Ноутбуки Lenovo поставляються з шкідливим ПЗ

20 лютого 2015

Ноутбуки Lenovo поставляються з шкідливим ПЗ Superfish і його CA-сертифікатом і приватним ключем в сховище

Програма Superfish, яка поставляється з ноутбуками Lenovo Y50, Z40, Z50, G50 і Yoga 2 Pro, представляє з себе типовий Malware, який прослуховує трафік, аналізує пошукові запити користувача і вставляє рекламу на сторінки сторонніх сайтів. Працює цей додаток на рівні системи, перехоплюючи, в тому числі, HTTPS-трафік. Для цього, додаток встановлює CA-сертифікат Superfish в сховище ключів Windows і проксує весь трафік між хостом і браузером, підміняючи сертифікат на свій. Поставляється це ПО, як мінімум, з червня 2014 року. Перше повідомлення про цю програму на форумі Lenovo датована вереснем 2014 року.

Ця новина сама по собі вже неприємна, але сьогодні стала відома одна деталь, яка значно збільшує рівень небезпеки для володарів цих ноутбуків: з'ясувалося, що всередині програми є не тільки публічний сертифікат CA, але й приватний ключ до нього, в зашифрованому вигляді. Підібрати пароль до цього ключа не складає жодних проблем - «komodia»:

Це означає, що будь-який зловмисник, який має можливість здійснити MitM-атаку (наприклад, в публічній Wi-Fi мережі), може використовувати цей сертифікат для проксування HTTPS-трафіку через свій комп'ютер і розшифровувати його непомітно для жертви.

Представник Lenovo на форумі повідомляє, що вони припинили постачати дане ПО з новими ноутбуками з січня 2015 року та відключили Superfish для всіх власників уже куплених ноутбуків. Доступна інструкція для видалення malware, яка, однак, не включає в себе видалення кореневого сертифікату зі сховища.