Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 98 reacties

Gebruikers zijn op geen enkel ogenblik in gevaar geweest door de SuperFish-malware, die werd meegeleverd met meerdere Lenovo-laptops. Dat zegt het bedrijf achter de malware in een verklaring. De bewering staat haaks op de bevindingen van beveiligingsexperts.

Lenovo-logo"Op geen enkel moment waren consumenten kwetsbaar", zo laat SuperFish weten in een verklaring aan Bloomberg. Die verklaring is feitelijk onjuist: het meegeleverde certificaat maakt het voor aanvallers veel eenvoudiger om getroffen gebruikers aan te vallen en vertrouwelijke internetverbindingen af te vangen. SuperFish is het bedrijf achter de malware die Lenovo meeleverde met verschillende laptops, waaronder de Lenovo Y50, Z40, Z50 en G50, evenals de Yoga 2 Pro.

Donderdag kwam aan het licht dat de advertentie-malware zorgt voor een ernstig beveiligingsprobleem. De malware injecteert advertenties in websites, en om dat ook op https-sites te kunnen doen wordt een vervalst rootcertificaat gebruikt. Aanvallers kunnen dat certificaat misbruiken om, wanneer ze de controle hebben over de internetverbinding van een getroffen Lenovo-klant, een vals certificaat te injecteren in een ssl-verbinding en zo de verbinding afluisteren.

In een interview met The Wall Street Journal biedt Lenovo-cto Peter Hortensius weliswaar zijn excuses aan voor het plaatsen van de malware op verschillende laptops, maar ook hij zegt dat er geen bewijs is dat de 'theoretische bezwaren' van beveiligingsonderzoekers voor concrete problemen zorgden. "Voor zover wij weten is er geen misbruik van gemaakt", aldus Hortensius.

Lenovo belooft verder dat het binnen enkele dagen met een tool komt om alle sporen van de malware te wissen. Het is onduidelijk of ook het valse rootcertificaat dan wordt verwijderd; eerder bleek al dat het verwijderen van de SuperFish-malware niet genoeg is om ook het certificaat te doen verdwijnen. Lenovo stopte in januari al met de levering van de malware, na een publicatie van Tweakers.

Volgens Lenovo-cto Hortensius heeft zijn werkgever er niet uit financiële redenen voor gekozen om de malware mee te leveren; het bedrijf zou consumenten hebben willen 'helpen'. De financiële vergoeding voor het plaatsen van de malware was klein, betoogt hij.

Moderatie-faq Wijzig weergave

Reacties (98)

Lenovo belooft verder dat het binnen enkele dagen met een tool komt om alle sporen van de malware te wissen.
Tot die tijd kun je deze stappen doorlopen om de malware te verwijderen. Want excuses of niet, en ook zegt lenovo dat 'het allemaal wel meevalt' al die woorden zorgen er nu niet voor dat je 100% veilig kan surfen.

[Reactie gewijzigd door nul07 op 20 februari 2015 08:47]

Nog niet blijkbaar. "Lenovo belooft verder dat het binnen enkele dagen met een tool komt om alle sporen van de malware te wissen."
Heel veel gebruikers zullen dit zelf moeten uitvoeren.
Wat betekent dat 80% van de gevallen gewoon niks door heeft en hun laptop gebruiken als voor heen. Handje vol tweakers leest dit.
En daarom moeten dit soort updates via Windows update lopen.
Dus Microsoft moet nu een patch uitvoeren? Het is wel een lek in het SSL systeem en dat moet aangepakt worden.
Microsoft moet geen patch maken, maar gewoon de patch/tool van Lenovo die uit gaat komen aan hun maandelijkse update ronde toevoegen . Heel zeldzaam krijg ik hardware specifieke updates van derden, dus het platform is al geschikt om dit uit te voeren. Zo niet, hebben we jarenlang grote aantal onveilige Windows systemen op het net erbij en dat komt wel op de rekening van MS uiteindelijk.
Lenovo belooft verder dat het binnen enkele dagen met een tool komt om alle sporen van de malware te wissen. Het is onduidelijk of ook het valse rootcertificaat dan wordt verwijderd
Die moeite kunnen ze zich sparen; Microsoft is ze mooi voor :Y)

https://twitter.com/FiloSottile/status/568800260111388672
https://twitter.com/FiloSottile/status/568806615702478848
https://twitter.com/FiloSottile/status/568804580743614465
Zo hoort dat big gratz
Kijk eens zo hoort dat! En het leuke is dat alle gebruikers nu ook zien dat de Lenovo apps malware zijn, dat is wel een hele harde schop tegen de scheen van Lenovo.
Het kan nog eenvoudiger.De commandprompt openen en "certmgr.msc" (zonder quotes) uitvoeren.Dan scrollen en het Superfish certificaat deleten.De malware zelf kun je deinstaleren zoals elke andere software.Alleen moet je bij Firefox en Thunderbird zelf moet je nog eens de certificaten verwijderen.

http://arstechnica.com/se...t-lenovo-doesnt-tell-you/
Bestaat er ergens een lijst van welke certificates veilig zijn en welke gelinkt aan spyware? Ik kan alleszins niets vinden maar zie dat ik go daddy certificates heb en dacht die al eens tegen gekomen te zijn met malwarebytes of spybot... maar die vinden momenteel niets.
Er is een lijst van certificaten die Microsoft standaard installeerd.Voor de rest is het een lokale variatie.En wat is veilig.Zo lang er geen nieuwe certificaten gehacked worden...

https://support.microsoft.com/kb/931125
Met deze stappen kon ik het basiscertificaat van superfish niet verwijderen omdat ik chrome niet als administrator gebruik. Via deze link heb ik een oplossing gevonden om dit zowel voor Chrome als voor Internet Explorer te verwijderen. De stappen voor Firefox staan er ook onder voor degene die Firefox gebruiken.
Testen of je risico loopt: https://filippo.io/Badfish/
Oplossing voor het verwijderen: https://filippo.io/Badfish/removing.html

[Reactie gewijzigd door forcom op 20 februari 2015 09:14]

Als je geen specifiek geen administrator rechten hebt over Chrome, (maar wel over de certificaten manager in windows) dan is de oplossing van filippo een goede uitkomst.
• Open the Windows Start menu or Start screen and search certmgr.msc, right-click and select Launch as Administrator.If this does not work, you can try pressing Win+r, see here.
• Click Trusted Root Certification Authorities and open Certificates.
• Scroll down or use find to get to the Superfish, Inc. certificate.
• Right-click it and select Delete. If you don’t see the option to delete it, you may not be running as an administrator (see step 1)
In je bron staat trouwens ook een stappenplan voor ff die niet in mijn bron staat daar doe je volgens filippo dit:
• Go to Options/Preferences.
• Click Advanced, then Certificates.
• Click View Certificates.
• Look for Superfish, if it's there, click it and then click Delete or Distrust.

[Reactie gewijzigd door nul07 op 20 februari 2015 09:21]

Laat ze maar beginnen met een schone installatie disc op te sturen met windows erop.
Die recovery disc die op de harde schijf is namelijk nu ook waardeloos.
[...]


Tot die tijd kun je deze stappen doorlopen om de malware te verwijderen. Want excuses of niet, en ook zegt lenovo dat 'het allemaal wel meevalt' al die woorden zorgen er nu niet voor dat je 100% veilig kan surfen.
Ik denk gezien de ongevraagde software die op Windows systemen meegeleverd wordt inclusief virusscanner variant waar je niet om gevraagd hebt.

Het beter is om een keer over deze opties na te denken.
1
2
3
4
5
6
etc.

Als je dat al gedaan had, had je dit probleem niet gehad.
Tja... of je doet na aanschaf van je nieuwe laptop/computer gewoon een schone installatie van Windows. Effect is hetzelfde.
Enkel tweakers doen dit. Gewone gebruikers gaan dat nooit doen.
Ik ga vanaf nu Lenovo meiden als de pest.

Bestaan er eigenlijk consumenten laptops waar er geen bloatware wordt meegeleverd (Windows laptops)?

[Reactie gewijzigd door Kefke op 20 februari 2015 14:24]

En dus is de suggestie om Linux te installeren ook wat kort door de bocht ;)

En een consumenten-PC zonder bloatware... het is juist trial-versies van allerhande shite die maakt dat er tientjes van de prijs afkan.
Lenovo doet het voorkomen alsof het allemaal wel meevalt, maar dit vind ik een erg kwalijke zaak. De cto stelt dat het is gedaan om consumenten te helpen, hoe denkt de beste man dat ik geholpen ben met nog meer reclame op internet. Ik word er al mee doodgegooid.
Ik heb nu een Lenovo en ben er erg tevreden over, maar de volgende keer komt er geen Lenovo meer in huis. In die zin hebben ze me wel geholpen, ze hebben de keus iets makkelijker gemaakt.
De cto stelt ook dat de vergoeding klein was. Eigenlijk zou lenovo die vergoeding moeten verdelen over de getroffen consumenten.
Dit is idd erg kwalijk. En al helemaal de reactie van de cto.
Lenovo stond vrij hoog aangeschreven (als deels opvolger van IBM), maar ik denk dat ze dat nu in één klap kwijt zijn.
Ik hoop dat er een getroffen partij actie gaat ondernemen tegen Lenovo. al was het maar om een voorbeeld te stellen.

Wij hebben er sowieso last van gehad.
Bij bepaalde gebruikers hebben we meerdere uren in de laptop gestoken om uit te zoeken waarom een bepaalde bedrijfspagina niet gebruikt kon worden.
Na het verwijderen van de adware (of certificaat) werkte het meteen weer...

[Reactie gewijzigd door fm77 op 20 februari 2015 08:52]

De reactie is inderdaad niet zo netjes, maar wel begrijpelijk. Als je mea culpa slaat, zit je direct in slechte papieren als het tot een rechtszaak komt.

Het is een tech bedrijf. Ze kunnen dus heus wel inschatten wat de gevolgen zijn van wat ze gedaan hebben met die software. De vraag is alleen wie er in het bedrijf in geslaagd is om de rest ervan te overtuigen dit mee te leveren op hun toestellen.

Ik herinner me nog mijn eerste Asus netboook. Wat een bloatware stond me daar niet op. Cleane windows install gedaan en het ding liep vlot. Eigenlijk ben je bijna verplicht om dit met elke laptop te doen die je koopt en dat is een beetje jammer.

@Thystan: Ze hebben geen 3de partij in de arm genomen. Er zijn gewoon bedrijven die betalen om software mee te laten leveren op laptops. De kans is dus vrij groot dat iemand in de financiële dienst gezegd heeft dat dit een goed idee was of dat een marketing boy dit verkocht heeft en niet de gevolgen heeft kunnen inschatten. De mensen die echter images maken om op de laptops te zetten zijn volgens mij wel techneuten. Die hadden moeten zeggen dat het een bijzonder slecht idee was.

[Reactie gewijzigd door bbc op 20 februari 2015 12:26]

Eigenlijk ben je bijna verplicht om dit met elke laptop te doen die je koopt en dat is een beetje jammer.
Dat is niet een beetje jammer, maar schandalig. Stel je voor dat je dat ook met je auto moet doen, of met je nieuwe huis. Deels afbreken omdat er wellicht bij de bouw reeds afluister- en andere spionageapparatuur is ingebouwd. De wereld was te klein. !
Als ze dit konden maken hadden ze geen 3e partij in de arm genomen. Je stelling techbedrijf gaat niet op.

Of denk je dat jou webdeveloper ook je SharePoint kan onderhouden?
Dan was de busines uitvoering van de laptop toch een voordeliger keus geweest dan de consumentenversie die jullie nu kennelijk gekocht hebben...

Wat niet wil zeggen dat ik het installeren van dit soort crap goedkeur trouwens...
Beetje offtopic, maar in dit geval ging het om een dienst die aan thuisgebruikers op privé computers/laptops aangeboden wordt :)
Wat dacht je van BYOD?
Natuurlijk doen ze alsof niet niet echt erg was.

Maar het is nog triester: maar ook hij zegt dat er geen bewijs is dat de 'theoretische bezwaren' van beveiligingsonderzoekers voor concrete problemen zorgden. "Voor zover wij weten is er geen misbruik van gemaakt", aldus Hortensius.

Laat misbruik nu meestal niet snel openbaar worden en dus kunnen ze het idd niet weten. Feit is dat er misbruik gemaakt van kon worden en dus moet je er ook van uitgaan dat dat gebeurt is.

Ze zullen de volgende keer hoop ik wel 3x nadenken voordat ze die zooi er op zetten.
Ze zullen de volgende keer hoop ik wel 3x nadenken voordat ze die zooi er op zetten.
Zoals ik wel 3x nadenk om de Lenovo te adviseren danwel te kopen, voorlopig.

Het vertrouwen is geschaad en het wordt niet beter dor kulargumenten als in ''niet misbruikt vermoedelijk''.
Is het heel immoreel om stiekem een beetje te hopen dat iemand Lenovo "het gevraagde bewijs geeft" door internetbankieren van een van hun hoge bazen te MitM'en? :X Ik ben uiterst benieuwd naar het persbericht dat ze dan zouden schrijven...

Om misverstanden te voorkomen: dit is hardop denken; geen oproep om het ook daadwerkelijk te doen. Niet dat het zou werken; ik geloof er niks van dat de directeur zelf een Lenovo-laptop heeft, laat staan eentje uit de consumenten-lijn... en zelfs in dat geval, it'll be a cold day in hell voordat ik geloof dat ie deze malware erop laat staan totdat de uninstall automatisch wordt uitgerold.
Aangezien je er last van gehad hebt, ben je een getroffen partij.
Waar wacht je dan op om zelf aktie te ondernemen in plaats van te hopen dat een ander slachtoffer dat doet ?
Als iedereen zo reageert loopt er geen enkele klacht, en is dat een vrijbrief voor Lenovo om lekker door te gaan.
Het is echt bezopen dat een stuk MALware door een fabrikant wordt meegeleverd en ook nog eens onder de noemer van de consument willen helpen. Wat snappen ze niet van het woord Malware? Verder is het ook behoorlijk ernstig dat een bedrijf malware ontwikkeld en verkoopt aan een ander bedrijf. Wat mij betreft zou men hier wel eens naar de legaliteit van deze actie mogen kijken. Dergelijke initiatieven zorgen ervoor dat de consument kwetsbaar worden, buiten hun eigen toedoen, en als er criminelen met sloten geld vandoor gaan, geeft niemand thuis qua verantwoordelijkheid.
Het komt inderdaad over alsof iemand jouw huissleutels aan een dief geeft en dan zegt dat ie jou wou helpen omdat die dief zonder die sleutels de ramen in moet slaan om binnen te komen.
Het komt inderdaad over alsof iemand jouw huissleutels aan een dief geeft en dan zegt dat ie jou wou helpen omdat die dief zonder die sleutels de ramen in moet slaan om binnen te komen.
.. maar gelukkig is de dief niet binnen geweest want de ramen zijn nog heel (...)
Het is echt bezopen dat een stuk MALware door een fabrikant wordt meegeleverd en ook nog eens onder de noemer van de consument willen helpen.
Dit vind ik om die reden ook helemaal niet geloofwaardig. Lenovo moet zich bewust zijn geweest van de strekking die die software had die ze op hun systemen liet zetten.

Misschien dat het vervalste certificaat niet bij Lenovo bekend was. SuperFish is dan te enthousiast geweest om haar missie voor de volle 100% waar te maken door zich ook bij communicatie naar https-sites naar binnen te wurmen. Superfish heeft zich nu zodanig in diskrediet gebracht dat dit bedrijf zijn activiteten wat mij betreft kan stoppen. Verdergaan onder een andere naam is ook nog een optie, al kunnen ze dan beter iets totaal anders gaan doen, met hopelijk meer nut voor de samenleving.

Lenovo heeft na dit voorval hopelijk haar lessen geleerd en hopelijk gooit ze de professionaliteit die haar Thinkpad systemen nog steeds uitstralen niet verder te grabbel.
Wa mij betreft: nooit meer Lenovo kopen.
Nou ja, dat heb ik dus juist niet. Over de hardware ben ik eigenlijk wel tevreden. Maar daarom maakt juist dit nieuws mij zo pissig. Als klant heb je niet eens de keuze om het wel of niet te krijgen, terwijl dit het laatste is waar ik geld aan wil uitgeven.
Het complete gebrek aan schuldgevoel is uiterst triest. Nooit meer kopen die meuk.
De hardware is wel OK voor zover ik weet.
Ik zou eerder zeggen: Niet mee gebruiken zonder low-level format en cleane installatie van een OS dat NIET bijgeleverd werd.
Het is toch absoluut van den zotte dat je zo'n betroffen laptop eerst volledig opnieuw moet installeren, niet om hem bloatware-vrij maar malware-vrij te krijgen? En natuurlijk is dit 100% willens en wetens gebeurd, waaruit schrijnend duidelijk blijkt dat voor Lenovo zelfs voor een freaking habbekrats (veel leverde het Lenovo immers niet op, aldus hun eigen woorden) de comsument gewoon opzadelt met malware. En was Lenovo niet ontmaskerd, dan was het waarschijnlijk gewoon doorgegaan met deze praktijken.

Ik weet eerlijk gezegd niet eens wat van het bovenstaande ik het ergst vind, maar één ding is nu klaar als een klontje: voor mij is Lenovo ook definitief toegetreden tot de digitale lepra-kolonie. Hek eromheen en nooit meer aanraken.

[Reactie gewijzigd door w00t00w op 20 februari 2015 12:12]

En was Lenovo niet ontmaskerd, dan was het waarschijnlijk gewoon doorgegaan met deze praktijken.
Als het eenmaal goed blijkt te werken hadden ze het ook op zakelijke apparaten kunnen gaan leveren. Daar lijkt mij de opbrengst van spionage hoger. Maar helaas, te vroeg ontdekt. De ontdekking spijt hen, niet het feit dat er mogelijkerwijs geen misbruik van gemaakt is geworden.

Lenovo, onthoud die naam.
Dat was al een paar jaar een goed idee, gezien bijna elke fabrikant al wel eens een 'foutje' gemaakt heeft. Zelfs lege harddisks direct uit de fabriek zijn ooit geleverd met voorgeinstalleerde virussen.
Microsoft zal daar heel gelukkig mee zijn, als iedereen tweemaal betaalt voor zijn windows licenties.
Oh ik doe altijd gewoon een belletje om de licentie te resetten, je kan veel zeggen maar Microsoft support is aardig.
"Voor zover wij weten is er geen misbruik van gemaakt".

Hoe kunnen ze dat nou weten? Dan moet je toch elke klant zijn complete internetgebruik aftappen om dat met 100% zekerheid te kunnen zeggen?
Vandaar dat hij zegt "Voor zover wij weten". Dat is een mooie manier om jezelf in te dekken omdat hij feitelijk zegt "Wij hebben geen informatie over in hoeverre er misbruik is geweest." en door het op deze manier te verwoorden klinkt het alsof dat betekend dat er geen misbruik is geweest.
Mijn insteek (die ik niet goed duidelijk maakte, mea culpa) was dan ook een beetje als volgt:

Het heeft dan toch ook geen nut om die uitspraak te gebruiken als indekking? Want als je dat wel kon weten dan geef je daar juist mee aan mensen af te tappen?

Het klinkt gewoon alsof dit een "van hogerop" goedgekeurde uitspraak is, maar dat de mensen gemoeid bij deze PR-failure beperking zich nog niet helemaal van de technische implicaties bewust zijn.
Misschien doen ze dat ook wel :+
ik kan niks vinden op mijn lenovo y50? er staat geen superfish bij configuratiescherm -> programma's, en bij de Certificaten op Chrome kan ik geen superfish/visualdiscovery certificaat vinden? iemand ideeën?
dankje Thystan,

ik heb volgens jouw link geen Superfish certificaat op chrome. :) ( gelukkig )
Wij van wc eend, adviseren........

Zal allemaal wel, Lenovo staat bij mij nu op de zwarte lijst.
Dit is een deuk van jewelste in het imago van Lenovo. Helemaal op de zakelijke markt kan ik me voorstellen.
En hoe zit het met HP? Lenovo valt toch onder de HP vlag?

In elk geval word mijn achterdocht ten opzichte van al die "handige" programma`s die standaard worden meegeleverd bevestigd. (Helaas)
HP heeft niets met Lenovo te maken, maar op alle consumentenlaptops wordt bloatware geïnstalleerd. Toch is dat wat anders dan deze malware, want meestal is het gemakkelijk te verwijderen. Dit is gewoon onacceptabel, en de reactie van Lenovo maakt het nog erger.
Hoe durft zo'n vent te beweren dat gebruikers geen gevaar lopen? De privésleutel van het certificaat dat door Superfish wordt gebruikt is openbaar, dus elke kwaadwillende kan bijvoorbeeld een ABN-AMRO-certificaat gaan maken, waarbij alle mensen die geïnfecteerd zijn met Superfish - want zo wil ik het wel noemen - die denken veilig met de bank te communiceren af te luisteren zijn.

De sleutel, komodia, is trouwens de naam van een bedrijf dat ook zulke mooie spionagesoftware maakt. Ik zou de site linken, maar ze zeggen momenteel last van een DDoS te hebben. Goh.

Relevant: blogpost van degene die de sleutel heeft achterhaald, met wat leuke weetjes erbij.
Ik was je net voor hehe. Ik keek ook al of iemand een referentie naar die blog had gemaakt. Maar dat was nog niet het geval. Wel bizar dit. Hoe kunnen consumenten zich hier tegen weren? Onmogelijk lijkt mij.
Even iets anders: Als Lenovo deze troep willens en wetens in de software opneemt, wat kunnen we dan verwachten aan hardware achterdeurtjes?

Software is goed te handelen, de meeste Tweakers zetten er toch hun eigen OS op dus dat is op te lossen maar hardwarematig blijven er dan wellicht de nodige risico's bestaan...

Ik zet nu mijn vraagtekens bij Lenovo in het algemeen terwijl ik het wel bijzonder goede hardware vind.
Geen achterdeurtje, maar lenovo heeft lange tijd de x240 geleverd met de samsung pm851 ssd, een goedkope ssd gebaseerd op de 840EVO, die van de old-files-slow-read bug (met de berekende meerprijs had ik toch echt een pro versie verwacht). Overigens nog steeds geen oplossing voor deze ssd.
Ik ben in het bezit van de Lenovo Y50. Na alle mogelijke verwijderings-methodes geleze en uitgevoerd te hebben is mijn conclusie: "Dit certificaat staat niet om mijn laptop". Nergens kon ik iets van superfish terug vinden, niet in mijn geinstalleerde programma's, niet bij mijn certificaten in chrome, IE, FF en niet via MMC.exe.

Ook deze website denkt dat ik niet getroffe ben: https://filippo.io/Badfish/

ps. ik heb deze laptop sinds ongeveer oktober.
ik ben ook in het bezit van de Y50, ik heb ook alles gelezen en uitgevoerd en kwam ook tot de conclusie dat dit certificaat niet op mijn laptop staat, heb hem sinds ongeveer september.

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True