Lenovo waarschuwt klanten voor Superfish-adware

[Captain Kirk]

Lenovo heeft een beveiligingsbulletin uitgebracht waarin het klanten waarschuwt voor de Superfish-adware die vooraf op laptops werd geinstalleerd. Volgens de fabrikant zijn er in Superfish verschillende kwetsbaarheden ontdekt, waaronder de installatie van een zelf gesigneerd rootcertificaat.

Consumenten kunnen Superfish wel verwijderen, maar het Superfish-certificaat blijft echter gewoon op het systeem staan. Aangezien Superfish volgens Lenovo SSL-verkeer onderschept is dit een "beveiligingszorg". Daarom heeft de fabrikant verwijderinstructies online gezet, alsmede een lijst van kwetsbare laptops. Het betreft laptops in de E-, Flex-, G-, M-, S-, U-, Y- Yoga- en Z-series die tussen september 2014 en februari 2015 zijn geleverd. Bij elkaar gaat het om meer dan 40 modellen.

Klanten die het certificaat laten staan lopen in bepaalde scenario's, bijvoorbeeld bij een open wifi-netwerk, het risico om via een Man-in-the-Middle te worden aangevallen. Gebruikers krijgen dan ook het advies het certificaat te verwijderen. Verder zou Superfish zijn gevraagd om alle serveractiviteit van de software uit te schakelen. Via Twitter meldt Lenovo dat het druk bezig is om het probleem te verhelpen en het vertrouwen van klanten terug te winnen.

Ook het CERT Coordination Center (CERT/CC) van de Carnegie Mellon Universiteit heeft inmiddels een waarschuwing voor het certificaat afgegeven en adviseert gebruikers om het te verwijderen. Verder zijn er door de Amerikaanse burgerrechtenbeweging EFF verwijderinstructies online gezet, waaronder voor Firefoxgebruikers.

 

bron: security.nl