image

Lenovo waarschuwt klanten voor Superfish-adware

vrijdag 20 februari 2015, 10:41 door Redactie, 10 reacties

Lenovo heeft een beveiligingsbulletin uitgebracht waarin het klanten waarschuwt voor de Superfish-adware die vooraf op laptops werd geinstalleerd. Volgens de fabrikant zijn er in Superfish verschillende kwetsbaarheden ontdekt, waaronder de installatie van een zelf gesigneerd rootcertificaat.

Consumenten kunnen Superfish wel verwijderen, maar het Superfish-certificaat blijft echter gewoon op het systeem staan. Aangezien Superfish volgens Lenovo SSL-verkeer onderschept is dit een "beveiligingszorg". Daarom heeft de fabrikant verwijderinstructies online gezet, alsmede een lijst van kwetsbare laptops. Het betreft laptops in de E-, Flex-, G-, M-, S-, U-, Y- Yoga- en Z-series die tussen september 2014 en februari 2015 zijn geleverd. Bij elkaar gaat het om meer dan 40 modellen.

Klanten die het certificaat laten staan lopen in bepaalde scenario's, bijvoorbeeld bij een open wifi-netwerk, het risico om via een Man-in-the-Middle te worden aangevallen. Gebruikers krijgen dan ook het advies het certificaat te verwijderen. Verder zou Superfish zijn gevraagd om alle serveractiviteit van de software uit te schakelen. Via Twitter meldt Lenovo dat het druk bezig is om het probleem te verhelpen en het vertrouwen van klanten terug te winnen.

Ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels een waarschuwing voor het certificaat afgegeven en adviseert gebruikers om het te verwijderen. Verder zijn er door de Amerikaanse burgerrechtenbeweging EFF verwijderinstructies online gezet, waaronder voor Firefoxgebruikers.

Image

Reacties (10)
20-02-2015, 10:49 door Mozes.Kriebel
Too little, too late. Zulk soort troep meeleveren en dan denken dat je klanten dat wel pikken. Klanten minachting galore...
20-02-2015, 11:08 door Anoniem
Als je een laptop koop, herinstalleer de pc zelf met een Windows ISO en niet van de recovery partitie en formatteer de hele harde schijf.

Dat is de beste oplossing. Het scheelt je heel veel troep wat er ook bijgeleverd wordt en snelheid.
20-02-2015, 11:35 door Anoniem
Deze software heb ik al in 2008 gezien op diverse andere merken laptops en PCs..

Wordt Lenovo nu gepakt omdat ze WEL succesvol zijn in verkopen van ex-IBM meuk?
20-02-2015, 12:07 door Erik van Straten
Door Redactie: Aangezien Superfish volgens Lenovo SSL-verkeer onderschept is dit een "beveiligingszorg".

In het derde plaatje van boven in http://www.theregister.co.uk/2015/02/19/superfish_lenovo_spyware/, in de kolom "Intended Purposes", staat "All". Het gaat dus niet alleen om het mogelijk kunnen onderscheppen van https (SSL/TLS) verkeer, maar ook om het kunnen vervalsen van digitale handtekeningen onder bestanden (ook PDF) en e-mails.

En het probleem is niet zozeer dat Lenovo dit kan, maar dat iedereen dit kan aangezien de private key behorende bij het root certificaat op straat ligt (ik heb deze ook in mijn bezit). Met dit certificaat in de "Trusted Root Certificate Authorities" store is de beveiliging van de betreffende PC compleet ondermijnd.
20-02-2015, 12:58 door Erik van Straten
20-02-2015, 11:08 door Anoniem: Als je een laptop koop, herinstalleer de pc zelf met een Windows ISO en niet van de recovery partitie en formatteer de hele harde schijf.

Dat is de beste oplossing. Het scheelt je heel veel troep wat er ook bijgeleverd wordt en snelheid.
Maar dan zul je, in de meeste gevallen, zelf op jacht moeten naar drivers.

En ook dat is weer niet zonder risico's, kost veel tijd en is met minimale computerkennis nauwelijks te doen: downloadsites van fabrikanten blijken soms gehackt te zijn, het is vaak onduidelijk welke software/firmware je precies nodig hebt (hoe beta is beta?), software is lang niet altijd digitaal ondertekend, soms zijn er per land downloadsites met onderling verschillende versies, is het verstandig om juist de Engelstalige versie te nemen of niet, moet je voor specifieke hardware (grafische kaart, WiFi etc.) bij de chipbakker of bij de computerproducent zijn etc.
20-02-2015, 13:25 door Anoniem
Als je een laptop koop, herinstalleer de pc zelf met een Windows ISO en niet van de recovery partitie en formatteer de hele harde schijf.

Heb even gezocht, maar vond zo snel geen link naar een iso op de MS site.

Iemand een link naar Microsoft waar ik die kan downloaden? Geen torrent/news. OEM sticker zit op de laptop.
20-02-2015, 14:50 door Spiff has left the building
Door Anoniem, 11:35 uur:
Als je een laptop koop, herinstalleer de pc zelf met een Windows ISO en niet van de recovery partitie en formatteer de hele harde schijf.
Dat is de beste oplossing. Het scheelt je heel veel troep wat er ook bijgeleverd wordt en snelheid.
Door Erik van Straten, 12:58 uur:
Maar dan zul je, in de meeste gevallen, zelf op jacht moeten naar drivers.
En ook dat is weer niet zonder risico's, kost veel tijd en is met minimale computerkennis nauwelijks te doen: downloadsites van fabrikanten blijken soms gehackt te zijn, het is vaak onduidelijk welke software/firmware je precies nodig hebt (hoe beta is beta?), software is lang niet altijd digitaal ondertekend, soms zijn er per land downloadsites met onderling verschillende versies, is het verstandig om juist de Engelstalige versie te nemen of niet, moet je voor specifieke hardware (grafische kaart, WiFi etc.) bij de chipbakker of bij de computerproducent zijn etc.
Dank je voor die aandachtspunten, Erik.
Nu zijn er wel een paar aanbieders die systemen zonder installatie leveren, met een bijgeleverde DVD met drivers (ik ken de aanbieders Alternate, BTO en XNotebooks), maar waar halen zij de drivers precies vandaan? Zijn die drivers gegarandeerd veilig door die aanbieders verzameld, of mogelijk simpelweg gedownload van potentieel gehackte sites van derden? Lastige materie.
20-02-2015, 15:06 door Spiff has left the building
Door Anoniem, 13:25 uur:
Heb even gezocht, maar vond zo snel geen link naar een iso op de MS site.
Iemand een link naar Microsoft waar ik die kan downloaden? Geen torrent/news. OEM sticker zit op de laptop.
Microsoft biedt geen ISO's via de website.
Voor Windows 8.1 kun je zelf een schoon installatiemedium creëren op de manier zoals hier beschreven wordt:
http://windows.microsoft.com/nl-nl/windows-8/create-reset-refresh-media
http://windows.microsoft.com/en-us/windows-8/create-reset-refresh-media
Voor Windows 7 heb ik een maand geleden in een andere thread neergezet waar je zo nodig ISO's kunt downloaden.
Dat betreft de Digital River download links voor Windows 7 ISO's.
https://www.security.nl/posting/415148#posting415476
20-02-2015, 16:11 door Anoniem
Door Erik van Straten:
20-02-2015, 11:08 door Anoniem: Als je een laptop koop, herinstalleer de pc zelf met een Windows ISO en niet van de recovery partitie en formatteer de hele harde schijf.

Dat is de beste oplossing. Het scheelt je heel veel troep wat er ook bijgeleverd wordt en snelheid.
Maar dan zul je, in de meeste gevallen, zelf op jacht moeten naar drivers.

En ook dat is weer niet zonder risico's, kost veel tijd en is met minimale computerkennis nauwelijks te doen: downloadsites van fabrikanten blijken soms gehackt te zijn, het is vaak onduidelijk welke software/firmware je precies nodig hebt (hoe beta is beta?), software is lang niet altijd digitaal ondertekend, soms zijn er per land downloadsites met onderling verschillende versies, is het verstandig om juist de Engelstalige versie te nemen of niet, moet je voor specifieke hardware (grafische kaart, WiFi etc.) bij de chipbakker of bij de computerproducent zijn etc.

Dat klopt in sommige gevallen, maar niet bij Lenovo laptops. Daarvoor kan je de system update tool downloaden die een verse laptop voorziet van alle hardware drivers en utilities. Soms mis je dan nog enkele drivers en die kan je op hun support site downloaden. Werkt erg goed is mijn ervaring.
20-02-2015, 21:58 door Anoniem
Slim!
Eerst gooi je de Lenovotroep eraf en daarna ga je van hun betrouwbare site Lenovotroep installeren.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.