Superfish - adware w laptopach Lenovo. Jak działa i jak go usunąć

Kupując nowy komputer z preinstalowanym Windows, w zasadzie można mieć pewność, że oprócz systemu operacyjnego znajdzie się w nim cała masa dodatkowych aplikacji o wątpliwej przydatności. Preinstalowane na nowym komputerze oprogramowanie to zawsze powód do zmartwienia, gdyż często kupujący nie wie, co ono robi lub czy usunięcie go spowoduje problemy z działaniem całego systemu. Jednak co innego, gdy bloatware ogranicza się do pasków narzędziowych czy drobnych narzędzi pseudooptymalizacyjnych, a co innego, gdy próbuje wpłynąć na zachowanie użytkownika lub stanowi wątpliwe moralnie źródło dodatkowych dochodów producenta. A z tym mamy do czynienia w przypadku Superfish Visual Discovery.

Aplikacja analizuje obrazy oglądane przez internautę i na podstawie analizy zawartości serwuje reklamy. Za stworzenie programu odpowiada firma Superfish Inc z siedzibą w Tel Awiwie i Palo Alto, która przedstawia aplikację jako „najbardziej zaawansowany technologicznie system wyszukiwania wizualnego na świecie”. Co ciekawe, trafiła nawet na listę magazynu Forbes jako jedna z najbardziej obiecujących amerykańskich spółek.

Zobacz również:

• Lista niebezpiecznych aplikacji na Android. Tych aplikacji nie instaluj!
• Najlepsze tanie laptopy w 2023 roku - który komputer wybrać?
• Czy można zainstalować macOS na komputerze PC? [PORADNIK]

Połączenia z licznymi stronami internetowymi, w tym z wyszukiwarkami, są szyfrowane (HTTPS), co ma zapobiegać próbom przechwytywania i manipulacji przesyłanymi danymi lub „wstrzykiwania” treści (techniki takie określa się mianem ataków man-in-the-middle). Rozwiązaniem tego „problemu” jest generowanie przez Superfisha własnego certyfikatu SSL, który jest zapisywany w magazynie Windows. Dzięki temu Superfish jest akceptowany przez niektóre przeglądarki internetowe, które rozpoznają program nie tyle jako zaufanego dostawcę, ale wręcz urząd certyfikacyjny (CA). Było tak m.in. z Chromem i Internet Explorerem; Firefox używa własnego spisu zaufanych certyfikatów.

Nie znaczy to jednak, że użytkownicy Firefoksa byli całkiem bezpieczni. Organizacja Electronic Frontier Foundation za pośrednictwem swojej usługi Decentralized SSL Observatory odkryła bowiem ok. 44 tysiące certyfikatów podpisanych przez Superfish (projekt Decentralized SSL Observatory zbiera dane z przeglądarek Firefox z zainstalowanym rozszerzeniem HTTPS Everywhere). Może to oznaczać, że Superfish albo umieszczał swój certyfikat w magazynie poświadczeń tej przeglądarki, albo użytkownicy Firefoksa ignorowali wyświetlane przez niego ostrzeżenia.

Superfish - jak to się zaczęło

Pierwsze wzmianki o Superfishu pojawiły się jeszcze w ubiegłym roku. Posiadacze sprzętu komputerowego tej marki informowali o tym na forum Lenovo. W rezultatach internetowego wyszukiwania widzieli okna pop-up i banery reklamujące produkty powiązane z tematem wyszukiwania (Superfish przekierowywał ruch przez serwer proxy). Rychło ustalili też winowajcę. W odpowiedzi na rosnącą falę krytyki ze strony użytkowników firma oficjalnie poinformowała o wycofaniu się z instalacji oprogramowania na komputerach. Przyznała też, że Superfish umieszczano na niektórych systemach PC kierowanych do użytkowników indywidualnych, sprzedawanych między wrześniem a grudniem 2014 roku.

Lenovo zapewnia, że działanie technologii nie polegało na analizie zachowania użytkownika, mając jedynie charakter kontekstowy, i że nie śledziło klienta ani nie zapisywało żadnych informacji o nim. Oprogramowanie to w ocenie Lenovo miało jedynie „pomagać klientom w znajdowaniu potencjalnie interesujących produktów w czasie robienia zakupów w sieci”. Co ciekawe jednak, certyfikat Superfish działa nie tylko na stronach wyszukiwarek, ale wszędzie tam, gdzie witryny używają połączenia HTTPS. Ekspert ds bezpieczeństwa, Kenn White, pokazał fałszywy certyfikat, wygenerowany przez Superfish dla Bank of America:

Superfish - czym to grozi

Sprawa "wypłynęła" ponownie po kilku miesiącach, gdy uzyskano dowody, czym w rzeczywistości grozi obecność certyfikatu Superfisha w systemie. Lenovo, co prawda, początkowo tłumaczyło, że „dogłębnie przeanalizowało technologię i nie znalazło dowodów, by stanowiła zagrożenie bezpieczeństwa”. Fakty są jednak inne.

Chris Palmer, inżynier bezpieczeństwa w Google’u, który badał sprawę, zwraca uwagę, że Superfish używał tego samego certyfikatu z tym samym kluczem RSA (algorytm szyfrujący) na wszystkich komputerach, na których został zainstalowany. Długość klucza RSA to 1024 bity, co – jak na dzisiejsze standardy bezpieczeństwa – nie jest już wystarczające. Z uwagi na stale rosnącą moc obliczeniową komputerów takie szyfry łatwo złamać. Dość wspomnieć, że już w styczniu 2011 roku amerykański Narodowy Instytut Standardów i Technologii zarekomendował wycofanie wszystkich podpisów cyfrowych opartych na 1024-bitowym algorytmie RSA po 2013 roku.

Najważniejsze, że napastnik, który złamałby klucz zabezpieczający certyfikat, mógłby używać go do „uwierzytelniania” własnych certyfikatów potencjalnie niebezpiecznych witryn (np. stron phishingowych). A tego, że za pomocą technik inżynierii wstecznej jest możliwe odzyskanie klucza prywatnego certyfikatu Superfisha, dowiódł już Robert Graham z Errata Security.

Superfish - jak to się skończy

Superfish jest od jakiegoś czasu blokowana przez oprogramowanie antywirusowe, można się też spodziewać, że producenci przeglądarek także dodadzą ją do swoich czarnych list. Lenovo zapowiedziało już, że wyda specjalne narzędzie umożliwiające usunięcie Superfisha z systemu, ale i tak straty - w postaci zachwianego zaufania klientów - są nieodwracalne.

Dodajmy, że o ile na instalację Superfisha w systemie użytkownik nie miał wpływu (działo się to automatycznie po pierwszym uruchomieniu nowego peceta), to można było jego aktywności uniknąć poprzez niewyrażenie zgody na warunki licencji. Trudno to jednak uznać za okoliczność łagodzącą, a wyjaśnienia producenta - za wystarczające. O tym, jak ciężko usuwa się takie skazy na wizerunku, przekonało się już Sony w połowie poprzedniej dekady, po pamiętnej aferze z rootkitem instalowanym w Windows, a roznoszonym przez płyty CD z wytwórni Sony BMG.