Kinesiska datorjätten Lenovo sade i torsdags att man inte längre kommer att förinstallera adware-programmet Superfish i sina produkter. Superfish har kritiserats av cybersäkerhetsexperter för att göra användarna sårbara för att bli hackade.
Det var i torsdags som Lenovo meddelade att man inte längre förinstallerar Superfish, och att produkten inte längre är aktiv. I nuläget kan sårbarheten i systemet bara tas bort manuellt av de Lenovo-användare som påverkats, och Lenovo sade att man arbetar på en mjukvaruuppdatering som kommer att ta bort det här säkerhetshålet.
”Så snart som programmeraren är klar kommer vi att erbjuda ett redskap som tar bort alla spår av appen från folks bärbara datorer”, sade Lenovos teknikchef Peter Hortensius till Wall Street Journal.
Cybersäkerhetsexperter menar att Superfish exponerar Lenovoprodukter för spionage när man använder normalt säkra uppkopplingar, som till exempel i bankärenden, och har kallat Lenovos beslut att förinstallera mjukvaran för ett allvarligt etikbrott. En del har gått så långt att de kallar Superfish för ”malware”, alltså skadlig programvara.
”Vi litar på att våra hårdvarutillverkare bygger produkter som är säkra. I det nuvarande klimatet, där cyberbrottsligheten växer allt mer, så är man i en mycket svår position om man inte kan lita på sina hårdvarutillverkare”, skrev Marc Roger, säkerhetsforskare på CloudFlare på sin blogg på torsdagen. ”När skurkar kan ta sig in i leverantörskedjan och installera malware är det förödande.”
”Det värsta jag sett”
Superfish gör användarna sårbara för så kallade man-in-the-middle-attacker, även när de använder krypterade uppkopplingar, enligt Rogers. Sårbarheten kan inte upptäckas genom vanliga säkerhetskontroller, enligt säkerhetsexperter.
”Det här är ofattbart korkat och oansvarigt av dem. Det kan vara det värsta jag någonsin sett en tillverkar göra mot sina kunder”, skrev Rogers.
Lenovo har förnekat att Superfish utgör ett säkerhetshot och säger att man har tagit bort det för att förbättra användarupplevelsen.
”Vi har noggrant undersökt den här teknologin och inte hittat något bevis som motiverar den här oron för säkerhetsproblem”, sade Lenovo. ”Men vi vet att användare har reagerat med oro på den här frågan, och vi har direkt agerat för att inga fler produkter ska levereras med den här mjukvaran.”
Robert Graham på Errata Security demonstrerade på sin blogg hur han knäckte lösenordet till certifikatet för Superfish, vilket ”gav honom tillgång till den krypterade kommunikationen” hos dem som använde bärbara Lenovo-datorer på samma trådlösa nätverk, som till exempel en hotspot på ett café. Lösenordet för certifikatet är namnet på ett företag som säljer mjukvara som hjälper föräldrar att spionera på sina barns datortrafik.
Avfärdar oron
Lenovo har emellertid avfärdat oron som ”teoretisk”.
”Vi försöker inte gräla med säkerhetfolket. De jobbar med teoretiska problem”, sade Hortensius. ”Vi vet inte om att något dåligt har inträffat. Den feedback vi fick från användarna var att programmet inte var till någon nytta, och det är därför vi har stängt av det.”
Det här är inte första gången som ett kinesiskt teknologiföretag har hamnat under luppen för cybersäkerhetsproblem. Den amerikanska kongressen utredde till exempel Huawei och ZTE år 2012, och kom fram till att de utgjorde ett hot mot USA:s säkerhet, eftersom deras utrustning troligen innehöll bakdörrar, som kunde användas för att spionera på amerikaner.
Det var dock många delar av utredningen där man inte kunde komma fram till några definitiva slutsatser, eftersom inget av företagen förklarade vilken roll ”Kinesiska kommunistpartiets kommittéer” spelade i företagen, och inte heller berättade något om sina interna ledningsstrukturer.
Enligt marknadsundersökningsföretaget IDC är Lenovo världens största tillverkare av persondatorer, och dess produkter utgjorde en femtedel av den globala marknaden i oktober 2014.