Chińska firma Lenovo stała się znana jako największy na świecie producent komputerów osobistych. Teraz zasłynęła również jako firma komputerowa, która być może dopuściła się najgorszego w historii naruszenia prywatności i bezpieczeństwa swoich klientów.
Myślisz, że to przesada? Ekspert ds. bezpieczeństwa Marc Rogers nazywa działania Lenovo „niewiarygodnie ignoranckim i lekkomyślnym” i „prawdopodobnie najgorszą rzeczą, jaką widziałem, aby producent zrobił swoim klientom.”
Robert Graham z Errata Security informuje, że oprogramowanie, które Lenovo preinstalowało na swoich komputerach, pozostawia je „otwarte dla hakerów lub szpiegów w stylu NSA. Na przykład, może ono szpiegować prywatne połączenia bankowe”. W serwisie Slate.com ekspert ds. oprogramowania David Auerbach zaleca posiadaczom dotkniętych problemem laptopów Lenovo, aby „nie pozostawało nic innego, jak tylko wymazać całą maszynę i zainstalować waniliowego Windowsa – nie Windowsa Lenovo. Następnie zmień wszystkie swoje hasła.”
Problemem jest program firmy o nazwie Superfish, który Lenovo preinstalowało na swoich laptopach konsumenckich począwszy od września. Problem nie dotyczy linii laptopów biznesowych ThinkPad, które firma Lenovo kupiła od IBM w 2005 r. na początku swojej drogi do zdobycia udziału w rynku komputerów osobistych.
Program Superfish jest właściwie określany jako „adware”, a nawet „malware”. Skutecznie porywa wyszukiwania internetowe użytkowników, aby wstrzyknąć reklamy od własnych partnerów reklamowych; użytkownik szukający produktu do kupienia, na przykład, nagle zobaczyłby reklamy podobnego produktu wypychane przez Superfish. Lenovo traktuje to jako wielkie dobrodziejstwo dla posiadaczy swoich komputerów, zaprojektowane „w celu pomocy klientom w znalezieniu produktów podobnych do tych, które oglądają”
Jak jednak eksperci od bezpieczeństwa zaczęli zauważać wiele miesięcy temu, metoda Superfisha niszczy zabezpieczenia komputera poprzez tak zwany atak „man in the middle”. (Jednym z pierwszych, którzy podnieśli alarm, był inżynier Google, który zauważył, że program zakłóca działanie strony konta Bank of America na jego nowym laptopie Lenovo.)
Jak Rogers wymienia naruszenia, program „monitoruje aktywność użytkownika. Zbiera dane osobowe i przesyła je na swoje serwery. Umieszcza reklamy na legalnych stronach. Wyświetla okienka popup z oprogramowaniem reklamowym. Wykorzystuje techniki ataku man-in-the-middle do łamania bezpiecznych połączeń.”
Częścią problemu jest to, że oprogramowanie używa łatwego do złamania wewnętrznego hasła, które umożliwia hakerom włamanie się do komputera – i jest to to samo hasło dla wszystkich dotkniętych komputerów. (Jeśli się zastanawiasz, to jest to „komodia”.) Jak zauważył Graham, „mogę przechwycić zaszyfrowaną komunikację ofiar SuperFisha (ludzi z laptopami Lenovo), gdy siedzę w ich pobliżu w kawiarnianym hotspocie wi-fi.”
Nie ma zbyt wielu tajemnic, dlaczego Lenovo to zrobiło. Tak jak inni producenci komputerów robią to z innymi partnerami, firma ta zawarła umowę z Superfish, zewnętrzną firmą zajmującą się oprogramowaniem, aby dołączyć swój program do nowych komputerów. Zazwyczaj nieostrożni nabywcy komputerów „akceptują” oprogramowanie, gdy po raz pierwszy otwierają swoje nowe laptopy, klikając serię umów licencyjnych, prawie zawsze bez ich przeczytania. Bez ich wiedzy oprogramowanie wdziera się do ich systemów, a także do ich życia. Kto na tym zyskuje? Lenovo dostaje prowizję, a Superfish – biznes.
Zwyczaje firm konsumenckich polegające na wciskaniu klientom niechcianych produktów, usług lub oprogramowania mają długą i kompromitującą historię. Maniacy oprogramowania porównują wyczyn Lenovo do słynnego epizodu z udziałem Sony, które w 2005 roku zainstalowało na komputerach program antypiracki, gdy klienci ładowali do nich określone płyty CD z muzyką Sony. Program ten, w głupi sposób, narażał tych użytkowników na ataki hakerów.
Warto zauważyć, że ludzie stojący za samym Superfishem są traktowani z dużą podejrzliwością przez ekspertów od bezpieczeństwa komputerowego. W oświadczeniu dla Forbesa firma Superfish stwierdziła, że „w żadnym momencie konsumenci nie byli narażeni na ataki” i że „nie popełniliśmy żadnego wykroczenia”. Wydaje się jednak oczywiste, że była to niewłaściwa firma, z którą Lenovo nawiązało współpracę – w istocie, Lenovo nie powinno ładować do swoich komputerów żadnych programów innych firm.
Reakcja Lenovo na tę wrzawę była powolna i w większości nieodpowiednia. Po burzy wybuchła w zeszłym tygodniu, firma powiedziała, że przestanie preinstalować oprogramowanie winowajcy na swoich komputerach, i „spędzić kilka następnych tygodni kopanie w tej sprawie, ucząc się, co możemy zrobić lepiej.” W wywiadzie dla Wall Street Journal, jej główny oficer techniczny, Peter Hortensius, odrzucił obawy „facetów od bezpieczeństwa” jako „teoretyczne”. Powiedział, „nie mamy wglądu, że cokolwiek nefarious nastąpiło.”
Ale wydał szczegółowe instrukcje, aby pomóc klientom usunąć oprogramowanie, ponieważ, jak powiedział, „opinie użytkowników nie były pozytywne.” Złożoność procesu usuwania powinna zdradzić, jak głęboko oprogramowanie Superfish wniknęło w komputery użytkowników. Narzędzie pozwalające określić, czy komputer Lenovo jest zagrożony, znajduje się tutaj. Microsoft wydał również łatę umożliwiającą oczyszczenie komputerów z systemem Windows z infekcji Superfish.
Jeśli chodzi o Lenovo, mimo że w zeszłym roku posiadało ono około 18,8% światowego rynku komputerów PC, z pewnością przekreśliło swoją przyszłość w branży komputerowej. Jeśli tak znacząca firma może popełnić tak poważny błąd, dlaczego ktokolwiek miałby ufać jej produktom? Pierwszy pozew dotyczący tego epizodu został już złożony. Będzie ich więcej, i powinno być.
Bądź na bieżąco z Economy Hub. Śledź @hiltzikm na Twitterze, zobacz naszą stronę na Facebooku, lub wyślij e-mail na adres [email protected].