„Ve svém týmu mám nyní řadu inženýrů, kteří si připadají opravdu trapně,“ uvedl včera v rozhovoru CTO Lenova Peter Hortensius. „Toto opravdu nezvládli.“ Problém se týká aplikace s názvem Superfish, kterou Lenovo instalovalo na své laptopy od září minulého roku. Ta totiž nejenže vkládá produktová doporučení do výsledků hledání, ale je pro uživatele také závažným bezpečnostním rizikem.
Program si totiž „pohrává“ se šifrovaným webovým trafikem, když ukládá své vlastní SSL certifikáty do oblasti ve Windows, která je využívána k ukládání SSL certifikátů webovými prohlížeči a dalšími aplikacemi. Podle bezpečnostních expertů pak útočníci mohou - jakmile se uživatel připojí k veřejné Wi-Fi nebo síti ovládané hackery - poměrně jednoduše získat k certifikátu klíč. O tomto útoku jako první informoval Robert Graham ze společnosti Errata Security.
Jak uvedl Hortensius, fakt, že uživatelé jsou díky Superfish vystaveni možnému útoku, je neakceptovatelný a Lenovo si rizika až do jejího zveřejnění nebylo vědomo. Čínská společnost tak nyní „pracuje na nápravě“. Lenovo již zveřejnilo pro uživatele instrukce, pomocí kterých mohou Superfish odstranit a brzy vydá speciální nástroj, který program odinstaluje a smaže jím vytvořené certifikáty. Tento nástroj by mohl být vydán již dnes.
Lenovo také zkoumá, zda by nástroj nebylo možné vydat jako automatický patch ve spolupráci s jeho partnery jako Microsoft a McAfee. Jak dodal Hortensius, Lenovo také zavede mechanismy, které mají zajistit, aby se podobná chyba již nikdy neopakovala.
„Chceme detailněji prověřit všechny programy, které jsou předinstalovány na našich systémech a nedopustíme, aby se tyto dostaly k uživatelům, pokud si budeme jen z části myslet, že by mohly být závadné,“ dodal Hortensius. V mezidobí Lenovo řeší možnostih nápravy problému způsobeného Superfish s výrobci prohlížečů a antivirů.
Výrobci prohlížečů nejspíše umístí certifikáty vytvořené Superfish na své blacklisty. Problém je však v tom, že existují jiné programy využívající šifrování - například VPN klienti - které využívají knihovnu Windows k ověření pravosti certifikátů. Ty tak mohou být také náchylné k útoku, pokud certifikáty Superfish nebudou ze systému zcela odstraněny.
„Nezbývá, než říci, že toto jsme opravdu nezvládli. Nesnažíme se to skrývat. Snažíme se udělat všechno, co je v našich silách, k vyřešení tohoto problému,“ dodal Hortensius s tím, že Superfish byl předinstalován pouze na některých laptopech, které se v obchodech objevily mezi zářím a lednem. Společnost přestala aplikaci na své počítače instalovat poté, co si na něj stěžovala řada uživatelů.
PŘEDPLATNÉ
ČLÁNKY DO MAILU