Pc-maker Lenovo erkent eindelijk dat de adware die is meegeleverd op laptops van het bedrijf potentieel misbruikt kan worden voor een hack. Dat blijkt uit een supportpagina van Lenovo over Superfish, een programma dat het bedrijf standaard op een aantal laptops had geïnstalleerd.Deze week kwam aan het licht dat de adware Superfish een beveiligingsrisico met zich meebrengt.
Lenovo installeerde Superfish vooraf op laptops waarna op websites extra advertenties werden getoond. Superfish gebruikte echter ook eigen ssl-certificaten waarmee de beveiliging van internetverkeer wordt gegarandeerd. Zulke certificaten worden gebruikt om bijvoorbeeld te garanderen dat de verbinding met een bank of overheid veilig is en dat er niemand zomaar mee kan kijken.
Het originele certificaat kon echter door een Superfish-certificaat vervangen worden en door een lek was het voor hackers mogelijk mee te kijken met al het internetverkeer, ook het “beveiligde” verkeer.
Gevaar
Lenovo erkende dat het adware had geïnstalleerd en beloofde dat de software sinds januari niet meer geleverd werd en van bestaande laptops op afstand gedeactiveerd is. Het bedrijf bagetaliseerde in eerste instantie dat er “geen praktisch beveiligingsgevaar” was. Bestuurders spraken enkel van “theoretische zorgen” over een beveiligingslek.
De nieuwe pagina stelt desondanks dat de ernst van de situatie “hoog” is en dat er potentieel een hack plaats kan vinden vanwege een kwetsbaarheid in de software. Bovendien erkent het bedrijf dat Superfish wel verwijderd kan worden, maar dat het lekke certificaat dan nog actief blijft.
Lenovo heeft ook een instructie online gezet die uitlegt hoe het certificaat handmatig kan worden verwijderd en overlegt met Superfish over een automatische oplossing.
Oplossing
Inmiddels heeft Microsoft zijn anti-virusdienst Microsoft Defender al geüpdatet om de aanwezigheid van Superfish op computers te detecteren en de software daarna te verwijderen, inclusief het certificaat. In de browser Firefox blijft dit certificaat echter geldig, ook na opschoning door Defender. Firefox-gebruikers moeten dit daarom voorlopig zelf nog verwijderen. Op de ondersteuningspagina van Lenovo staat uitgelegd hoe dit moet.
Zelfs het Amerikaanse ministerie van Binnenlandse veiligheid heeft Lenovo-klanten opgeroepen om Superfish zo snel mogelijk van hun computer te verwijderen, omdat het risico om onrechtmatige toegang anders blijft bestaan.