Računalniki Lenovo z veliko varnostno luknjo

Matej Huš

20. feb 2015 ob 14:45:01

Lenovo je med oktobrom in decembrom lani na računalnike, ki so jih prodajali, namestil programsko opremo za prikazovanje boljših, personaliziranih oglasov. Pri tem pa so zagrešili hudo varnostno malomarnost, ki lahko sedaj po odkritju uporabnike prevara, saj napadalcem omogoča izvedbo napadov MITM.

Gre za program Superfish, ki ga je Lenovo nameščal na računalnike. Ta pri brskanju po spletu "ugrabi" sejo, uporabnika preusmeri na svoje strežnike, da lahko v stran vstavi ciljane oglase, in šele nato prikaže stran. Da bi postopek deloval tudi pri uporabi varnih strani (HTTPS), ki še zdaleč niso omejene več le na e-bančništvo, saj jih imajo na primer tudi Google, Facebook in naša stran, je Lenovo na računalnike namestil Superfishov root TLS certifikat. Zaradi tega brskalnik prikaže kot zaupanja vredne strani, ki vmes naredijo postanek na strežnikih Superfish, saj jih podpiše njihov certifikat. To je nesprejemljivo iz več razlogov, a so bili še bolj površni.

Velika malomarnost je, da so na vse računalnike namestili identičen certifikat. Raziskovalci pri Errata Security so namreč uspeli zlomiti ta ključ, geslo pa je bilo komodia. Spodbudilo jih je odkritje Chrisa Palmerja, ki je kupil Lenovo Yoga 2 Pro in opazil, da stran Bank of America na njegovem računalniku podpisuje certifikat Superfish, ne pa VeriSign. In ko je obiskal še druge strani, je bil podpisnik isti.

Sedaj lahko vsakdo izdela poljubno stran in jo podpiše s tem certifikatom, pa uporabniki računalnikov Lenovo ne bodo opozorjeni na nepristno stran, kar je eden izmed glavnih namenov uporabe HTTPS. Tudi tehnika certificate pinning to pot uporabnika ne zaščiti. Tako na primer niti uporabnik Chroma, ki obišče Googlovo stran HTTPS, ne bo opazil, da je certifikat podpisal Superfish. Ranljivi so kar vsi brskalniki, ki jih uporabnik namesti na takšen računalnik.

Lenovo je dejal, da od januarja letos Superfisha ne nameščajo več svoje računalnike. Kdor je v dvomih, lahko na spletu hitro preveri, ali je njegov računalnik ranljiv.