Wie een nieuwe computer koopt moet die als eerste helemaal opnieuw installeren, omdat de software die standaard wordt meegeleverd niet is te vertrouwen. Dat stelt de Amerikaanse burgerrechtenbeweging EFF. Aanleiding zijn programma's als Superfish en PrivDog die het SSL-verkeer van gebruikers onderschepten om advertenties te injecteren en daarmee gebruikers aan allerlei risico's blootstelden.
Deze week werd bekend dat naast Superfish, dat standaard op sommige Lenovo-laptops werd meegeleverd, ook andere programma's het SSL-verkeer onderscheppen. Eén van deze programma's was PrivDog. Een kwetsbaarheid in bepaalde versies van PrivDog zorgde ervoor dat de software elk certificaat dat het op internet tegenkwam onderschepte en door een zelf gesigneerd certificaat verving. Ook al ging het om certificaten die in eerste instantie niet geldig waren.
Het Decentralized SSL Observatory van de EFF, dat informatie van de HTTPS Everywhere plug-in voor Firefox verzamelt, heeft meer dan 17.000 verschillende certificaten van PrivDog-gebruikers verzameld. "Elk van deze certificaten kan van een aanval zijn. Helaas is er geen manier om dit zeker te weten", zegt Joseph Bonneau van de Electronic Frontier Foundation (EFF).
"Dus wat hebben we geleerd van dit Lenovo/Superfish/Komodia/PrivDog-debacle? Voor gebruikers hebben we geleerd dat de software die vooraf geïnstalleerd wordt op je computer niet te vertrouwen is, wat inhoudt dat het herinstalleren van een schoon besturingssysteem nu de standaard procedure moet worden als iemand een nieuwe computer heeft gekocht", aldus Bonneau. De belangrijkste les is volgens hem voor softwarebedrijven, die met het onderscheppen van het SSL-verkeer van hun gebruikers moeten stoppen.
Deze posting is gelocked. Reageren is niet meer mogelijk.