Китайская компания Lenovo: Подозрительное приложение удалим, но это не «бэкдор»

27 Февраля 2015

Великая Эпоха

Мужчина проходит мимо рекламы Lenovo в компьютерном центре в Гонконге, 14 августа 2014 года. Фото: Dale de la Rey/AFP/Getty Images

Китайский производитель ПК Lenovo 19 февраля заявил, что больше не будет предустанавливать на свои устройства рекламное ПО Superfish. Эксперты по кибер-безопасности утверждают, что оно делало пользователей уязвимыми для взлома.

«Superfish полностью отключил обращение к серверной части (с января) на всех продуктах Lenovo, так что этот продукт больше не активен, — сообщили представители Lenovo в заявлении 19 февраля. — В январе компания Lenovo прекратила предварительно устанавливать это ПО. Мы больше не будем предварительно загружать эту программу».

В настоящее время пострадавшие пользователи устройств Lenovo могут удалить эту уязвимость лишь вручную, и компания Lenovo заявила, что работает над обновлением ПО, чтобы удалить дыру в безопасности.

«Как только программа будет сделана, мы предоставим инструмент, который полностью удалит это приложение с ноутбуков пользователей», — пообещал в интервью Wall Street Journal (англ.) технический директор Lenovo Питер Гортензиус.

По словам экспертов по кибер-безопасности, рекламное ПО Superfish обнажает устройства Lenovo для шпионов, когда устройства используют в обычной ситуации безопасные соединения, например, те, что используются для банкинга. Специалисты называют решение Lenovo установить это рекламное ПО серьёзным нарушением этики. Некоторые из них даже назвали Superfish «вредоносным ПО».

«Мы доверяем нашим производителям аппаратного обеспечения создавать продукты, которые отвечают требованиям безопасности. В нынешней обстановке растущей кибер-преступности, если ты не можешь доверять производителю оборудования, то ты в очень трудном положении, — написал в своём блоге (англ.) 19 февраля Марк Роджерс, исследователь безопасности в CloudFlare. — Когда злоумышленники способны проникнуть в цепи поставок и устанавливать вредоносные программы, это разрушительно».

По словам Роджерса, Superfish делает пользователей уязвимыми к атакам типа «человек-в-середине» (англ. man-in-the-middle), даже если они используют шифрованное вэб-подключение. Поскольку это ПО имеет неограниченный доверенный корневой сертификат, уязвимость невидима для обычных проверок безопасности, говорят эксперты по безопасности.

«С их [Lenovo] стороны это неимоверно невежественно и безрассудно. Вполне возможно, что на моём опыте это наихудшее из того, что производитель делал со своей клиентурой», — пишет Роджерс.

Lenovo отрицает, что Superfish представляет собой угрозу безопасности, и заявляет, что удаляет это рекламное ПО по причинам недовольства пользователей.

«Мы тщательно исследовали эту технологию и не нашли никаких доказательств, которые подтвердили бы опасения по поводу безопасности, — сообщают в Lenovo. — Но нам известно, что пользователи отреагировали на этот вопрос озабоченно, и мы предприняли прямые меры по прекращению поставок любых продуктов с этим программным обеспечением».

«Крякнуто»

Роберт Грэм из Errata Security 19 февраля продемонстрировал в своём блоге, как он взломал пароль (англ) к сертификату Superfish’а, что позволило ему «перехватить шифрованную связь» тех, кто использует ноутбуки Lenovo в одной и той же Wi-Fi-сети, например, в кафе. Пароль к этому сертификату — это название компании, продающей ПО, которое перехватывает безопасные соединения, позволяя родителям шпионить за своими детьми.

Lenovo отверг эти опасения как «теоретические».

«Мы не пытаемся спорить с парнями, которые специализируются на безопасности. Они имеют дело с теоретическими опасениями, — сказал Гортензиус. — Мы не считаем, что произошло что-либо бесчестное... согласно обратной связи с пользователями, оно [рекламное ПО] было бесполезным, и именно поэтому мы его отключили».

Это уже не впервые, когда китайский производитель аппаратуры попадал под пристальное внимание за проблемы, связанные с кибер-безопасностью. Проведённая Конгрессом в 2012 году проверка показала, что Huawei Technologies Inc и ZTE Inc, штаб-квартиры которых находятся в Китае, представляли риск для национальной безопасности США ввиду того, что их оборудование, скорее всего, содержало «бэкдоры*», которые могли бы быть использованы, чтобы шпионить за американцами.

*Бэкдор (от англ. back door — задняя дверь) — программа, устанавливаемая взломщиками на взломанном компьютере после получения первоначального доступа для того, чтобы получить повторный доступ к системе.

Большая часть результатов этой проверки не могла быть доказана, поскольку вышеуказанные компании в основном не шли на сотрудничество со следствием, проводимым Конгрессом. Например, ни одна из компаний не объяснила ни то, какую роль играет внутри компании отдел «Комитета китайской компартии», ни чего-либо об их внутренней структуре менеджмента.

По информации, специализирующейся на маркетинговых исследованиях компании IDC, Lenovo является крупнейшим в мире производителем персональных компьютеров, и его устройства в октябре 2014 года составляли одну пятую часть мирового рынка.

Джонатан Чжоу, Великая Эпоха