Eigenaren van een Lenovo-laptop kunnen nu herstelmedia aanvragen om Windows en aanvullende software te installeren zonder dat ook de Superfish-adware wordt meegeïnstalleerd, zo heeft de computerfabrikant op het eigen forum laten weten. Superfish is een programma dat SSL-verbindingen onderschepte om advertenties te injecteren. De adware gebruikte hiervoor een eigen rootcertificaat. Onderzoekers slaagden erin om het wachtwoord te kraken dat de privésleutel van het Superfish-certificaat gebruikt.

Daardoor is het in bepaalde gevallen mogelijk om Man-in-the-Middle-aanvallen tegen systemen uit te voeren waarop Superfish en het certificaat geïnstalleerd zijn. In totaal bleek Superfish op meer dan 40 verschillende type laptops te zijn geïnstalleerd. Vanwege het Superfish-debacle kondigde Lenovo verschillende maatregelen aan. Zo werd er een verwijdertool gepubliceerd en deed de fabrikant de belofte dat het in de toekomst schonere computers met minder vooraf geïnstalleerde software gaat leveren. Ook volgde een gratis abonnement van zes maanden op de virusscanner van McAfee.

Huidige eigenaren van een laptop zitten met het probleem dat op hun herstelmedia, zoals een speciale herstelpartitie, Superfish nog steeds aanwezig is. Als de computer opnieuw via de herstelmedia wordt geïnstalleerd wordt ook Superfish teruggeplaatst. Vorige maand liet Lenovo op het eigen forum weten dat er aan schone herstelmedia zonder Superfish werd gewerkt die via de supportafdeling kan worden aangevraagd. Een werknemer van Lenovo stelt dat de herstelmedia niet in bulk zal worden verstuurd. "Maar als je vanwege specifieke omstandigheden herstelmedia nodig hebt, neem dan contact op met de servicedesk." Of de media via cd of USB-stick zal worden aangeboden laat de medewerker niet weten. We hebben Lenovo hierover om opheldering gevraagd.