Rászólt a Lenovóra az FTC, nem lesz több kéretlen adware a cég gépein

Kedden kiegyezett az amerikai Szövetségi Kereskedelmi Bizottság (FTC) és a Lenovo, amelynek értelmében a PC gyártó már csak a felhasználó belegyezését követően telepítheti a Superfisht, vagy bármilyen ahhoz hasonló adware-t az USA-ban értékesített konfigurációira. Az FTC továbbá elmondta, hogy nem tudja megakadályozni a gyártókat abban, hogy hasonló, közbeékelődéses (man-in-the-middle, MITM) támadásra lehetőséget biztosító szoftverrel szállítsák PC-iket.

Az FTC azonban nyomatékosította, hogy mostantól kizárólag a felhasználó egyértelmű hozzájárulását követően települhet bármilyen adware az Amerikában értékesített gépekre. A döntés értelmében a Lenovo gépeivel szállított szoftvercsomagnak egy harmadik fél által végzett auditon kell átesni, amely természetesen nem csak a kínai gyártóra érvényes. A Lenovo korábban nem értett egyet az FTC aggályaival, a gyártó azonban most megjegyezte, hogy már az eset kirobbanásának ideje óta felhagyott gyakorlatával, az azóta piacra került rendszereket a hírhedt Superfish VisualDiscovery nélkül szállítja.

Ha valaki lemaradt volna az eredeti Superfish botrányról, 2015 februárjában kiderült, hogy a Lenovo számos otthoni felhasználóknak szánt számítógépére egy Superfish Visual Discovery névre hallgató szoftvert telepített, amely arra hivatott, hogy hirdetéseket ágyazzon a felhasználó által meglátogatott weboldalakba. Ez már önmagában is bosszantó, az igazi problémát azonban nem ez jelenti. A Superfish azért, hogy a titkosított csatornán kommunikáló weboldalakba is beszúrhassa reklámjait, egy saját maga által generált root tanúsítványt telepít a Windows Certificate Store-ba, majd az összes, a HTTPS-t használó weboldal által biztosított SSL tanúsítványt sajátjára cseréli. Ezt kihasználva a támadók akár érzékeny banki adatokat is viszonylag könnyen megszerezhetnek a gyanútlan felhasználóktól - a Superfish mindezek mellett ugyanazt a root tanúsítványt és ugyanazokat a gyenge RSA kulcsokat használta minden érintett gépnél, amely az FTC szerint nem kevesebb, mint 750 000 darab konfigurációt jelent.

Nagy pénz, nagy szívás: útravaló csúcstámadó IT-soknak Az informatikai vezetősködés sokak álma, de az árnyoldalaival kevesen vannak tisztában.

Később kiderült, hogy a Dell is hasonló hibát követett el, amelyet a hétvégén fedezett fel a gyártó néhány felhasználója. A cég számos gépén, akárcsak a Lenovo esetében, azonos tanúsítvány található, amely ráadásul az egyes weboldalak mellett akár szoftverekhez is párosítható, így akár potenciális malware-ek is álcázhatók vele. Az ügyben a vállalat 2015-ös Inspiron 5000 sorozatú eszközei, az XPS 15, továbbá egyes Precision 4800, Latitude és Inspiron modellek is érintettek voltak, de más eszközökre is vonatkozhat a probléma.

A történet a Microsoft számára is fontos kérdéseket vetett fel a biztonság kapcsán. Az esetig a készülékgyártók hagyományosan megbízható partnereknek számítottak, ezért az operációs rendszer egyes funkcióihoz preferenciális hozzáférést kaptak. A WPBT (Windows Platform Binary Table) gyakorlatilag hátsó ajtót nyitott az operációs rendszeren, amellyel a gyártó tetszése szerint bármit kezdhet, a Lenovo pedig ezzel masszívan vissza is élt. Ezért a Microsoft szorosabbra fogta a gyeplőt és bejelentette, hogy a telepített szoftverek nem védelmezhetik a böngészőben kiválasztott keresőmotort, azt a felhasználók (és a felhasználó beleegyezésével más szoftverek) szabadon kell tudják módosítani. Minden olyan program, amely ezt megszegi, a Microsoft irányelvei szerint kéretlen szoftvernek minősül, a Windows beépített anti-malware szoftvere, a Defender pedig automatikusan eltávolítja. Az ezt takaró, módosított irányelv így szól: "A böngészőkben reklámokat létrehozó szoftverek csak a böngésző támogatott kiegészítőmodelljét használhatja telepítésre, végrehajtásra, kikapcsolásra és eltávolításra."