עדכון 15:51 ET:קצין הטכנולוגיה הראשי של לנובו אמרהוול סטריט ג'ורנל"לא עשינו מספיק" בדיקת נאותות בעת התקנת Superfish מראש, והחברה עובדת על תיקון. "ברגע שהמתכנת יסתיים, נספק כלי שיסיר את כל עקבות האפליקציה מהמחשבים הניידים של אנשים; זה הולך רחוק יותר מאשר הסרת ההתקנה של האפליקציה", אמר CTO פיטר הורטנסיוס.

עדכון 13:55 בצהריים:סופרפיש הגיבה בהצהרה. "Superfish לא היה פעיל במחשבים ניידים של לנובו מאז דצמבר", אמרה דוברת ל-Mashable באימייל. "חשוב לציין: Superfish שקופה לחלוטין במה שהתוכנה שלנו עושה ובשום זמן לא היו צרכנים פגיעים - אנחנו עומדים בזה היום".

חוקרים חשפו פגיעות אבטחה בתוכנות מותקנות מראש בחלק מהןלנובומוצרים שמפרקים חיבורים מאובטחים לאתר ומעמידים נתוני משתמשים רגישים בסיכון.

זה מדאיג שלנובו התקינה תוכנת פרסום בשם Superfish על כמה מהמכונות שלה שמתקלקלתHTTPS-- הגרסה המאובטחת של פרוטוקול העברת היפרטקסט -- כדי לחפש טוב יותר מודעות ולצפות בנתונים על חיבורים שבדרך כלל לא היו מאפשרים זאת.

אבל הוא גם מיירט חיבורים מוצפנים באופן שמשאיר חורים פתוחים עבור האקרים זדוניים בהרבה כדי לגנוב נתונים פרטיים, כמו מידע בנקאי,מומחים לוֹמַר.

Superfish משתמש בהתקפת "אדם באמצע" כדי להתקין תעודת שורש משלה במערכות Windows. אז כשאתה מבקר באתר -- כל אתר -- נראה ש-Superfish רשאי להיות שם, להתבונן בפעולות שלך, לפי מומחים. כאשר אתה גולש באתר בנקאי, למשל, יש בדרך כלל סמל מנעול בשורת המשימות, המציין שהחיבור נועד להיות פרטי. אבל עבור משתמשי לנובו, Superfish צופה.

זו בעיה.#דג-על pic.twitter.com/jKDfSo99ZR- קן ווייט (@kennwhite)19 בפברואר 2015

הנקודה היא לא ש-Superfish חתום בעצמו - כך עובדים CAs שורש. הבעיה היא האזנה שרירותית בזמן אמתpic.twitter.com/fRuZfynWah- קן ווייט (@kennwhite)19 בפברואר 2015

התוכנות פרסוםסורק את התמונות בדפדפן כדי להחליט מה יש לפרסם. בינואר, לנובומְאוּשָׁרש-Superfish מגיע מותקן מראש על מוצרי צריכה.

"Superfish מגיע עם מוצרי צריכה של לנובו בלבד והיא טכנולוגיה שעוזרת למשתמשים למצוא ולגלות מוצרים באופן ויזואלי. הטכנולוגיה מנתחת באופן מיידי תמונות באינטרנט ומציגה הצעות מוצרים זהות ודומות שעשויות להיות בעלות מחירים נמוכים יותר", הסביר מנהל פורום.

TL;DR#דג-על:@lenovoשולחת מחשבים ניידים ששוברים את כל הגלישה ב-HTTPS, עם תוכנית להכנסת מודעות בשם Superfish.- Chris Palmer (@fugueish)19 בפברואר 2015

זה מציג שורה שלמה של בעיות מעבר למודעות קופצות לא רצויות. Superfish בעצם פותחת חיבורים מאובטחים ומשתמשת באישור מזויף משלה כדי להערים על חיבורי HTTPS, כוללגוגל, פייסבוק וכל מספר אתרים אחרים המשתמשים באמצעי האבטחה הנפוץ כיום.

זה אומר שאם אישור המפתח הפרטי נפגע, כל מכשירי Lenovo עם Superfish מותקנת עלולים להיות בסיכון.

חוקר האבטחה מארק רוג'רסכתב בבלוג שלו: "אם תוכנה זו או כל אחת מתשתית הבקרה שלה נפגעת, לתוקף תהיה גישה מלאה ובלתי מוגבלת לאתרי הבנקים של הלקוחות המושפעים, לנתונים אישיים ולהודעות פרטיות."

רוברט גרהם, מנכ"ל Errata Security, הצליחלפצח את הסיסמהשהצפין את תעודת Superfish. זה אומר שהוא יכול ליירט תקשורת "מאובטחת" במחשבים ניידים של לנובו עם Superfish מותקן.

יצרני OEM למחשבים, מדורגים: 1. כולם מלבד לנובו. 99. לנובו— אד בוט (@edbott)19 בפברואר 2015

לנובו הוציאה את אהַצהָרָהב-Superfish, והצהיר שהוא נכלל רק עם המוצרים שלה "בחלון קצר בין אוקטובר לדצמבר כדי לעזור ללקוחות שעלולים לגלות מוצרים מעניינים בזמן הקניות". לאחר תגובה של לקוחות, הוא נמשך, על פי החברה, שלטענתה השביתה והפסיקה להתקין את התוכנה מראש בינואר.

חקרנו ביסודיות את הטכנולוגיה הזו ולא מצאנו שום ראיות המבססות את חששות האבטחה. אבל אנחנו יודעים שמשתמשים הגיבו לבעיה הזו בדאגה, ולכן נקטנו בפעולה ישירה כדי להפסיק לשלוח מוצרים עם תוכנה זו. אנו נמשיך לסקור מה אנו עושים וכיצד אנו עושים זאת על מנת להבטיח שאנו שמים את צרכי המשתמש, חווית וסדרי העדיפויות שלנו במקום הראשון.

לנובו הוסיפה כי Superfish לא עושה פרופיל של משתמשים, היא גם לא מתעדת את המידע שלהם או אפילו יודעת מי הם. דובר סירב להגיב ל- Mashable עוד; Superfish לא הגיב מיד לבקשתנו להגיב.

כְּמוֹהאינטרנט הבאציין, חוקר אבטחה אחד עשה סרטון (להלן) הממחיש כיצד להסיר את התוכנה באופן ידני. ייתכן שהיא לא תסיר בהצלחה את התקנת Superfish, שכןתעודה תישאר. הטוֹב בִּיוֹתֵרדרך הפעולה היא התחלה חדשה והתקנת מערכת הפעלה חדשה.

אתה יכול גם לבדוק אם יש Superfishכָּאן. כַּמָהתוכניות נגד תוכנות זדוניותלהרים גם את תוכנת הפרסום.