Rászólt a Lenovóra az FTC, nem lesz több kéretlen adware a cég gépein

Kedden kiegyezett az amerikai Szövetségi Kereskedelmi Bizottság (FTC) és a Lenovo, amelynek értelmében a PC gyártó már csak a felhasználó belegyezését követően telepítheti a Superfisht, vagy bármilyen ahhoz hasonló adware-t az USA-ban értékesített konfigurációira. Az FTC továbbá elmondta, hogy nem tudja megakadályozni a gyártókat abban, hogy hasonló, közbeékelődéses (man-in-the-middle, MITM) támadásra lehetőséget biztosító szoftverrel szállítsák PC-iket.

Az FTC azonban nyomatékosította, hogy mostantól kizárólag a felhasználó egyértelmű hozzájárulását követően települhet bármilyen adware az Amerikában értékesített gépekre. A döntés értelmében a Lenovo gépeivel szállított szoftvercsomagnak egy harmadik fél által végzett auditon kell átesni, amely természetesen nem csak a kínai gyártóra érvényes. A Lenovo korábban nem értett egyet az FTC aggályaival, a gyártó azonban most megjegyezte, hogy már az eset kirobbanásának ideje óta felhagyott gyakorlatával, az azóta piacra került rendszereket a hírhedt Superfish VisualDiscovery nélkül szállítja.

Ha valaki lemaradt volna az eredeti Superfish botrányról, 2015 februárjában kiderült, hogy a Lenovo számos otthoni felhasználóknak szánt számítógépére egy Superfish Visual Discovery névre hallgató szoftvert telepített, amely arra hivatott, hogy hirdetéseket ágyazzon a felhasználó által meglátogatott weboldalakba. Ez már önmagában is bosszantó, az igazi problémát azonban nem ez jelenti. A Superfish azért, hogy a titkosított csatornán kommunikáló weboldalakba is beszúrhassa reklámjait, egy saját maga által generált root tanúsítványt telepít a Windows Certificate Store-ba, majd az összes, a HTTPS-t használó weboldal által biztosított SSL tanúsítványt sajátjára cseréli. Ezt kihasználva a támadók akár érzékeny banki adatokat is viszonylag könnyen megszerezhetnek a gyanútlan felhasználóktól - a Superfish mindezek mellett ugyanazt a root tanúsítványt és ugyanazokat a gyenge RSA kulcsokat használta minden érintett gépnél, amely az FTC szerint nem kevesebb, mint 750 000 darab konfigurációt jelent.

Hyperscaler vagy hazai felhő? Lehet, hogy nem kell választani! Egy jól felépített hibrid vagy multicloud modellben a különböző felhők nem versenytársai, hanem kiegészítői egymásnak.

Később kiderült, hogy a Dell is hasonló hibát követett el, amelyet a hétvégén fedezett fel a gyártó néhány felhasználója. A cég számos gépén, akárcsak a Lenovo esetében, azonos tanúsítvány található, amely ráadásul az egyes weboldalak mellett akár szoftverekhez is párosítható, így akár potenciális malware-ek is álcázhatók vele. Az ügyben a vállalat 2015-ös Inspiron 5000 sorozatú eszközei, az XPS 15, továbbá egyes Precision 4800, Latitude és Inspiron modellek is érintettek voltak, de más eszközökre is vonatkozhat a probléma.

A történet a Microsoft számára is fontos kérdéseket vetett fel a biztonság kapcsán. Az esetig a készülékgyártók hagyományosan megbízható partnereknek számítottak, ezért az operációs rendszer egyes funkcióihoz preferenciális hozzáférést kaptak. A WPBT (Windows Platform Binary Table) gyakorlatilag hátsó ajtót nyitott az operációs rendszeren, amellyel a gyártó tetszése szerint bármit kezdhet, a Lenovo pedig ezzel masszívan vissza is élt. Ezért a Microsoft szorosabbra fogta a gyeplőt és bejelentette, hogy a telepített szoftverek nem védelmezhetik a böngészőben kiválasztott keresőmotort, azt a felhasználók (és a felhasználó beleegyezésével más szoftverek) szabadon kell tudják módosítani. Minden olyan program, amely ezt megszegi, a Microsoft irányelvei szerint kéretlen szoftvernek minősül, a Windows beépített anti-malware szoftvere, a Defender pedig automatikusan eltávolítja. Az ezt takaró, módosított irányelv így szól: "A böngészőkben reklámokat létrehozó szoftverek csak a böngésző támogatott kiegészítőmodelljét használhatja telepítésre, végrehajtásra, kikapcsolásra és eltávolításra."