レノボは昨年9月以来、ユーザーの許可なくGoogle検索やその他のウェブサイトに広告を挿入するアドウェアをプリインストールしたノートパソコンを販売している。
たとえば、Lenovo の証明書は Bank of America 独自の証明書を置き換えることができ、実質的には Bank of America との安全な接続を破壊し、Web サイトに独自の広告を挿入するだけになります。
Lenovo はこれに対し、Superfish にはセキュリティ上の懸念はないと述べました。
「この技術について徹底的に調査しましたが、セキュリティ上の懸念を裏付ける証拠は見つかりませんでした」と、同社は公式声明で述べています。「しかし、ユーザーがこの問題に懸念を示したことは承知しており、このソフトウェアを搭載した製品の出荷を停止するという直接的な措置を講じました。ユーザーのニーズ、体験、そして優先事項を最優先にするため、今後も引き続き、当社の取り組み内容と方法を見直していきます。」
Lenovo の約束にもかかわらず、すでに接続が乗っ取られ、オペレーティング システムとブラウザーに Superfish 証明書がインストールされている人々にとって、これは問題を解決しません。
Superfishに感染したユーザーは、悪意のあるハッカーによる攻撃に対して脆弱な状態のままです。セキュリティ研究者は既に、Superfishアドウェアを利用して、例えば地元のスターバックスでLenovoユーザーのトラフィックを盗聴する方法を明らかにしています。バンク・オブ・アメリカのウェブサイトにログインすると、悪意のあるハッカーがあなたの認証情報を盗み出す可能性があります。この攻撃は、以前は安全だった他のサイトでも同様に機能します。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
EFFのSSL Observatoryは、Superfish証明書を使用しているLenovoユーザーが44,000人いると報告しました。これはFirefoxブラウザのみでの情報です。Firefoxの市場シェアから推測すると、攻撃者に悪用される可能性のある安全でない接続を使用しているユーザーは、少なくとも数十万人に上ると推測できます。
この深刻な状況を考えると、Lenovoの対応は適切ではないように思われます。同社はセキュリティ上の懸念を事実上無視し、顧客に対してSuperfishアドウェアをデバイスから完全に削除するための適切な指示すら与えていません。
Lenovo は、(広告を挿入するために使用する)ユーザーのラップトップへの自社の接続を無効にすることを約束しましたが、ルート証明書がインストールされたままである限り、それらのラップトップは引き続き侵害され、攻撃者に対して脆弱なままになります。
昨年 9 月以降に Lenovo のラップトップを購入した人のために、当社の姉妹サイト Tom's Guide では、Superfish とその証明書を取り除くのに役立ついくつかの代替案を紹介しています。
@tomshardware 、 Facebook 、 Google+でフォローしてください 。
