Lenovo реагирует на критику, связанную с ее рекламным программным обеспечением Суперрыбы установки на некоторых PC, но специалисты дают предупреждение довольно рисков, включая атаки «человек посередине».Lenovo вычисляет себя в центре шторма безопасности сейчас по проблемам связанным с так называемым рекламным программным обеспечением Суперрыбы, которое было включено в кое-какие PC компании.Напряжение – то, что Суперрыба обходит SSL/TLS (Уровень защищенных сокетов / безопасность Транспортного уровня) способы самая успешной практики и имела возможность возможно включить нападения человека в середине (MiTM).
Со своей стороны, Lenovo отклоняет потребителей, когда-либо пребывали в опасности, и Суперрыба была предназначена лишь, чтобы оказать помощь потребителям найти новые продукты.В отчете Lenovo признал, что Суперрыба была на некоторых ее потребительских ноутбуках, которые поставили между декабрём и октябрём. Lenovo сказал, что с января также отключил сотрудничества серверной стороны Суперрыбы и обязался не предварительно загружать Суперрыбу на ее аппаратных средствах в будущем.«Мы вполне изучили эту разработку и не находим, что любое подтверждение обосновывает неприятности безопасности», заявил Lenovo.
Опасения о последствиях безопасности Суперрыбы пузырились на форумах помощи Lenovo в январе. Среди значительных озвученных неприятностей должность, которая говорит, что Суперрыба применяет самоподписанный корневой сертификат.
Потенциальный риск пребывает в том, что, с таким корневым сертификатом на месте, Суперрыба, быть может, прервала то, что в противном случае будет надёжными коммуникациями.Lenovo указал, что Суперрыба не осуществляет контроль пользовательское поведение, и наряду с этим это не записывает данные о пользователе. «Это не знает, кто пользователь», заявил Lenovo. «Пользователи не отслежены, ни перенастроены».Не смотря на то, что Lenovo отклонил каждые злонамеренные возможности, которые связаны с Суперрыбой, исследователи в области безопасности, с которыми связывается eWEEK, были стремительны для указания на риски.Программа Суперрыбы вводит рекламные объявления на поисковых запросах Гугл, и без того как те поисковые запросы по HTTPS, единственный метод сделать, что есть с SSL MiTM, сообщил Эстебан Пельегрино, основной исследователь в области безопасности от Мобильного Labs безопасности Zimperium.
«По большей части, на компьютере, существует репозиторий CA [Центр сертификации] сертификаты, которые браузер применяет в качестве проверки Веб-сайтов», сообщил Пеллегрино eWEEK. «Чтобы не было предупреждений от браузера Суперрыба, возможно, производит сертификат для каждой надёжной веб-страницы, которую пользователь вводит и установка сертификата на том репозитории».В случае если Суперрыба в состоянии осуществить сниффинг поисковых запросов пользователей и ввести данные в надёжном соединении, ничто не мешает тому, чтобы он видел тайную данные пользователя, такую как кредитные карты и пароли, сообщил Пеллегрино. Методом Lenovo развернулся, Суперрыба не отличается, чем вредоносное программное обеспечение, которое пробует осуществить сниффинг всех учетных данных пользователя, сказал он.Кевин Босек, вице-аналитики стратегии угрозы и президент безопасности в эксперте кибербезопасности Венэфи, дал согласие, что это не удивление видеть применение цифровых сертификатов чтобы получить состояние, которому доверяют, для исполнения полностью прозрачных и успешных атак «человек посередине».
Преступники банковского обслуживания через Интернет и другие преступники применяют эту тактику, и это весьма действенно, растолковал он. «SSL/TLS предназначается для безопасности клиентов и защиты конфиденциальности», сообщил Босек eWEEK. «Это – противоположный интерес рекламного ПО».Иэн Трамп, вывод безопасности в эксперте по управлению ИТ-одолжений LogicNow, озвучил подобные чувства об откровениях Суперрыбы Lenovo. «Это не удивляет меня вообще, сумму пробного ПО, которое появляется предварительно установленное в SOHO [малый офис, домашний офис] либо домашняя совокупность забавен», сообщил Трамп eWEEK. «Я провожу довольно много времени с родными членами и друзьями семьи, рекомендующими им удалять солидную часть из него».