Sécurité

Les PC Lenovo sont livrés avec des logiciels publicitaires qui détruisent la sécurité du système et interrompent HTTPS – High-teK.ca

Ce site peut gagner des commissions d’affiliation à partir des liens sur cette page. Conditions d’utilisation.

Lenovo vend des PC équipés d’un progiciel publicitaire préinstallé qui détruit la sécurité de HTTPS et crée un scénario parfait d’homme du milieu (MTM) contre le PC hôte. Le logiciel en question s’appelle Superfish Visual Discovery, et sa fonction de base – il injecte de la publicité dans les sessions du navigateur – est déjà assez mauvaise. La fonctionnalité à cinq alarmes de Superfish est qu’il installe ses propres certificats racine signés sur le système d’exploitation d’un utilisateur. Cela signifie essentiellement que Superfish remplace son propre certificat signé par le certificat censé être fourni par le site Web réel.

Voici comment le système est censé fonctionner. Lorsque vous vous connectez au site Web de votre banque via HTTPS, la banque renvoie ses informations de certificat au navigateur. Le certificat de la banque doit être émis par une autorité de certification valide. Si ce n’est pas le cas, votre navigateur est censé vous avertir que les données que vous êtes sur le point de transmettre peuvent ne pas être sécurisées et qu’il ne peut pas vérifier l’authenticité du certificat lui-même.

ssl-info-certificat-ssl

Un certificat dûment signé

Ce que Lenovo et Superfish ai fait est de configurer les systèmes d’expédition avec un certificat signé par Superfish plutôt qu’une autorité de certification comme Verisign ou Symantec. Pire, la clé de certificat qui Lenovo distribue avec ses PC semble être identique sur tous les systèmes.

boa-superfish-lenovo

Certification SuperFish

Voici ce que cela signifie dans l’ensemble :

  • Superfish peut déchiffrer toutes les données que vous envoyez via des connexions HTTPS.
  • Il utilise la même clé racine pour chaque système Lenovo, ce qui signifie tous Le système Lenovo avec cette clé installée se connectant via WiFi à un point d’accès public peut théoriquement être espionné.
  • Il injecte du Javascript dans les pages Web pour exécuter ses fonctions, ce qui peut entraîner ses propres problèmes de compatibilité.
Psssssst :  Comment désinstaller le logiciel malveillant Superfish de Lenovo et re-sécuriser votre système - High-teK.ca

Ajoutez à cela le fait que vous ne pouvez pas télécharger le logiciel de Superfish (le site Web de l’entreprise ne répertorie que les produits disponibles dans l’App Store ou Google Play) et il est évident que l’intention était de gagner rapidement de l’argent pour financer le développement d’autres produits sans esprit. versés à la sécurité des utilisateurs ou à l’accès aux données.

Le scénario sans issue de Lenovo

Lenovo n’expédie apparemment pas Superfish sur ses systèmes d’entreprise, uniquement sur les produits grand public, mais aucune liste complète de produits n’a été publiée jusqu’à présent. Il n’y a pas de bonne réponse à la façon dont ce produit a été déployé sur les ordinateurs Lenovo. Considérez les options :

  • Lenovo savait que le produit compromettait fatalement la sécurité du navigateur en créant une attaque MTM, mais s’en fichait.
  • Lenovo ne savait pas que le produit compromettait la sécurité du navigateur, car il n’avait pas pris la peine d’analyser le logiciel qu’il vendait aux clients.
  • Lenovo n’a installé Superfish que sur les systèmes grand public car il savait que le produit constituait un risque inacceptable pour la sécurité de l’entreprise (mais ne se souciait pas de ce qui arrivait aux données des consommateurs).

La réponse de Lenovo à tout cela est d’affirmer que les utilisateurs ont consenti au logiciel parce qu’ils ont accepté le contrat de licence lorsqu’ils ont démarré leur système pour la première fois (je serais surpris si la première page de ce contrat incluait la phrase « Rien que vous transmettez sur votre Le PC utilisant HTTPS sera crypté ou sécurisé, jamais.  » Désinstallation de Superfish ne résout pas le problème, les utilisateurs devront supprimer manuellement le certificat racine. Les instructions sur la façon de le faire sont disponible ici. Superfish distribue maintenant une « mise à jour » qui conserve littéralement toute la fonction d’origine du logiciel (y compris les possibilités d’attaque MTM) mais comprend une chaîne pour désactiver certaines fonctions si un utilisateur Lenovo est détecté.

Psssssst :  Des failles de sécurité découvertes dans 2 services VPN populaires - High-teK.ca

En d’autres termes, les « excuses » de Lenovo pour ce comportement sont de faire pression pour un correctif qui ne résout que des papiers sur le problème. Le cheval, cependant, est apparemment hors de la grange – la privé La clé pour Superfish a déjà été déchiffrée. Quelle est ta question? Komodia. Qu’est-ce que le komodia ? Un redirecteur TCP/IP et « une toute nouvelle technologie qui vous permet d’accéder à des données chiffrées à l’aide de SSL et d’effectuer un déchiffrement SSL à la volée ».

Quelqu’un a déjà senti un rat ?

Bouton retour en haut de la page