Adware kauza Superfish: vysvětlení a řešení (aktualizováno)

Adware kauza Superfish: vysvětlení a řešení (aktualizováno)

Lenovo se dnes dostalo do přestřelky především na sociálních sítích, blozích a technologických magazínech kvůli kauze „Superfish“ – software, který předinstalovávalo na některá Idea zařízení a který je klasifikován jako adware.

Aktualizace 21. 2. 2015: Lenovo vydalo automatický nástroj pro odstranění Superfish – prověří vaše zařízení a Superfish včetně dat, registrů i certifikátů odstraní. Více informací zde.
Aktualizace 20. 2. 2015: Problém se týká pouze a výhradně zařízení Lenovo řady Idea, žádná Think zařízení ovlivněna nejsou. Seznam na konci článku.

Aktualizace: Oficiální postup a seznam postižených zařízení

Lenovo dnes (20. 2. 2015) vydalo oficiální postup na odstranění software a certifikátu Superfish, který je však shodný s naším výše uvedeným. Naleznete jej zde. Zároveň Lenovo na webu podpory vydalo seznam potenciálně postižených zařízení, jedná se o tyto modely vyrobené mezi zářím 2014 a únorem 2015:

  • E-Series:
    • E10-30
  • Flex-Series:
    • Flex2 14, Flex2 15
    • Flex2 14D, Flex2 15D
    • Flex2 14 (BTM), Flex2 15 (BTM)
    • Flex 10
  • G-Series:
    • G410
    • G510
    • G40-70, G40-30, G40-45
    • G50-70, G50-30, G50-45
  • M-Series:
    • Miix2 – 8
    • Miix2 – 10
    • Miix2 – 11
  • S-Series:
    • S310
    • S410
    • S415; S415 Touch
    • S20-30, S20-30 Touch
    • S40-70

  • U-Series:
    • U330P
    • U430P
    • U330Touch
    • U430Touch
    • U540Touch
  • Y-Series:
    • Y430P
    • Y40-70
    • Y50-70
  • Yoga-Series:
    • Yoga2-11BTM
    • Yoga2-11HSW
    • Yoga2-13
    • Yoga2Pro-13
  • Z-Series:
    • Z40-70
    • Z40-75
    • Z50-70
    • Z50-75


Původní článek:

Součástí předinstalovaného software na některých zařízeních Lenovo řady Idea vyrobených mezi zářím a prosincem 2014 byla také aplikace Superfish Visual Discovery, která do výsledků vyhledávání (např. na Google) přidávala výsledky online nakupování spolu s obrázky, cenami a prodejci. Cíl této aplikace byl tedy jasný – nabízet vám nejlepší cenové nabídky pro hledaný produkt.

Superfish-Visual-Discovery

Software se však nesetkal s příliš pozitivní odezvou, byl rovněž charakterizován jako adware a celá situace vygradovala dnes, kdy byl tento software v „kauze Superfish“ označen za potenciálně nebezpečný. Ostatně informaci o něm najdete na sociálních sítích, blozích, ale také významných technologických magazínech, některé vlivné „kyberpostavy“ dokonce vybízí k tomu, aby kvůli této aféře uživatelé bojkotovali produkty Lenovo.

Proč tak silná reakce? Superfish si kromě aplikace jako takové do počítače nainstaluje také vlastní kořenový bezpečnostní certifikát (celkem logicky – potřebuje číst vyhledávané fráze, ke kterým by se za použití výchozího certifikátu nedostal), kterým je však následně šifrována další webová komunikace. Internet tak propadl strachu z toho, že by se citlivé informace odesílané skrze zabezpečené (HTTPS) spojení mohly dostat do nepravých rukou nebo že je snad dokonce Superfish sbírá. Druhé jmenované však Lenovo jasně vyvrátilo – Superfish rozhodně nesbírá žádné informace, nebuduje si žádnou formu vašeho online profilu, jakákoliv interakce je zcela anonymní a každé hledání je zcela samostatné.

Lenovo dnes zároveň vydalo prohlášení, ve kterém kromě výše uvedeného uvádí, že po negativní reakci na Superfish ze strany zákazníků okamžitě v lednu ukončilo veškerou činnost serverů Superfish, čímž byl tento software deaktivován.

Z dnešního prohlášení Lenovo: „Pro ujasnění, technologie Superfish je založená čistě na kontextu/obrázcích, nikoliv na chování. Neprofiluje ani nesleduje chování uživatele. Nezaznamenává žádná uživatelská data. Nezná identitu uživatele. Uživatelé nejsou sledováni ani na ně není zpětně cíleno. Každá relace je nezávislá. Uživatelé si mohou zvolit, zda budou produkt používat, nebo ne. Vztah se Superfish není pro Lenovo finančně významný, naším cílem bylo zlepšit uživatelskou zkušenost. Chápeme, že tento software nesplnil svůj účel, proto jsme jednali rychle a rozhodně.“

Zásadním problémem však je, že se vzhledem k dnešní popularitě tématu „Lenovo a Superfish“ podařilo certifikát Superfish prolomit (snadnou slovníkovou metodou v řádu několika vteřin), a tak se tento certifikát stal velice nebezpečným. Máte-li Superfish (resp. hlavně jeho certifikát) v počítači, existuje významné potenciální nebezpečí, že může útočník dešifrovat a číst vaši zabezpečenou komunikaci po internetu (třeba internetové bankovnictví, e-mail či nákupy). Doporučuje se proto certifikát spolu s aplikací okamžitě odinstalovat!

Komentář autora

Myslím si, že kauza Superfish není nic jiného než nafouknutá bublina a na unáhlená, dětinská prohlášení technologických celebrit sociálních sítí o bojkotu Lenova mám názor jasný. Sám nemám rád bloatware případně jiný předinstalovaný software, který nechci využívat (nicméně od toho je ve Windows funkce odinstalovat aplikaci). A chápu, že problém a narušení bezpečnosti, které Superfish přináší, je vážné. Ale přijde mi nefér útočit kvůli ojedinělému problému na Lenovo tak ostře. Je mi jasné, že předinstalovat Superfish bylo pouze manažerské rozhodnutí bez dostatečného vhledu do problematiky (a umím si představit, že nikdo nepředpokládal narušení uživatelského soukromí či snad snížení zabezpečení) – navíc se určitě jevilo pro všechny strany výhodně. Jen se minulo účinkem, Lenovo chybu uznalo a problém řešilo a řeší.

Jak se Superfish zbavit?

Jak jsem zmínil výše, máte-li Superfish nainstalovaný, je více než vhodné se jej zbavit. Nicméně nestačí pouze odinstalovat aplikaci, protože uživatelská data, ale především a hlavně závadný certifikát tím neodstraníte.

1. Odstranění software Superfish

Odstranit software Superfish Visual Discovery je naprosto snadné – vyhledejte jej klasicky ve správci nainstalovaných aplikací (Ovládací panely\Programy\Programy a funkce) a odinstalujte jej. Stejně jako jakýkoliv jiný software.

programy

2. Odstranění certifikátu

Odstranit závadný certifikát je maličko složitější, ale opět se nejedná o nic, co byste nezvládli:

  1. Otevřete správce certifikátů v místním počítači. Nejrychlejším způsobem je spuštění certlm.msc, případně lze vyhledat v Ovládacích panelech výraz „certifikát“.
    sprava_certifikatu_ikona
  2. Ve správci certifikátů přejděte do sekce „Důvěryhodné kořenové certifikační autority“ a v ní do „Certifikáty“.
    sprava_certifikatu
  3. Zde vyhledejte certifikát od vydavatele Superfish, Inc. se stejným názvem a smažte jej.
  4. Restartujte počítač.

Pokud jste certifikát odstranili správně, tato internetová stránka by měla zobrazit chybu certifikátu. Nezobrazí-li ji, máte buď certifikát Superfish stále nainstalovaný, případně máte velmi benevolentní nastavení zabezpečení internetu a doporučuji jej rozhodně zvýšit.