Lenovo har sålt Windows-datorer som ersatta alla certifikat som använts för kryptering av webbplatser med ett installerat av reklamprogram. Konsumenters data kan ha skickats okrypterat över Internet. Lenovo medger nu misstaget och säger att mjukvaran inte längre installeras och att Skyfish-servern togs ner i januari.
För säker kommunikation på webben krävs SLL/TLS-kryptering. Denna typ av kryptering används exempelvis av alla svenska banker men också av större företag så som Google, Facebook, Apple och Microsoft. All SSL/TLS-kryptering sker med hjälp av certifikat som skapas av så kallade certifikatutfärdare och installeras i alla moderna operativsystem. Lenovo har i dag erkänt att man installerat ett extra certifikat kallat Superfish på vissa bärbara datorer. Certifikatet ska ha ersatt alla andra certifikat som använts av webbplatser med kryptering. Användare som har det extra certifikatet installerat har då riskerat att inte få sin data krypterad med det certifikat som valts av webbplatsens administratör.
Superfish är ett program som utför bildsökning på webben och har skeppats med bärbara datorer från Lenovo som tillverkades mellan oktober och december förra året. Mjukvaran behövde inte nödvändigtvis installeras av användare men varnade dem inte heller för de potentiella risker som fanns med att genomföra installationen.
Enligt Lenovo installeras inte mjukvaran på de produkter som tillverkas i dag och servern som krypterade kommunikation med Skyfish-certifikatet har varit avstängd sedan januari månad. Detta minskar säkerhetsriskerna avsevärt, enligt företaget,
Oro kvarstår kring säkerheten i Lenovos bärbara datorer. Vissa påstår att certifikatet kan utnyttjas av hackers men i nuläget finns inga praktiska exempel på hur en sådan typ av attack skulle kunna genomföras eller om det skulle vara möjligt.
Uppdatering: Säkerhetsexperter har nu lyckats extrahera certifikatet som skyddades av ett enkelt lösenord som kunde knäckas på tio sekunder. Detta betyder att det nu finns ett praktiskt sätt för hackers att utnyttja certifikatet. Det kan exempelvis användas för att utföra en man-in-the-middle-attack där användarens data först skickas genom en hackers dator innan den skickas vidare till en webbplatsens server. (19 februari 18:23)
Källa: TechCrunch, TechCrunch (2), Twitter, Errata Security
Förtroende, så lätt att förstöra, så fruktansvärt svårt att bygga upp.
Tur för en annan att man bara köper datorer från företag man känner förtroende för (även om det med den senaste tidens NSA avslöjanden är svårt att känna förtroende för någon).