9:12
19/2/2015

Domyślna instalacja systemu (czyli to co startuje po wyjęciu laptopa Lenovo z pudełka) wgrywa oprogramowanie Superfish, czyli adware znany też jako VisualDiscovery. Jego zadaniem jest podmiana lub wstrzykiwanie nowych reklam do stron internetowych, jakie odwiedza użytkownik laptopa. Ale nie to jest w tym oprogramowaniu najgorsze…

Laptopy Lenovo ze szpiegiem

Historia wypłynęła na jaw na forum Lenovo już we wrześniu 2014, jednak dopiero ostatnio jeden z pracowników firmy przyznał rację klientom i napisał:

Tymczasowo wyłączamy Superfisha na świeżoprodukowanych laptopach dopóki nie usunie funkcjonalności z popupami, która drażni naszych klientów. Jeśli chodzi o te, które już zostały rozesłane do sklepów, poprosiliśmy producenta Superfisha o wypuszczenie aktualizacji, która usunie popupy.

Jak wygląda reklama od Superfisha?

Jak wygląda reklama od Superfisha?

Lenovo stoi na stanowisku, że Superfish pozwala klientom znaleźć produkty, których szukają (za co zapewne Lenovo otrzymuje prowizję) a że robi to 100% alorytmicznie to “nie narusza prywatności użytkownika”. W ich opinii Superfish jest więc oprogramowaniem przydatnym. Przed zarzutami o wciskaniu go na siłę firma broni się argumentem, że podczas pierwszego włączenia klient może nie zaakceptować regulaminu oprogramowania i wtedy nie będzie ono działać (wstrzykiwać swoich reklam na obcych stronach).

Poważniejszy problem niż reklamy to możliwość podsłuchu połączeń

To nie w reklamach jest problem, a w sposobie, w jakim Superfish je wstrzykuje… Superfish działa bowiem na zasadzie ataku Man in the Middle.

Doinstalowany certyfikat Superfish

Doinstalowany certyfikat Superfish

Aby móc wstrzyknąć kontekstową reklamę w połączenie HTTPS, instaluje ono na systemie klienta swój certyfikat SSL (własne CA) i przekierowuje ruch przeglądarki użytkownika przez serwer proxy. W ten sposób może bez efektu “złamanej kłódki” podglądać zawartość połączeń szyfrowanych HTTPS.

Certyfikat Superfish

Certyfikat Superfish pojawia się jako certyfikat dla domeny, która w rzeczywistości ma inny certyfikat SSL

Klient łączy się de facto z fałszywym serwerem (po HTTPS), co oznacza, że fałszywy serwer widzi wszystkie dane klienta. Następnie fałszywy serwer przekazuje dane do prawdziwego, docelowego serwera (strony WWW, którą chciał obejrzeć użytkownik).

W przypadku Windowsa, przejmowane będą połączenia wykonywane z przeglądarek Internet Explorer i Google Chrome. Mozilla nie korzysta z systemowego zbioru certyfikatów SSL — ma własny, do którego Superfish nie wstrzykuje certyfikatu.

Jak podsłuchiwać okoliczne laptopy Lenovo?

Żeby było śmieszniej, certyfikaty są takie same na każdym z laptopów — co może oznaczać, że ktoś, kto zdobędzie klucz prywatny (a ten zapewne jest w kodzie programu) będzie mógł generować akceptowane przez klientów Lenovo certyfikaty SSL dla fałszywych stron internetowych i w konsekwencji podsłuchiwać dane osób korzystających z laptopów Lenovo… To daje olbrzymie możliwości phishingowe.

Wygląda na to, że klucz prywatny zapisany jest od tyłu do przodu. Pewnie po to, aby utrudnić analizę ;)

Wygląda na to, że klucz prywatny zapisany jest od tyłu do przodu. Pewnie po to, aby utrudnić analizę ;)

Mam laptopa Lenovo – co robić, jak żyć?

Jeśli macie nowego laptopa od Lenovo (pierwsze doniesienia o Superfish pojawiają się w połowie 2014 roku) to rzućcie okiem na poniższy filmik obrazujący jak ręcznie pozbyć się składników Superfisha — zwykłe odinstalowanie Superfisha nie usuwa bowiem certyfikatu — to oznacza, że dalej można wprowadzać w błąd użytkownika i podsłuchiwać jego połączenia.

Superfisha wykrywają też antywirusy. Zapewne po tej aferze, certyfikat zostanie zablokowany w nowej wersji Google Chrome.

Oczywiście jak zawsze, dobrym rozwiązaniem jest całkowite usunięcie “domyślnego” systemu operacyjnego i zainstalowanie własnego, z czystej kopii (nie systemowej partycji “recovery”). Taki system powinien być bez “producenckich dodatków” — ale jeśli zamiast osiedlowego sklepu z oprogramowaniem wybraliście sieć hipermarketów BitTorrent, to miejcie świadomość, że Windows pozyskany z tego źródła, bardzo często od razu będzie miał doinstalowaną koparkę Bitcoina lub podstawiony certyfikat CA jednej z grup przestępczych (co umożliwia im, na takiej samej zasadzie jak Superfishowi, podszywanie się pod dowolną domenę). Mówiąc krótko, możecie zamienić siekierkę na kijek. Na szczęście bez problemu można dziś zdobyć darmowy i legalny system operacyjny.

PS. Oby tylko SuperFish nie połączyło się z GreyFishem, bo wtedy na pewno przetrwa reinstall ;-)

PPS. Wygląda też na to, że nawet nagłówek HSTS nie pomoże stronom bankowości internetowej przed “przechwyceniem”, bo SuperFish jest instalowany w systemie przed wykonaniem pierwszego połączenia ze stroną banku, a więc już na tym etapie może wyciąć nagłówek HSTS banku i uniemożliwić tym samym wymuszenie na przeglądarce weryfikacji certyfikatu po jego ID.


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

103 komentarzy

Dodaj komentarz
  1. Jednak plus kupienia laptopa i systemu oddzielnie jakiś jest :). Ewentualnie trzaskać formata od razu po zakupie…

    • Powiedzmy. W obecnych czasach istnieje ogromne prawdopodobieństwo, że podobny syf siedzi w biosie płyty głównej, nośnika SSD itd.

      Lenovo już drugi raz ma podobną wtopę. Dla mnie to dyskwalifikacja dla tej firmy, która dostarczała ThinkPady do biznesu. W dodatku ich durne tłumaczenie, gdy jeszcze sprawa nie byłą jasna to kolejna wtopa.
      A jak już okazało się, ze kłamstwem nie da się wybrnąć z tego bagna to nagle zaczęli być potulni i przyznali się do sprawy.

      Takie coś bardzo źle świadczy o firmie.
      Mało, że spieprzyli jakość, która cechowała IBM to jeszcze takie numery.
      Dla mnie to jest wystarczający powód by nie kupić ich sprzętu wypełnionego po uszy idiotycznym oprogramowaniem zamulającym cały system.
      Taki banał jak aplikacja do WiFi potrafi się odpalać wieki. I po kiego taki soft pakować w system skoro windows ma swój manager połączeń z sieciami bezprzewodowymi.

    • @qwertuMM: nie rozpędzajmy się, grzebanie w biosie czy firmware SSD to coś znacznie przekraczającego umiejętności klepaczy kodu z Lenovo.

  2. jak ja sie z tym syfem nauzeralem… ale wylecial ;]

  3. Kwestia rzeczy instalowanych w laptopach w ogóle jest irytująca
    Adware, trojany to jedno, ale jest też mnóstwo domyślnie instalowanego badziewia innego typu (gry, widżety etc) które naturalnie jest dziurawe.

    • badziewia innego typu (gry, widżety etc) które naturalnie jest dziurawe.

      Nie tyle “naturalnie jest dziurawe” tylko “jest naturalnie dziurawe” :)

  4. Po kupieniu nowego laptopa warto od razu zmienić system na FreeBSD.

    • Szkoda tylko, że jest taki problem ze sterownikami wifi. Poza tym trudno nie polecić freeBSD. Jest chyba jeszcze wersja openBSD dla ludzi, którzy nie preferują vima i elinksa do codziennej pracy, bo ich stać na myszkę.

    • @takwlasnie

      vim obsługuje myszkę!

    • Albo zamiast kupować laptop można napierdalać patykiem w piasek, ale chyba nie o to chodzi w 21 wieku?

    • >Po kupieniu nowego laptopa warto od razu zmienić system na FreeBSD.

      I zrezygnować z suspenda? ;) Bo jak ostatni raz testowałem FreeBSD na lapku (niecały rok temu) to po 2-3 uśpieniach system wstawał ale już bez portów USB. I potrzebny był reboot.
      Ja bez suspenda żyć nie mogę dlatego bym raczej powiedział:

      Po kupieniu nowego laptopa warto od razu zmienić system na Slackware. :)

  5. Mam dwa laptopy Lenovo – firmowy (thinkpad) i prywatny (low budget). Na obu zauważyłem że w dziwnych momentach zapala się diodka od kamery (np. czasami przy uruchamianiu Chrome’a). Zakleiłem kamerki, bo nie mam pojęcia jak się tego pozbyć.

    • Ehh, również się zastanawiałem czy włączanie kamerki w losowych momentach to jakiś błąd czy co. Również mam laptop Lenovo i ten sam problem.

    • W jakim modelu tak masz? Ja w IdeaPad G50-70.

    • Lenovo G580

    • Mam to samo. odpalam wtedy Skype i zamykam po chwili, dioda gaśnie.

    • @czeslaw

      Ale Twoje zdjęcie już wtedy jest w Beijing… ;)

    • Ja mam lenovo i mi się tak nie robi. I tak zakleiłam kamerkę na wszelki wypadek. Ale nigdy nie było tak, że mi się włączyła dioda jak nie używałam kamerki.

    • u mnie naszczescie sie nie wlacza sama… albo nie zauwazylem by sie wlaczala

  6. Dlatego ja zawsze stawiam czysty system klientom po zakupie laptopa dowolnego. Po prostu postawienie czystego systemu + sterowniki jest szybsze niż odinstalowywanie całego syfu, jaki dają producenci. Niektóre komponenty po 5 minut umieją się odinstalowywać.

    • Problem jest taki, że muszą oni zapłacić za nowy system, a “przecież kupili komputer z windowsem”. Za takie numery jak opisane w tym artykule Lenovo powinno zostać ukarane.

    • Nie, czemu?
      Wyciągasz z obecnego systemu aktywację windowsową, wgrywasz winde z MSDN i wsadzasz aktywacje z powrotem ;3
      System czysty, aktywowany – jak od producenta, ale masz kontrole nad tym co w nim siedzi.

    • Możesz podpowiedzieć co rozumiesz przez wyciągnięcie aktywacji z obecnego systemu? Jakaś podpowiedź jak to zrobić

    • JuniorJPDJ : a to ja po prostu ściągnąłem taką samą wersję z jaką był laptop, tylko BOX a nie OEM, przepisałem oryginalny klucz ale jednak komunikat o braku legalności wyskakiwał.

    • Można zautomatyzować odinstalowanie przeinstalowanych rzeczy choćby przez PC Decrapifier. Ale fakt, postawienie czystego systemu jest lepszym rozwiązaniem.

    • Asd: to masz jakieś dziwy. Wielokroć instalowałem Win7 Pro z różnych nośników Dellowskich. Te nośniki mają co prawda preinstalowany klucz OEM, ale dla świętego spokoju zmieniałem go na zgodny z tym co jest na obudowie i nigdy nie było problemu z aktywacją systemu.

    • @Tomek, można takim narzędziem wyciągnąć klucz aktywacji -> ABR (Activation Backup and Restore), a potem go przywrócić do nowej instalki OEM. Testowane na win7 od HP.
      U jednego klienta musiałem przeinstalować system, oczywiście nie miał płyt recovery a partycja recovery została usunięta, a klucz z COA było nieczytelny.

  7. A to ktoś zostawia ten preinstalowany system na komputerze? Po tytule bałem się, że to rozwiązanie siedzące gdzieś niżej, niezależne od systemu – czytam artykuł a tu info, że jakieś gówno instalują domyślnie… Wg mnie tytuł powinien być nieco inny i dający jasno znać, że chodzi o sam OS.

  8. Potwierdzam. Miałem tą aplikację zainstalowaną domyślnie na laptopie Lenovo (nie przypominam sobie jednak żeby w jakikolwiek sposób prosiła mnie o zaakceptowanie regulaminu).

    Zorientowałem się, że coś jest nie tak po wejściu na stronę banku – kłódka w Firefox wyglądała inaczej (nie było zielonego pola z nazwą banku w pasku adresu), a wystawcą certyfikatu był właśnie Superfish.

    • Czytanie ze zrozumieniem. Superfish nie może działać na Firefoxie on ma swój własny zbiór certyfikatów SSL

    • Swoją drogą zabawne jest obserwowanie takiej udzielającej się paniki po większości takich artykułów. Nagle każdy widzi że na sto procent jego też zhakowali

    • @Felix: przeczytaj jeszcze raz: “wystawcą certyfikatu był właśnie Superfish”.

    • Czytać umiem. Napisałem jak było.

  9. ‘Siedzę i się dziwię
    Choć mówiłem, że nigdy już mnie nic nie zdziwi
    Jak daleki jest świat od normalności
    Gdy tacy ludzie decydują w ogólności’

    Cytat z kawałka ‘Odrzuć to’ Kazika.
    Serio, wiele rzeczy widziałem, ale po przeczytaniu tego newsa aż za głowę się złapałem, a szczęki zaraz zacznę szukać pod biurkiem. Toż to jawna inwigilacja użytkowników, producent powinien ostro po dupie dostać za takie zagrywki.

  10. Ładne kwiatki miałem kiedyś kupując nowego laptopa w Media Markcie. Rozpakowuję, otwieram, paczę i oczom nie wierzę. 20 GB jakichś gier pirackich. Laptop wymienili, ale patrzcie co kupujecie. A z tym superfishem to niezły sajgon.

    • co z tym Sajgonem? mieszkam sobie tu spokojnie :D

  11. Na zrzucie zaprezentowany jest MitM na Facebooku. Ale podobno Google Chrome posiada zapisane na stałe najważniejsze certyfikaty. Jakim cudem to zadziałało?

  12. Ano,może lekarstwem jest póki co WINE i jego rozwój.To na szczęście dość łatwe do ominięcia wysokopoziomowe software.Na razie.Swego czasu były problemy z UEFI i Linuxem “pod jednym dachem”. Warto też przeczytać napisany ostatnio inny artykuł Niebezpiecznika: https://niebezpiecznik.pl/post/rosjanie-ujawnili-techniki-hackerskie-i-narzedzia-z-jakich-od-14-lat-korzysta-nsa/ , już nie mówiąc o “przedawnionych” sprawach chińskich telefonów z trojanami. Wspominałbym o obawach EFF dotyczących nawet dronów: https://www.eff.org/deeplinks/2015/02/who-really-owns-your-drones . Prawda jest taka,że co gorsza również wroga ingerencja w firmware i obwody hardware będzie coraz częściej się pojawiać,ponieważ to jest już bardzo słabo broniony wektor ataku. Póki co mamy tu na szczęście atak “na oprogramowanie” z socjotechniką “na długą licencję”.

    I nazwanie tego “atakiem” nie jest złośliwością – usprawiedliwienie firmy jest żałosne. Oddaj nam swoją prywatność i to nawet nie dla iluzji bezpieczeństwa,po prostu dostaniesz lepiej sprofilowane reklamy. :D Tak jakby “lepsze dopasowanie produktu” było łaską dla konsumenta,a nie korzyścią dla marketingowców i sprzedawców.Obłęd.

    Jeśli chodzi o producentów, to zaufanie do tego,co wyprodukują – niezależnie czy software czy dedykowane hardware – jest po prostu NADMIERNE.Od czasów gdy lobby “autorskie” udowodniło,że można brać wielokrotnie razy kasę za tą samą usługę sektor software a za nim sektor producentów hardware niebezpiecznie podąża ku tej samej ścieżce zarobkowania kosztem praw konsumenta do produktu. NASZ SPRZĘT JEST CORAZ MNIEJ NASZ. Wielkie firmy coraz bezczelniej sobie pogrywają z licencjami (w działach prawnych korporacji zarabia się więcej niż w budżetówce – tymczasem prawo, to coś dużo gorszego i mniej jednoznacznego niż kod źródłowy i jeszcze łatwiej może być “shackowane”).

    Jeśli to podejście – coraz mniej osobistej własności,coraz więcej wymuszonego “korporacyjnego leasingu” na ograniczonych prawach będzie trwało – nieuchronnie skończymy w utopijnym socjalizmie,gdzie nawet bielizna i skarpetki są wspólne – albo co gorsza jako niewolnicy i własność państawa/korporacji “wynajmujący” nawet te rzeczy.

    • „nieuchronnie skończymy w utopijnym socjalizmie” – o jakim socjaliźmie ty mówisz?↓
      „gdzie nawet bielizna i skarpetki są wspólne” – słowo kluczowe: WSPÓLNE – co niby dzisiaj jest wspólne? «chyba tylko pieniądze na emeryturę»
      „albo co gorsza jako niewolnicy i własność państawa/korporacji “wynajmujący” nawet te rzeczy.” – to prędzej (korporacji – bo państwo już praktycznie nic nie posiada), przecież idziemy w kierunku wszystko jest korporacji a ty nic nie posiadasz i jeszcze płacisz. «czy tylko ja widzę tu sprzeczność?»
      Kiedyś człowiek posiadał grę lub program , teraz zaczyna „korzystać” z „usługi”.

    • ale bełkot.

  13. Podpadli mi już tym że zmienili wtyczkę zasilania, i teraz wszystkie zapasowe zasilacze nie miałyby zastosowania – dlatego nie kupuję nowych modeli Lenovo.
    Teraz jeszcze to – tak prostackie i bandyckie, że aż nie do wiary. Za kogo nas mają?

    Czas na zmianę dostawcy, choć dużego wyboru nie ma, może Dell?

    • Jeśli chodzi o sprzęt ‘do roboty’ a nie taki, który ma ładnie wyglądać, to od lat wybieram albo Lenovo, albo Dell (dawniej jeszcze IBM). Najszerszym łukiem omijam HP od czasów, kiedy potrafiły się przegrzewać stojąc na biurku! Nie wiem, czy to już historia, czy nadal aktualne, ale mojego Della mogłem kocem owinąć a i tak zapieprzał jak zły :].

    • @Idiot: piszę z HP i nie narzekam, wszystko z nim OK :)

    • Mam hp 6570b i musze przyznac, ze jestem bardzo zadowolony.

    • @Joanna
      No to się bardzo cieszę, że HP Ci dobrze służy. Po prostu dawniej miały ogromne problemy z przegrzewaniem się – każdy serwisant, który siedzi w biznesie z 10 lat z pewnością potwierdzi Ci moje słowa.
      Nie jestem bynajmniej wrogiem marki – wręcz ubolewałem z powodu tych problemów z temperaturą, bo zawsze bardzo podobał mi się design tego sprzętu.

  14. a jak sprawdzić w systemie czy nie mam jakiś dziwnych certyfikatów ?

    • Też jestem ciekaw, link wyżej za dużo nie wnosi do tematu, wiem jak sprawdzić obecnie używane certy, ale nie mam pojęcia jak znaleźć wśród nich te niepożądane.

      Czy zwykły traceroute nie powinen mi pokazać, że ruch zawsze leci przez jakiś dziwny serwer?

  15. Znajomek miał raz laptopa Lenovo z Vistą, pamiętam że po włączeniu zostawiał go na ok 20 min w spokoju, inaczej lapek był nie do użytku i się wieszał. Już wtedy (4 -5 lat temu) Lenovo miało złą opinię, a teraz po Superfiszu to ta firma dla mnie nie istnieje.

    • Czyli to wina Lenovo, że Vista muliła? Oryginalne.

  16. Kupuję laptopy bez systemu i nie żałuję :)

  17. To już jest chamówa, mam nadzieję że Lenovo za to zostanie ukarane, czy to poprzez wskaźniki sprzedaży, czy przez jakieś organizacje konsumenckie.

  18. Odnośnie niebezpieczeństwa związanego z lewymi OSami z BT: mydigitallife. Do widzenia.

    • Ktoś może rozwinąć, bo nie rozumiem?

    • …że wraca do liczydła.

  19. “sieć hipermarketów BitTorrent” – lepsza niż osiedlowe Bieronki
    Niezłe Piotrze i wyszło porządne hasło reklamowe.

  20. A w jaki sposób rozpoznać które certyfikaty zainstalowane w systemie są potrzebne a które są zbędne i są takimi Man in the Middle?

  21. Ja ostatnio kupiłem lenovo g50-30 i myślałem że sam go sam zasyfiłem że takie rzeczy mam. Dzięki za ten artykuł.

  22. Kupuje ThinkPad’a, wyjmuje dysk, wkładam SSD, instaluje wszystko na czysto. Gotowy software od producenta – zgiń zapomnij…

  23. Tylko jakieś 5% z klientów Lenovo będzie w stanie usunąć sobie ten syf, zatem zawsze zostaje te 95% na których Lenovo zarabia dodatkowo. Biznes niezły.

  24. Proponuję dorzucić do artykułu poradę w jaki sposób usunąć certyfikat CA, bo tego na filmie nie ma, a wiele osób po prostu nie wie jak to zrobić i ograniczy się do tego, co jest na filmie (a tam właściwie jest bardzo mało).

  25. “Żeby było śmieszniej, certyfikaty są takie same na każdym z laptopów”

    zeby bylo smieszniej, to glowny cert Verisign, Comodo czy kogokolwiek innego, tez jest ten sam na kazdym z laptopow… zomg co robic, jak zyc?

    droga Redakcjo – to jest tylko glowny cert, ktorym sa podpisywane te certy wlasciwe na proxy – chyba ze lenovo na kazdego laptopa wrzuca wszystkie certy od wszystkich mozliwych stron https ktore uzyszkodnik ma zamiar odwiedzic?

    • Problem polega na tym, że ten trojan Superfish ma w sobie zaszyty klucz prywatny do tego certyfikatu. Jak go wyciągniesz, będziesz mógł podpisać dowolną stronę, a użytkownik Lenovo zobaczy kłódkę. Na konkurencyjnej stronie jest opis jak to zrobić.

    • @dustpuppy: Fajnie, “droga Redakcjo – to jest tylko glowny cert”.
      Z takiej firmy Gemalto też ukradli “tylko jeden zestaw kluczy”.

      Dzięki temu agencje mają możliwość podsłuchiwania bez konieczności występowania o podsłuch – czyli nikt nawet nie będzie wiedział kto i kogo podsłuchuje (“kto” – bo to “nasi” koledzy z USA i GB załatwili ten temat, a “kogo” – też nie wiadomo, bo to 2 miliardy kart SIM)

      Więcej: https://firstlook.org/theintercept/2015/02/19/great-sim-heist/

  26. robi to 100% alorytmicznie – wkradła Wam się literówka

  27. Od niedawna Avast ma możliwość skanowania HTTPS, które działa na tej samej zasadzie.

    • Tak samo BitDefender :(

  28. Pierwsze, co robię po zakupie nowego lapka to postawienie czystego systemu bez syfu od producenta :).
    Pozdrawia właściciel czarnego, wg. niektórych brzydkiego ThinkPada.

  29. mała ortka, o tu:

    szukają (za co zapewne Lenovo otrzymuje prowizję) a że robi to 100% *alorytmicznie* to

    Tak poważny serwis jak niebezpiecznik i nie korzysta z autokorekty, nie dobrze.

  30. Jakiś czas temu borykałem się z problemem z dostępem do bankowości online w Deutsche Banku. Kod strony był pobierany, ale nie wyświetlany jako strona. Dziwnie zaczęło mieć to miejsce po zakupie laptopa Lenovo. Zgłaszanie tego do pomocy tel banku zaowocowało radą typu “wyczyścić ciasteczka” itd. Zwrócenie uwagi kogoś bardziej kompetentnego w zakresie bezpieczeństwa ze strony banku jest praktycznie niemożliwe.
    Zauważyłem w pewnym momencie że na innym komputerze logowanie na moje konto kończy się sukcesem. Szukając przyczyny natrafiłem na certyfikat, dziwnie korespondujący z nazwą jednego programów z listy windowsa. Małe śledztwo o Superfish INC zaowocowało usunięciem aplikacji z systemu. Od tego momentu problemy z bankiem zniknęły.

  31. G510 ma to samo nawet na firefox-e, wczoraj zauważyłem ten sam problem z certyfikatem.
    http://i.imgur.com/PRpcj1I.png

  32. HSTS – High Security Transport System????
    HTTPS – HyperText Transport Protocol Secure

    • HSTS – HTTP Strict Transport Security

  33. “ale jeśli zamiast osiedlowego sklepu z oprogramowaniem wybraliście sieć hipermarketów BitTorrent…” – kupujesz w sklepie płytkę i nie wiesz co tak na prawdę na niej jest, ściągasz z torrentów, sprawdzasz hashe względem msdna i masz pewność …

  34. Mam thinkpada z farycznym systemem (Win 7) i takowego oprogramowanie nie ma.
    @BigTom może to pomoże
    http://allegro.pl/kabel-wtyk-lenovo-yellow-ideapad-yoga-11mm-4-2-mm-i5034189591.html

  35. Lenovo G510 nie podatne

    • Kupiłem Lenovo g510 2 tyg, temu i miał Superfisha. Toteż podatne.

  36. Mam pytanie. Czy jeśli kupiłem czystego laptopa bez systemu, a ten zainstalowałem oryginalny, z własnego źródła to nie ma problemu?

    • Nie ma problemu.

  37. github (.) com/robertdavidgraham/pemcrack/blob/master/test.pem

    Wyłuskany klucz prywatny. blog (.) erratasec (.) com /2015/02/extracting-superfish-certificate.html

  38. Hasło to KOMODIA

  39. Miałem kupić Lenovo ale w sklepie dowiedziałem się że: nie można wymienić baterii i dysku we własnym zakresie, a dziś jeszcze info że adware instalowali, nieźle…. http://www.itiq.pl/sprzet-i-technologie/jaki-laptop-za-2500-zl-dlaczego-kupilem-dell-3542-a-nie-mocniejszego-lenovo-z510/?niebezpiec

  40. “Mozilla nie korzysta z systemowego zbioru certyfikatów SSL — ma własny, do którego Superfish nie wstrzykuje certyfikatu.”

    To czemu film prezentujący usunięcie Superfisha zamnstrany jest właśnie w Firefoxie ?

  41. Problem nie ogranicza sie tylko do laptopow Lenovo, ale dotyczy tez np kontroli rodzicielskiej od Komodia. Wiecej info tu: http://marcrogers.org/2015/02/19/will-the-madness-never-end-komodia-ssl-certificates-are-everywhere/

    Dostepne tez jest juz narzedzie do sprawdzenia czy przegladarka posluguje sie certyfikatami od Komodii: https://filippo.io/Badfish/

  42. Napisałem do Lenovo, od stycznia problem nieaktualni. Przesłali oświadczenie, :

    OŚWIADCZENIE LENOVO W SPRAWIE TECHNOLOGII SUPERFISH
    W Lenovo dokładamy wszelkich starań, by zapewnić klientom jak najlepszą ofertę. Wiemy, że z naszych urządzeń korzystają codziennie miliony osób, a my jesteśmy zobowiązani zapewniać użytkownikom wysoką jakość, niezawodność, innowacyjność i bezpieczeństwo informacji. Dążąc do doskonalenia swojej oferty, na niektórych notebookach dla klientów indywidualnych instalowaliśmy fabrycznie oprogramowanie producenta zewnętrznego — firmy Superfish z Palo Alto w stanie Kalifornia.

    Wychodziliśmy z założenia, że produkt ten, zgodnie z intencjami Superfish, ułatwi użytkownikom zakupy w Internecie. Oprogramowanie to nie spełniło jednak oczekiwań naszych ani klientów, którzy krytykowali jego działanie. Na te skargi zareagowaliśmy szybko i zdecydowanie. Przepraszamy, jeżeli nasi użytkownicy poczuli się zaniepokojeni z jakiegokolwiek powodu. Zawsze wyciągamy wnioski z własnych doświadczeń i staramy się doskonalić na ich podstawie.

    W styczniu zaprzestaliśmy fabrycznej instalacji tego oprogramowania. Także w styczniu zablokowaliśmy połączenia z serwerem, który umożliwiał jego działanie. Na naszych stronach internetowych zamieściliśmy instrukcję usuwania tego oprogramowania. We współpracy z Superfish oraz innymi partnerami branżowymi reagujemy na wszelkie obecne i potencjalne kwestie związane z bezpieczeństwem informacji. Szczegółowe informacje na temat tych działań oraz narzędzia do usuwania oprogramowania można uzyskać pod adresami:

    http://support.lenovo.com/us/en/product_security/superfish
    http://support.lenovo.com/us/en/product_security/superfish_uninstall

    Pragniemy podkreślić, że firma Lenovo nigdy nie instalowała tego oprogramowania na jakichkolwiek notebookach marki ThinkPad, komputerach stacjonarnych ani smartfonach. Oprogramowanie to nie było nigdy instalowane na żadnych produktach dla klientów z sektora dużych przedsiębiorstw —serwerach ani rozwiązaniach pamięci masowej — i sprawa ta w żaden sposób nie dotyczy tych urządzeń. Nie instalujemy już technologii Superfish na żadnych urządzeniach Lenovo. Najbliższe tygodnie poświęcimy na dogłębne zbadanie tej sprawy i wyciąganie wniosków na przyszłość. Będziemy prowadzić dialog z partnerami, specjalistami branżowymi oraz użytkownikami i poprosimy ich o opinie. Pod koniec miesiąca przedstawimy plan działań, które pomogą Lenovo i całej branży działać z większą świadomością kwestii związanych z oprogramowaniem adware, oprogramowaniem instalowanym fabrycznie i zabezpieczeniami. Poczuwamy się do odpowiedzialności za swoje produkty, ofertę dla użytkowników i wyniki naszych nowych działań.

    Technologia Superfish mogła być instalowana na następujących modelach komputerów:

    Seria G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
    Seria U: U330P, U430P, U330Touch, U430Touch, U530Touch
    Seria Y: Y430P, Y40-70, Y50-70
    Seria Z: Z40-75, Z50-75, Z40-70, Z50-70
    Seria S: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
    Seria Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
    Seria MIIX: MIIX2-8, MIIX2-10, MIIX2-11
    Seria YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
    Seria E: E10-30

  43. no prosze wczoraj poczytane o tym a dzis MS security essentials wykryl certifikat sam jak sie bralem za jego usuwanie

  44. …a no to już rozumiem dlaczego jeden Pan na targach zachęcał mnie do “bezpłatnego” wynajęcia oprogramowania sklepu z technologią IBM która wykorzystuje tego typu tricki
    – płatność % od obrotu.

    Trzeba przyznać że opisany sposób podmiany reklam jest bardzo ciekawy ale bardzo dyskusyjny.

    No to już tez wiem dlaczego laptopy IBM zmieniły się w Lenovo, tworzy się sztuczną markę żeby w razie wtopy nie szargać imienia spółki matki. Niezły trick.

    No i wyjaśniło się dlaczego nowe laptopy są po 999 zł – mają inne zalety które rekompensują rabat przy zakupie.

    Lenovo – sprzętowe czary mary. IBM – marketingowe czary mary i klient w sieci.
    Superfish – a raczej super łowienie nieswiadomych klientow.

  45. Na zwykłym pc

    Problem nie tyczy się tylko lenowo: zobaczcie kawałek loga

    http://www.superfish.com/ws/sf_preloader.jsp?dlsource=dnmrlsp&CTID=suggest&a… Zablokowany na podstawie wewnętrznej czarnej listy C:\Program Files\Google\Chrome\Application\chrome.exe xxx-Komputer\xxx
    2015-02-20 15:47:41 ssl://http://www.superfish.com Zablokowany na podstawie wewnętrznej czarnej listy C:\Program Files\Google\Chrome\Application\chrome.exe xxx-Komputer\xxx
    2015-02-13 12:03:04 http://js.komputerswiatportal.com/downloader.min.js Zablokowany na podstawie czarnej listy PUA C:\Program Files\Google\Chrome\Application\chrome.exe xxx-Komputer\xxx

  46. Po szczęśliwym nabyciu nowego laptopa pierwsze co robię to skanowanie kilkoma programami antyspyware :)))))))))) Odpluskwianie z junkware i wywalanie resztek.

  47. Jak sprawdzić czy mam Superfish? Bardzo prosto, tutaj:

    https://lastpass.com/superfish/

  48. […] mamy jej w internecie, gdzie jedni podsłuchują nas nas celowo i masowo, a drudzy nieświadomie na podsłuch narażają. Powoli przyzwyczajamy się także do braku prywatności “w realu” — ciężko […]

  49. A ja po odinstalowaniu superfish-a mam problem, nie mogę otworzyć niektórych stron https, np. facebook, wyszukiwanie w google szwankuje, mam problem z linkami https na youtube.
    Czyli zostaje mi instalacja czystej windy

  50. Czyli że Lenovo implementuje nam soft w rodzaju “kurtyny Kapicy” ?

  51. probowalem zbootowac moj komputer lenovo na wifi slax i wyskoczyl mi komunikak ze moj komputer nie ma opcji bootowania z CD.

  52. […] Della i HP mogą wam się słusznie kojarzyć z fuckupem Lenovo sprzed 2 miesięcy. Przypomnijmy, że bloatware Lenovo o nazwie “SuperFish” instalowany na większości […]

  53. W przypadku Lenovo tylko system zainstalowany u producenta zawiera Superfisza… Po za tym jest to prawdopodobnie narzędzie do świadczenia niby usług technicznych.

  54. Da się jakoś wykryć, czy mój OS ma zaszytą koparkę?

    Jest jakiś spis niebezpiecznych certyfikatów? Wystarczy je usunąć przez (Windows) certmgr.msc?

  55. […] Wstrzyknięcie własnych wstawek do przeglądanej przez HTTPS strony staje się technicznie niemożliwe (chyba, że producent laptopów celowo zainfekuje każdy nowy komputer, wsadzi tam własny certyfikat CA i w locie będzie serwował reklamy zaprzyjaźnionych firm jak to robiło Lenovo z projektem SuperFish). […]

  56. Z ciekawości szukaliśmy informacji na temat aktualnych potencjalnych “wstawek” producentów, ale po karze jaką zapłaciło Lenovo w 2017 teraz to są głównie problemy z telefonami.

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: