Saturday, February 21st, 2015...2:30 am

Superfish

Jump to Comments

Ingen lär väl ha missat de senaste dagarnas kontroverser kring Lenovos installation av den ondsinta reklamappen Superfish på en stor del av sina datorer under 2014 och 2015. Det är lätt att bli avtrubbad av alla avslöjanden om intrång (de flesta av vilka från nationsstater) i vår förväntat säkra, personliga sfär. Men denna står ändå ut som en av de värsta.

De flesta PC-leverantörer installerar olika programvaror på sina datorer, för vilka de får en ansenlig ersättning, och som drastiskt försämrar användarupplevelsen, prestandan och stabiliteten i datorn. Det är tyvärr normalt i PC-världen, speciellt i lågprissegmentet.

Men Lenovo har fått långt utöver vad någon rimligen kunde förvänta sig. Superfish, ett program Lenovo installera på vissa av sina datorer mot ersättning, är ett program som går in och lägger till egen reklam på de websidor som användarna tittar på. Ifall sidorna redan har reklam, så ersätts den med Superfishs (och sidan förlorar sin egen reklamintäkt).

Det är bara förrätten. Superfish gör dessutom detsamma på sidor som ska vara krypterade/säkrade med SSL/TLS, t.ex. internetbanker, skatteverket, eller varsomhelst där man anger sitt kreditkortsnummer. För att göra detta, så plockar den (i allt väsentligt) bort krypteringen och säkerheten helt och hållet (genom att på datorn installera ett eget s.k. rotcertifikat, med medföljande privata nyckel). Konsekvensen är att, för någon som har en påverkad Lenovo-dator, så kan vem som helt låtsas vara precis vem som helst på internet, utan att några som helst varningsklockor klämtar.

Under normala omständigheter är SSL/TLS ett säkert kommunikationssätt (undantaget frågan om organisationer som NSA), men det förutsätter att vissa aktörer, som datortillverkaren och skaparen av operativsystemet och webläsaren kan förväntas vara pålitliga och inte aktivt försöker underminera din säkerhet. I det här fallet har alltså datortillverkaren avsiktligt installerat ett förfalskat rotcertifikat, någonting som kan validera vilken annan site som helst, oavsett om det är den riktiga eller inte (dvs om det är Superfish som utger sig för att vara, t.ex., Nordea, för att lägga in reklam på din internetbank). Det är dessutom något som vem som helst kan använda för att göra detsamma, i och med att den privata nyckeln skickas med varenda påverkad Lenovodator (för att säkerheten ska fungera så måste den privata nyckeln, som namnet antyder, hållas privat, inte spridas runt på tiotusentals datorer runtom hela världen).

Vem som helst kan alltså, om du har detta Superfish-certifikat installerat på din Lenovo, utge sig för att vara din bank, eller läsa din email, eller privata facebookmeddelanden, eller vadsomhelst. Vem som helst kan alltså göra det Superfish gör, att ändra på sidorna man ser. Superfish gör det för att lägga in reklam. Någon annan kanske gör det för att ändra mottagaren av en betalning, eller för att spara undan ditt lösenord till någon tjänst.

Det mest enorma är vad detta säger om etiken inom Lenovo. Detta malware (skadlig programvara, ett vidare begrepp som innefattar såväl virus som sådant som avsiktligt placerats av någon angripare) är något som Lenovo alltså har fått betalt för att installera på sina kunders datorer, och levererat under ca ett halvår innan det upptäckts. De ekonomiska och tekniska förhandlingarna som föregått den publika utrullningen har säkerligen pågått i något år. Hundratals, kanske tusentals, personer, många av vilka i ledande positioner, har känt till detta, utan att någon har hindrat det.

Superfish är som sagt exceptionellt, i det att det är ett totalt säkerhetshål som gör användarna som har det på sin dator fullkomligt oskyddade i alla sina transaktioner på internet. Men konceptet att installera reklamprogramvara eller annan programvara som datorleverantören får betalt för, är väl etablerat. I de flesta fall leder det alltså inte till “mer” än att datorn blir långsam, instabil, och att användaren ständigt störs av popuper och liknande som att t.ex. beställa ett abonnemang till ett helt onödigt “antiviruspaket”. Om det finns någonting positivt i den här affären, så är det förhoppningen att Lenovo blir stämda så djupt in i det röda, att alla PC-tillverkare ryggar tillbaka från affärsmodellen att installera skitprogramvaror, att sälja ut sina kunder för några extra kronor från en tredje part.

För alla stackare som har Lenovodatorer, kan jag tyvärr bara ge följande råd: Om din dator är tillräckligt ny för att omfattas av garanti, försök återlämna den till säljaren. Om inte, ge den till någon som är kapabel att helt formatera om den med en ren Windows-version (någon Lenovo tyvärr gör mycket svårt).

Comments are closed.