Lenovo schließt sich die bösartige Seite der Online-Werbebranche
Am Mittwochabend begann die Nachrichten auf Twitter zu brechen. Computer Security Analysten hatten etwas über ein Stück Werbung Software namens Superfish, ruchlosen entdeckt, die auf billige Lenovo Laptops wie Yoga 2 vorinstalliert. Superfish verließ die Laptops weit offen zur Übernahme von böswilligen Gegnern. Und es wurde alles getan, um Internet-anzeigen liefern.
Lenovo, vertrauenswürdigen Hersteller von günstigen und beliebten Laptops wie der Yoga-Serie, geriet schnell in einen Skandal verwickelt. Das Unternehmen hatte einen deal mit Adware Maker Superfish installiere ich seine Software auf eigenen Maschinen für einen Zeitraum von Monaten gemacht. Lenovo würde Geld von Superfish bekommen, indem es erlaubt es, Anzeigen von seinen Partnern auf der Web-Seiten zu ernähren, die Verbraucher besucht. Das Problem? Superfish Produkt wurde Lenovo Notebooks in weiche Ziele für kriminelle drehen.
Superfish entdecken
Der Ärger begann, als Twitter Facebook engineering Direktor Mike Shaver kommentiert:
Er bezog sich auf einen Man-in-the-Middle-Angriff (MITM), eine häufige Form der bösartigen Hack, die Ihre Gegner direkt in die Mitte Ihrer Netzwerk-Kommunikation ermöglicht. Ein typischer MITM-Angriff wird beispielsweise Ihren Traffic zu überwachen, bis Sie, sagen, eine Bank-Website Abfragen. Dann es neue Daten spritzt, leitet Sie auf eine gefälschte Bank-Website, wo Sie Ihr Passwort eingeben, und Sie können erraten, was als nächstes passiert. Die Idee, dass diese vertrauenswürdigen Computer-Hersteller Lenovo eine MITM-Angriff, Werbung in Volksrepublik Verkehrsstrom stecken ermöglichen könnte war ziemlich schockierend.
Fast sofort begann Google Chrome Sicherheitsexperte Adrienne Porter fühlte Graben in den Lenovo-Hilfe-Foren versuchen, herauszufinden, was mit diesem Superfish, was vor sich ging. Sie arbeitet auf die genaue Art des Problems, den Rasierer beschrieben hatte, mit einem Angriff, wo die bösen Jungs ein Fake "Cert" setzen, in diesem Fall ein selbstsigniertes Root-Zertifikat in Ihrem Browser. Diese gefälschte Cert erzählt Ihr Browser eine ganze Reihe von zusätzlichen Seiten zu vertrauen, die Chrome, warne IE und Firefox normalerweise vermeiden Sie. Im Grunde bedeutet dieses gefälschte Zertifikat, dass Browser auf Lenovo Laptops Vertrauen jede Website, die Superfish sagt ihnen, dass — einschließlich gefälschte Banken gefälschte Versicherungen, Facebook, fake.
Was fühlte wurde entdeckt, dass Superfish ein Thema der Kontroverse in den Lenovo Foren seit Monaten hatten Benutzer kein Ende der Kopfschmerzen verursachen. Nach Monaten der Beschwerden reagierte ein offizieller Sprecher der Lenovo Ende Januar bestätigt wird, dass Superfish in der Tat anzeigen in Ihren Traffic injizieren. Die Rep nannte es die "Superfish visuelle Erkennungs-Engine", und was sie Tat war jedermanns Netzwerkverkehr beobachten, und hinzufügen Werbung Suchergebnisse wenn es herausgefunden, dass sie waren einkaufen.
Oben sehen Sie, was Ihre Suchergebnisse mit Superfish installiert aussehen würde. Die "visuellen" Anzeigen wurden alle in diesem User-Traffic im Midstream injiziert. Es ist die Definition von einem Man-in-the-Middle-Angriff, wo ein Angreifer spritzt neuen Informationen in Ihren Traffic ohne davon zu wissen. In diesem Fall war die neue Informationen anzeigen, aber es hätte eine völlig gefälschte Website.
Filz war entsetzt und auf Twitter gepostet:
Dieses set aus einer Nacht des Hackens unter Filz Kollegen und andere Infosec-Experten, um herauszufinden, was zum Teufel diese Superfish-Software machte – und wie schlecht die MITM-Angriff wirklich war.
Es war schlimm.
Von gestern Morgen die Nachricht gebrochen hatte, alle über das Internet: Pre-Installation von Superfish Lenovo hatten verlassen Hunderttausende Kunden anfällig für MITM-Angriffe, die ihre Passwörter und persönlichen Daten in die Hände von kriminellen verlassen könnte. Und zwar auf Injektion lästige Werbung, die oft verschiedene andere apps brach und führte zu dieser ersten Kundenbeschwerden im Lenovo Forum im vergangenen Jahr.
Aber das Schlimmste war noch zu kommen. Eine Infosec Forscher mit Errata Security, Robert Graham, verbrachte seine Mittwochabend brütete über den Code, der Superfish ausmacht, und entdeckt, dass das Programm nicht nur bösartige – es war auch inkompetent. Es gibt eine Reihe von legitimen Programmen, die etwas wie ein MITM-Angriff auf Ihren Computer zu tun, um Ihren Traffic zu betrachten, wie es sich zwischen Ihrem Computer und dem Internet bewegt. Anti-Viren-Programme dazu, zum Beispiel, um bestimmte Arten von Malware zu erkennen.
In der Regel, wenn ein Antivirus-Programm eine MITM mit einem gefälschten Cert tut, jedoch erzeugt jede Installation von Anti-Viren-Programm einen einzigartigen privaten Schlüssel. Mit einem einzigartigen privaten Schlüssel auf Ihre Cert macht es viel schwieriger für die bösen Jungs, Ihr System zu missbrauchen. Aber Superfish? Seine gefälschte Zertifikate auf Hunderttausenden von Computern, hat alle den gleichen privaten Schlüssel geteilt. Und Graham hatte gefunden, mit einer sehr schnellen, einfachen Wörterbuch-Attacke. Im Grunde, warf er Wörterbuch Wörter auf das Programm bis einer gearbeitet. Das Wort, das arbeitete, war übrigens "Komodia," der Name des Unternehmens, dessen MITM Technik Superfish angetrieben.
Also lasst uns einfach Schritt zurück und bestaunen Sie das bedeutet für eine Minute. Im Wesentlichen hat Wer einen Lenovo Laptop mit Superfish drin jetzt hat die Schlüssel zu jeder anderen Lenovo Laptop mit Superfish. Ein Gegner kann drop $600 auf einem Computer, das Passwort zu knacken, und jetzt kann sie tun Masse MITM-Angriffe auf jeder andere Lenovo-Benutzer. Filz Kollegen und Kolleginnen und Google Chrome Sicherheitsexperte Chris Palmer auf Twitter genau das, was erklärt, dass würde bedeuten, in einer Reihe von Bildern.
Sobald Sie die Schlüssel an die gefälschte Superfish-Cert haben, können Sie sie auf um anderen Computern zu sagen, dass jede Website, die sie besuchen gültig und vertrauenswürdig ist, weil es auch ein Superfish-Cert hat! Sie wissen, wie wenn Sie eine scammy Seite aufzurufen, Chrome, Firefox und IE oft Sie senden eine Nachricht, die die Website sagt ist unsicher oder das Zertifikat ist fraglich? Mit Hilfe der Superfish MITM-Angriff, wirst du nie diese Nachrichten wieder – selbst wenn Sie eine gefälschte Version von Bank of America, Einrichten von bösen Jungs, Ihre Login-Daten zu stehlen besuchen.
Oben sehen Sie ein Bild von ein Zertifikat von Superfish für bankofamerica.com unterzeichnet. Normale Benutzer würde nie diesen Bildschirm sehen, es sei denn, sie in ihre Cert-Menüs nach unten gegraben –, seien wir ehrlich, It, die keiner von uns kann für jede einzelne Website, die wir besuchen. Aber Ihrem Lenovo Computer sieht es und es, aufgrund dieser fake Root-Zertifikat vertraut. Mit Superfish haben Sie keine Garantie, dass alles, was Sie im Web zu sehen ist, was es vorgibt zu sein.
Ihrerseits hat Lenovo räumte ein, dass Superfish ist ein Problem, und behauptet, die sie aufgehört haben, in neueren Computern Versand. Dennoch konnten mehrere Forscher Superfish finden zwei Nächte vor, Lenovo Notebooks, die sie gerade gekauft hatte. Gibt es Hoffnung für Menschen, die von Microsoft Defender, aber programmieren: das Unternehmen hat heute bekannt gegeben, dass Verteidiger Superfish wie andere Malware zerstört wird.
Es ist offiziell: Internet-Werbung ist eine Waffe
Die Frage ist, warum Lenovo dies tun würden? Für Geld natürlich. Superfish und andere Unternehmen wie es Zahlen für das Privileg, ihre Software auf Ihren Computern vorinstalliert. Die meisten apps finden Sie vorinstalliert auf Ihren Laptops, tablets und Handys von Firmen, die dafür bezahlt werden, formulierte vor Ihren Augen, in der Hoffnung, dass Sie ihre Dienste nutzen oder ein Upgrade kaufen. Normalerweise ist dies ein Ärgernis, aber kein Sicherheitsrisiko.
Aber mit Programmen wie Superfish, die andere Programme betreffen, werden Benutzer verletzt. Sie können deinstallieren Superfish, aber auch, wenn Sie das tun, Sie nicht deinstallieren, dass gefälschte Cert, die Superfish zurückgelassen in Ihrem Browser. Und das ist konstruktionsbedingt – Lenovo wusste, das würde geschehen. Aber das ist auch das, was ihr Abkommen mit Superfish so lukrativ macht. Superfish weiß, dass es Werbung für seine Partner für Portion halten kann, solange die meisten Nutzer haben keine Ahnung, was Zertifikate sind, geschweige denn, dass es ein fake sein kann, die ihre Sicherheit unterminiert.
Um fair zu sein, ist Lenovo in einer schwierigen Lage. Um Notebooks in ihrer Yoga-Linie zu so niedrigen Preisen zu verkaufen, haben sie ziemlich viel, Geschäfte mit Unternehmen wie Superfish zu machen. Das ist, was die Kosten für den Laptop subventioniert. Sie werden bemerken, dass Superfish ist in keiner der Lenovo High-End-Zeilen wie dem ThinkPad. Also nicht nur Verbraucher hier verschraubt immer, aber es der Verbraucher mit der geringsten Menge an Geld ist ausgeben – Studenten, Rentner und die Arbeiterklasse. Diese sind auch Menschen, die unter den am wenigsten wahrscheinlich zu haben, das Geld oder die Zeit, Lenovo zu verklagen, was das Unternehmen für sie getan hat.
Hier der Schlüssel zum Mitnehmen ist jedoch, dass der Superfish-Skandal kein Einzelfall ist – es ist nur derjenige, der die meiste Aufmerksamkeit in den Medien bekommen hat. Superfish und Unternehmen wie es machen Malware wie folgt für Unterhaltungselektronik-Geräten seit Jahren lassen Benutzer anfällig für Angriffe. Drüben bei Schiefer, Software-Ingenieur David Auerbach weist darauf hin, dass das letzte hoch-öffentliche Beispiel dieser Art der Sache war, wenn Sony gefährlicheren Malware auf ihren CDs zu rechtswidrigen Kopieren zu verhindern.
Im Fall von Superfish jedoch gibt es andere bestürzende Elemente der Geschichte. Komodia Gründer Barak Weichselbaum, Superfish deren MITM Technik eingebaut ist, ist eine ehemalige israelische Geheimdienst-Agent. Sollte Superfish auch Geheimdienste zu helfen, die Volkspartei Internetverkehr ausspionieren wollte? Oder war es nur basierend auf Techniken, die Weichselbaum und seine Kollegen gelernt hatte, während seiner Tätigkeit als Geheimdienst-Agenten?
So oder so, Superfish schlägt eine störende Verbindung zwischen staatliche Überwachung und Werbung im Internet. Selbst wenn Weichselbaums Verbindung zum israelischen Geheimdienst rein zufällig ist, gibt es nicht leugnen, dass Superfish die Regierung zu beteiligen, MITM-Angriffe erlauben könnte — leise snooping auf Ihren Internet-Verkehr – so einfach wie es helfen könnte, Ihre Passwörter zu stehlen Kriminelle.
Wir haben eine merkwürdige Zeit für die Werbebranche im High-Tech-Bereich eingetragen. Bei der Hardware-Hersteller haben, Ad-unterstützten Geräte wie der Yoga zu verkaufen, öffnen sie sich bis zu schattigen Angebote, die Verbraucher eine Menge potentieller Gefahren aussetzen. Wir sind auf die Idee, dass es schlechte Stücke von Spyware und Malware gibt gibt, begraben in Internet-anzeigen verwendet, aber jetzt könnte es an den Maschinen, die Sie dachten, Sie könnten Vertrauen sind vorinstalliert.
Wenn Sie besorgt sind, dass Superfish auf Ihrem Computer installiert ist, erfahren Sie hier mehr darüber, wie Sie es erkennen und es zu deinstallieren.