacties

De Superfish-adware die Lenovo op laptops installeerde en waardoor SSL-verbindingen risico lopen doet denken aan het Sony-rootkitschandaal van een aantal jaren geleden en zal de computerfabrikant uiteindelijk klanten kosten. Dat zegt Adam Winn van softwarebedrijf Opswat tegen Security.NL.

"Hoewel de intenties misschien niet kwaadaardig zijn, is de implementatie dat zeker wel. Superfish is meer dan alleen adware, het is een Man-in-the-Middle-aanval die zich als adware voordoet. In een tijdperk van continu security-gerelateerd nieuws is het schokkend dat Lenovo software installeert dat de SSL-keten op op zo'n fundamentele manier breekt." Winn ziet dan ook overeenkomsten met het Sony-rootkitschandaal uit 2005, alleen zijn de gevolgen dit keer veel groter.

De Amerikaanse burgerrechtenbeweging EFF noemt het een amateuristische ontwerpkeuze van Superfish om advertenties via een zelf gesigneerd certificaat te injecteren. "Lenovo's beslissing om deze software te leveren was ongekend onverantwoordelijk en een groot misbruik van het vertrouwen dat ze van klanten kregen." Lenovo laat tegen Bloomberg weten dat het een fout was om de software standaard op laptops te installeren en dat het enige doel was om de ervaring van klanten te verbeteren.

Slimme Samsung-tv verstuurt stemaudio onversleuteld

NSA en GCHQ zouden simfabrikant Gemalto hebben gehackt

Reacties (16)

20-02-2015, 10:04 door Erik van Straten - Bijgewerkt: 20-02-2015, 10:04

Bij een bedrijf dat malware/spyware zoals Superfish voorinstalleert op computers voor consumenten en dat vervolgens enorm bagatelliseert, kun je je ook afvragen of zakelijke computers (hardware en firmware, waaronder BIOS), die door beheerders meestal van nieuwe images worden voorzien, wel te vertrouwen zijn.

20-02-2015, 10:04 door Anoniem

Wat een inzichten. Daar heeft deze expert vast heel erg lang op gestudeerd.

20-02-2015, 10:06 door Anoniem

Er is dan ook geen twijfel dat dit incident een zware aanslag op de balans van Lenovo zal hebben. Geen enkele systeembeheerder tolereert een Man-in-the-Middle-aanval op bedrijfseigen of BYOD-apparatuur."

In mijn ogen is het echte probleem dat niemand dit eerder heeft gespot. Zo moeilijk is dat toch niet, in elke browser is het zichtbaar wanneer je het certificaat venster open trekt. Dus de vraag is: hoe lang heeft Lenovo deze malware gevoerd en hoe lang heeft elke Lenovo klant dus zitten slapen? En waarom is deze malware blijkbaar door geen enkel anti-malware product gespot?
Ik vind het maar een onduidelijk verhaal...

20-02-2015, 10:09 door Anoniem

Door Erik van Straten: Bij een bedrijf dat malware/spyware zoals Superfish voorinstalleert op computers voor consumenten en dat vervolgens enorm bagatelliseert, kun je je ook afvragen of zakelijke computers (hardware en firmware, waaronder BIOS), die door beheerders meestal van nieuwe images worden voorzien, wel te vertrouwen zijn.

Goed punt. Lenovo en Sony zijn grote jongens en als zij al zo met hun klanten omgaan is er geen enkele garantie dat anderen dit anders doen.

Zakelijke computers worden meestal voorzien van een eigen installatie met de nodige BIOS aanpassingen, maar is dat voldoende?

20-02-2015, 10:10 door Anoniem

Het doel was dus om de "ervaring van klanten te verbeteren". Wat dat betreft zou het de ervaring aanzienlijk verbeteren als fabrikanten eens zouden stoppen om op nieuwe PC's ongevraagd allerlei rommel te installeren zoals proefversies van programma's en andere zooi die ik helemaal niet wil hebben. Het kost een halve dag om een nieuwe PC eerst schoon te maken en daarna de eigen programma's te installeren.

20-02-2015, 10:31 door [Account Verwijderd] - Bijgewerkt: 20-02-2015, 10:33

[Verwijderd]

20-02-2015, 10:40 door Anoniem

ik heb een Toshiba satellite en daar staat het ook op. Nu is mijn vraag hoe krijg je het eraf

20-02-2015, 11:08 door Anoniem

Dit is gewoon Amerika die het niet kan verkroppen dat toen het nog IBM heette het miljarden verlies lees en nu de chinezen het draaien het miljarden winst maakt.
Ze hebben gewoon net zo lang gezocht totdat ze een stok gevonden hebben en daar gaan ze nu mee slaan..

Heel erg jammer dat dit nodig is om het ego van de Amerikanen te strelen...

Nu het ook nog Medion (Duitsland) heeft en de GSM tak van Google heeft overgenomen (Motorola) is het een te groot gevaar en moet dat met alle macht ingeperkt worden...
Vage berichten over 'misschien zit er wel een trojan in" hebben slecht gewerkt en eigenlijk alleen bij Huawei gefunctioneert maar nu hebben ze dan EINDELIJK een stokje gevonden....

Nou, joepie...
Protectionisme at its worst.

20-02-2015, 11:18 door Anoniem

Door Anoniem: Wat een inzichten. Daar heeft deze expert vast heel erg lang op gestudeerd.

Ja en dan met dit resultaat, ongelofelijk zeg.
Ik voorspel dat Lenovo 3 laptops minder gaat verkopen door dit "schandaal". Ok, maak er 5 van.

Meer niet. Aankoopbeslissingen worden helemaal niet op dit soort gronden overwogen, en bovendien is zo iets 1 dag in
het nieuws en daarna ebt het weer weg.

Denk je nou echt dat Sony ook minder TV'sof CD'sverkoopt door die affaire? Welnee, misschien zijn er enkele
overtuigde niet-Sony-kopers bij gekomen (ik hoorde er daarvoor al bij) maar op hun verkoopcijfers maakt dat echt geen
bal uit.

En "Geen enkele systeembeheerder tolereert een Man-in-the-Middle-aanval op bedrijfseigen of BYOD-apparatuur." dat
geeft al helemaal blijk van weinig inzicht. Systeembeheerders installeren dit soort dingen steeds vaker ZELF. In
opdracht van de leiding.

20-02-2015, 13:45 door [Account Verwijderd] - Bijgewerkt: 20-02-2015, 13:53

[Verwijderd]

20-02-2015, 15:56 door Anoniem

Geen enkele systeembeheerder tolereert een Man-in-the-Middle-aanval op bedrijfseigen of BYOD-apparatuur."

Volgens mij interesseert dit de meeste systeembeheerders weinig. De kans dat ze eigen of bedrijfs Lenovo apparatuur de deur uit doen lijkt mij redelijk klein. De stelling dat systeembeheerders dit niet tolereren lijkt me eerder een wens, dan een feit.

20-02-2015, 16:14 door Anoniem

"Het raakt zowel de privacy als het fundamentele vertrouwen dat consumenten in door SSL-beschermde websites hebben." Hij voorspelt dan ook dat deze actie Lenovo klanten zal kosten. "Lenovo heeft een trouwe aanhang onder IT-professionals, zoals blijkt uit de overal aanwezige Thinkpads binnen ondernemingen. Er is dan ook geen twijfel dat dit incident een zware aanslag op de balans van Lenovo zal hebben. Geen enkele systeembeheerder tolereert een Man-in-the-Middle-aanval op bedrijfseigen of BYOD-apparatuur."
[/]

Daar moet wel bij vermeld worden dat deze Superfish installatie alleen aanwezig is op de consumenten lijn van Lenovo, en niet de zakelijke lijn. Dat scheelt nogal en plaatst dit verhaal in een iets andere context.

20-02-2015, 16:30 door Anoniem

Ik weet wel zeker dat het ze klanten gaat kosten, net dat ik wat positiever over Lenovo begon te worden hoor ik ineens dit. Vanaf nu staat dit merkt bij mij op de zwarte lijst. en zal ik het ook niemand aanraden.

20-02-2015, 17:54 door Anoniem

Ik vindt dat de verwijdering van deze Superfish adware/malware bij Lenovo pc bezitters die dit niet zelf willen of kunnen doen voor rekening moet komen van Lenovo.Ofwel een software-update die dit oplost,is er ook sprake van Superfish-probleem bij de hardware dan zou of de klant zn LENOVO pc kosteloos door Lenovo te laten repareren,ofwel de kosten voor verwijdering en systeemherstel bij een computerwinkel of computerhulp& reparatiedienst al dan niet aan huis moeten vergoeden,of een nieuwe pc leveren ,of aankoopbedrag vd LENOVO PC terug te betalen.Ik weet niet wat de wet hierover zegt,maar ik vindt dat o.m. de Consumentenbond,Radar en Kassa zich hiervoor moeten inzetten.

20-02-2015, 21:22 door Eric-Jan H te D

Heel toevallig laatst bij mijn nicht met een Lenovo aan de gang geweest. Vroeg haar wat is dat Superfish. Wist ze niet. Ik heb het er toen afgegooid. Maar ik zie dat er nog een aantal zaken nodig zijn om het helemaal kwijt te raken.

22-02-2015, 18:12 door Anoniem

Door Anoniem: Het doel was dus om de "ervaring van klanten te verbeteren". Wat dat betreft zou het de ervaring aanzienlijk verbeteren als fabrikanten eens zouden stoppen om op nieuwe PC's ongevraagd allerlei rommel te installeren zoals proefversies van programma's en andere zooi die ik helemaal niet wil hebben. Het kost een halve dag om een nieuwe PC eerst schoon te maken en daarna de eigen programma's te installeren.

Installatie van de gemiddelde linux distro kost je 20 minuten. Ik snap niet wat jullie allemaal zeuren. Windows en security is zowiezo een grap. Als je security wil zal je een ander OS moeten draaien.

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer