Lenovo уличили в предустановке ПО, подменяющего сертификаты для HTTPS
19 февраля 2015 года
Пользователи новых моделей ноутбуков Lenovo обратили внимание на грубейшее вмешательство в частную жизнь со стороны предустановленных в системе компонентов, которые сводят на нет защиту от перехвата трафика при использовании HTTPS-соединений. Проблема заключается в том, что в систему предустановлено рекламное ПО (adware) Superfish, следящее за предпочтениями пользователей и подставляющее свои рекламные блоки на просматриваемые пользователем сайты, в том числе подобные блоки добавляются в поисковую выдачу Google и на сайты, доступные только через HTTPS. Для перехвата и подстановки данных в HTTPS-трафик в Superfish используются методы, типичные для MITM-атак - программа работает в качестве прокси, отдавая клиенту данные, заверенные подставным корневым SSL-сертификатом.
Чтобы данный сертификат не приводил к выводу предупреждений, он по умолчанию включён в системную базу доверенных корневых сертификатов. Наибольшая опасность связана с тем, что на разные компьютеры устанавливается общий подставной корневой SSL-сертификат, на основе которого для каждого сайта на лету генерируются индивидуальные фиктивные сертификаты. Исследователи безопасности уже смогли извлечь данный корневой сертификат из Superfish, что позволяет использовать его для создания сертификатов произвольных сайтов. Злоумышленники могут воспользоваться подобным методом для организации реальных MITM-атак и организовать незаметный перехват HTTPS-трафика, который не приведёт к выводу предупреждения в браузерах на ноутбуках Lenovo.
Добавление подставного корневого сертификата в системное хранилище сертификатов срабатывает только в Internet Explorer, Chrome и Safari. С Firefox такой трюк не проходит, так как он не использует хранилище корневых сертификатов Windows и полагается только на свой внутренний список сертификатов. Имеются сведения, что для решения данной проблемы Superfish осуществляет внедрение своего сертификата и в список корневых сертификатов Firefox. Пользователи ноутбуков Lenovo могут проверить подверженность своих систем проблеме на данной странице.
Компания Lenovo опубликовала (Архивная копия от 13 сентября 2017 на Wayback Machine) циничное заявление, в котором попыталась оправдать свои действия заботой о пользователях и желанием помочь получить информацию о потенциально интересных продуктах в процессе совершения покупок. Предустановка Superfish велась с сентября прошлого года, но уже полностью прекращена из-за большого числа отрицательных отзывов. Проблема затрагивает прочти все актуальные серии ноутбуков Lenovo.
Источники
править
Любой участник может оформить статью: добавить иллюстрации, викифицировать, заполнить шаблоны и добавить категории.
Любой редактор может снять этот шаблон после оформления и проверки.
Комментарии
Если вы хотите сообщить о проблеме в статье (например, фактическая ошибка и т. д.), пожалуйста, используйте обычную страницу обсуждения.
Комментарии на этой странице могут не соответствовать политике нейтральной точки зрения, однако, пожалуйста, придерживайтесь темы и попытайтесь избежать брани, оскорбительных или подстрекательных комментариев. Попробуйте написать такие комментарии, которые заставят задуматься, будут проницательными или спорными. Цивилизованная дискуссия и вежливый спор делают страницу комментариев дружелюбным местом. Пожалуйста, подумайте об этом.
Несколько советов по оформлению реплик:
- Новые темы начинайте, пожалуйста, снизу.
- Используйте символ звёздочки «*» в начале строки для начала новой темы. Далее пишите свой текст.
- Для ответа в начале строки укажите на одну звёздочку больше, чем в предыдущей реплике.
- Пожалуйста, подписывайте все свои сообщения, используя четыре тильды (~~~~). При предварительном просмотре и сохранении они будут автоматически заменены на ваше имя и дату.
Обращаем ваше внимание, что комментарии не предназначены для размещения ссылок на внешние ресурсы не по теме статьи, которые могут быть удалены или скрыты любым участником. Тем не менее, на странице комментариев вы можете сообщить о статьях в СМИ, которые ссылаются на эту заметку, а также о её обсуждении на сторонних ресурсах.
