Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 97 reacties

Lenovo heeft een programma uitgebracht dat automatisch de Superfish-malware en het bijbehorende browsercertificaat kan verwijderen. De adware werd op een aantal Lenovo-laptops meegeleverd en bleek gebruikers kwetsbaar te maken voor het kapen van beveiligde verbindingen.

Op zijn hulppagina heeft Lenovo een tool geplaatst die na opstarten Superfish en het bijbehorende rootcertificaat met een druk op de knop verwijdert. Ook achtergebleven registerbestanden worden opgeschoond. Eerder had het bedrijf al instructies online gezet om de malware handmatig te verwijderen, maar een tool om dit automatisch te doen was al aangekondigd. Van de verwijdertool is ook de broncode online gezet.

De aanwezigheid van Superfish op Lenovo-laptops heeft voor veel ophef gezorgd. Op vrijdag reageerde het Amerikaanse Department of Homeland Security door gebruikers van Lenovo-laptops te vragen om de malware van de getroffen systemen te halen vanwege de veiligheidsrisico's. De autoriteiten vroegen ook de makers van de Superfish-malware om te staken met hun activiteiten.

Microsoft bracht al een update uit voor zijn anti-malwareprogramma Defender waardoor Superfish wordt herkend en verwijderd. Het browsercertificaat dat Superfish voor Firefox installeert wordt echter niet herkend, terwijl de tool van Lenovo deze wel weghaalt.

In januari meldde Tweakers dat Lenovo adware meeleverde op zijn laptops onder de naam Superfish. De software injecteert advertenties in webpagina's, maar later bleek dat er ook een vals ssl-certificaat wordt geïnstalleerd waardoor beveiligde verbindingen worden gekaapt. Dat maakt gebruikers vatbaarder voor het afluisteren van hun dataverbinding. Lenovo was al gestopt met het bijleveren van Superfish op zijn laptops.

SuperfishSuperfish

Moderatie-faq Wijzig weergave

Reacties (97)

Wat was het voordeel voor Lenovo? Een financiele vergoeding per laptop?
Ja, door bloatware te installeren krijgen laptop fabrikanten een vergoeding. Waardoor de laptops goedkoper kunnen zijn voor de consument. De vergoeding kan verschillen per laptop en is afhankelijk van het aantal en het soort bloatware. Door die bloatware kan het zijn dat jouw laptop een stuk of 5/6 tientjes extra in het laatje brengt voor de fabrikant.

Ook voor leveranciers van de bloatware kan zo'n deal aantrekkelijk zijn, veel 'eenvoudige' consumenten kiezen liever voor het betalen voor de virusscanner die er al opstaat dan dat ze een nieuwe uitzoeken.

In dit geval was de bloatware gericht op het tonen/injecteren van advertenties tijdens het Browsen. Een markt waarin jaarlijks 100 miljard wordt verdient, dat is ongeveer ¤177 per Nederlander. Dus als je in die markt, de advertenties kan vervangen door je eigen te injecteren kun je daar goed aan verdienen.

[Reactie gewijzigd door nul07 op 21 februari 2015 11:16]

Zo werkt het helaas niet. Door bloatware te installeren krijgen fabrikanten inderdaad een vergoeding, maar die stroomt echt niet door in de adviesprijs voor de consument. Het zorgt voor extra winst - bij de fabrikant of de winkel die de laptop verkoopt - terwijl jij gewoon het reguliere bedrag blijft betalen.

Die vergoeding zal hoogstens een kwestie van enkele euro's per machine zijn, terwijl jij met ellendige malware wordt opgezadelt. Je mag best een beetje minder naïef zijn.

[Reactie gewijzigd door Titan_Fox op 21 februari 2015 10:40]

Daar is niks naïefs aan. Budgetlaptops zijn een bedrijfstak waar alles om prijs draait, vooral de efficiency van je inkoop en logistiek, omdat alle leveranciers nu eenmaal bij dezelfde leveranciers inkopen (Intel, AMD, Nvidia, Microsoft, etc).
Elke euro die je van de prijs af kunt halen helpt om meer laptops te verkopen. En de winst komt uiteindelijk niet uit de marge per laptop, want die valt tegen, maar uit de aantallen laptops die je afzet.
Er zit nog een abstractieniveau tussen. Lenovo (lees: de gemiddelde laptopleverancier) koopt in het geval van budgetmodellen niet rechtstreeks bij nVidia, intel, AMD maar bij een OEM zoals Acer, Compal, Qisda, etc. die spullen van deze fabrikanten op een printplaat en in een kastje prutst.

Dus zelfs de electronische ontwerpen en fabricageprocessen zijn practisch hetzelfde tussen de merken. Marge moet dus uit aantallen komen, uit bezuinigingen (het goedkopere model gaat korter mee of mist features) en uit 'slimme' softwarebundeling (zoals misschien hier het geval was).
Zo werkt het helaas niet. Door bloatware te installeren krijgen fabrikanten inderdaad een vergoeding, maar die stroomt echt niet door in de adviesprijs voor de consument. Het zorgt voor extra winst - bij de fabrikant of de winkel die de laptop verkoopt - terwijl jij gewoon het reguliere bedrag blijft betalen.
Ehm wat jij hier beschrijft is dat het wel doorstroomt in de consumentenprijs.
Als die extra winst er eenmaal is wordt die nooit meer afgestaan, dus als ze stoppen met de bloatware dan moet die "extra winst" nog steeds gehaald worden en hoe halen ze die : Door simpelweg de consumentenprijs te verhogen.

En enkele euro's aan het begin van het traject zijn over het algemeen tientjes tot honderden euro's aan het einde van het traject (want elke tussenpartij wil zijn slaatje slaan uit een verhoging van de prijs)

Zou een Lenovo enkele euro's per laptop extra willen verdienen aan consumentenprijs dan is het niet zo dat de consument ook maar enkele euro's meer hoeft te betalen.
In geval van apparaten met een lage marge en zeer sterke concurrentie (zoals laptops) wel. Het is immers onwaarschijnlijk dat je op een apparaat dat op een dergelijke markt 400 euro kost, 50 of 100 euro extra moet betalen omdat Lenovo een paar euro extra wil verdienen. Meer waarschijnlijk zou die paar euro hooguit een tientje zijn aan het einde van het traject.

Opzich kan het wel om in een dergelijke markt meer dan een paar euro extra te verdienen: dan moet je niet Lenovo zijn, maar toeleverancier van een relatief duur onderdeel aan meerdere fabrikanten van eindproducten, en met je collega-toeleveranciers (voor zover die er zijn; in een mono- of oligopolie werkt zoiets het best) afspreken dat je de marge daarop hoog houdt (denk aan kartelvorming bij CRT-fabrikanten tussen 1996 en 2006, denk aan LCD-panelen, intel processors, MS-Software).

[Reactie gewijzigd door mae-t.net op 22 februari 2015 03:49]

100 Miljard? Komt dat dan, omdat mensen het kopen, of krijgen ze al geld als mensen er perongeluk op klikken?
Dat lijkt me wel. Waarom zou je anders de moeite nemen om meer dan de OEM Windows te installeren?
Ik betaal liever 10 euro(bijv.) minder voor een laptop, en zelf de adware erafhalen dan die 10 euro betalen zeg ik dan maar :)

[Reactie gewijzigd door BJ_Berg op 21 februari 2015 09:46]

Ik heb liever dat andere 10 euro meer betalen dan dat ik weer eens een uur bezig ben om nutteloze troep te verwijderen.

Virusscanners zijn nutteloos ( zit in windows 8 ). Allerlei andere fancy gui drivers zijn ook nutteloos, maar vaak lastiger te verwijderen.

Kortom mensen weten niet wat ze kopen en willen uiteraard zo goedkoop mogelijk een PC hebben. Maar zodra ze iemand met wat kennis kennen wordt hij/zij eerst gevraagd en die persoon is dan weer tijden bezig om alle meuk eraf te gooien.
Voor laptops gebruik ik linux gezien ik er niet op game en linux gewoonweg prettiger voor mij werkt en als ik dat niet zou doen zou ik gewoon een verse windows er op gooien. Als het kan met de eigen key maar anders met een alternatieve activatiemethode.
Ik ben ook fervent Linux-gebruiker. Normaliter bouw ik mijn systemen zelf of kies voor de barebone versie en koop daar zelf een losse SSD en RAM bij.

Dan zit je tenminste niet met software opgescheept die je niet wilt gebruiken en hoeft niet met Microsoft in de clinch te gaan liggen om het geld van de OEM-licentie terug te krijgen.
Al is dat wel een heel klein probleem voor de niet-leek. Of je bouwt je PC en zet er OEM Windows op of je stoeit een halfuurtje met die bloatware en je bent er ook vanaf.
Dus als het over Linux gaat is het een klein niet-leken probleem, en als het over Windows gaat kan elke leek opeens z'n bloatware zelf verwijderen want dan zijn de mensen opeens geen leek-meer?
Ik ben niet meer dan 20 minuten bezig om een kale Windows op m'n laptop te zetten hoor. 8)7

Over Virusscanners gesproken. Ik gebruik zelf Avast(alleen File Scanner tijdens installatie aanklikken) omdat Windows Defender veel meer resources vreet en soms 99% CPU gebruikt voor no reason.

[Reactie gewijzigd door BJ_Berg op 21 februari 2015 11:25]

De laatste keer dat ik Avast gebruikte selecteerde ik wel alle scanners (default), en dan gaat Avast mooi tussen je http(s) traffic zitten, en dat komt neer op precies hetzelfde als superfish, zij signen de certificaten opnieuw en je browser trust ineens de certificaten van avast. Ook avast komt met browser plugins om dit spelletje te ondersteunen.

Ik vermoed dat dit de real time web scanner is, maar ik vind het onacceptabel gedrag (mensen klikken ook gewoon door als het slotje van de bank rood wordt omdat avast er tussen zit...), en alleen daarom al zal ik avast nooit aan een ander aanraden.

Wat jammer is, want avast was altijd best een goeie scanner, zonder al te veel crap en ads gezeur (zoals met avira antivir).
Behalve dat avast zijn certificaat niet self-signed is 8)7
Maar wel regelmatig als niet valid opkomt.....

Bovendien vertouw je hier dus op een partij die jou een gratis virusscanner aanbiedt om alle https traffic netjes te controleren. En wie zegt dat ze van avast geen data versturen? Zij moeten ook ergens hun geld vandaan halen.
Vervolgens 2 uur met alle updates. Dat proces is echt niet gestroomlijnd bij Windows.
Niet dat ik dat nog doe, maar je kan nog steeds updates slipstreamen, zelfs 7 en 8.1
Inclusief het uitvinden welke drivers je allemaal nodig hebt, en die installeren?
Die kan je 99% van de tijd gewoon vinden op de support page van je laptop.
komt me heel bekent voor :)
todat ze de malware in the firmware verstoppen
Een vebeterde "user-exprience" leveren, aldus Lenovo.
De financiele constructie met de makers van Superfish was niet significant, aldus Lenovo.
Ze hadden intern onderzoek gedaan maar hebben geen issues kunnen vinden, aldus Lenovo.

Als je afgaat op je gezonde verstand dan zal dit hoogstwaarschijnlijk met geld te maken hebben.

Of druk van buitenaf om zo een certificaat mee te leveren. Als een onderzoeker deze malware weet te ontcijferen is het geen gekke gedachte dat instanties met een groot belang(zeg, overheden ofzo) dit gepusht wilden zien.

Ik ben erg benieuwd of de echte motivatie van Lenovo ooit aan het daglicht komt.
Kan iemand mij uitleggen hoe het komt dat dit Superfish certificate dit kan uitegeven wanneer iemand de bank of america website bezoekt?

Het gaat om dit image.

https://twitter.com/kennwhite/status/568270748638318593

(Ik snap dat certificates uitegedeeld worden om beveiligde verbindingen aan te gaan, maar kan iemand uitleggen waarom een advertentie injectie programma iets te maken heeft met een bank website.)
Superfish plaatst zijn eigen certificaat in de Root CA lijst, waardoor na het onderscheppen van al het HTTPS verkeer het certificaat wordt vervangen door hun certificaat (na een webpagina eerst vol te pompen met advertenties), wat alle browsers als makke schaapjes accepteren want Superfish is een Root CA, dus die zijn toch te vertrouwen?

Het probleem hiervan is dat Superfish geen checks doet om te kijken of dat die website die hij onderschept niet toevallig iets van internetbankieren is. Dus betekent dit dat Superfish in principe in staat is om alle internetbankieren gegevens te onderscheppen (en overige gevoelige data die over https wordt gestuurd, denk bijvoorbeeld maar eens aan je DigiD) en naar huis te sturen. Dus kun je op deze manier flink rijk worden dmv identiteitsdiefstal.

En wat nog erger is dan dit, stel je voor dat je in een Starbucks zit en er zitten een aantal mensen met Lenovo laptops. Het zou nu zomaar kunnen zijn dat iemand nog Superfish (of in ieder geval de Superfish root CA geïnstalleerd heeft staan). Dus dan hoef je alleen zijn WiFi verbinding te onderscheppen, zijn HTTPS verkeer ondertekenen met een Superfish certificaat (wat makkelijk te maken is nu dat alle data op straat ligt daarvan), en dan kun je bij alles. Facebook, Google, internetbankieren, werkelijk alles.
Dankjewel.

Nu wordt het ook duidelijk toen een cerftificate uitgever gehakt was een tijd geleden.

Merci.

Het is ook een schande dat ze dit zo op hun pc's hebben gezet.

Al dat user "feature" gepraat geeft me echt de kriebels. Alsof we achterlijk zijn.
Superfish doet de volgende dingen;

* Voegt zijn eigen 'root certificate' toe aan de certificate store - dit betekent dat alles dat met dat certificaat getekend is, automisch als 'veilig' gezien wordt.
* Onderschept alle SSL-verbindingen (inclusief die naar Bank of America dus!)
* Injecteert reclames, en ondertekent de aangepastie reactie van de server met zijn eigen nu-vertrouwde certificaat.

Omdat hetzelfde certificaat voor iedere installatie gebruikt wordt, en gemakkelijk te achterhalen is (dat moet ook wel - de MITM gebeurt lokaal), kan iedereen dus in principe alles ondertekenen met dat certificaat. Iedere PC waarop Superfish geinstalleerd staat of stond, zal deze ondertekening als geldig zien - immers, de Superfish root certificate zit in de certificate store.

En dat is voor een organisatie als de NSA, of zelfs een verveelde puber in het cafe met een nep-WiFi-accesspoint natuurlijk ideaal.
Ja dit is echt te belachelijk voor woorden. Het is niet meer dan terecht dat hun imago een FLINKE deuk heeft opgelopen. Ik heb Lenovo altijd aangeraden bij vrienden/kennissen, maar dat zal ik in de toekomst zeker niet doen.
En toch zal mijn volgende laptop terug een Lenovo worden. Vroeg of laat gaat elke fabrikant door dit soort schandalen. Noem mij eens 1 fabrikant die een vlekkeloos parcours heeft afgelegd, nog nooit negatief in het licht kwam.
Precies, ik overweeg pas Lenovo de deur te wijzen als ze iets soortgelijks nog een keer uithalen, dan pas is duidelijk dat ze niets hebben geleerd van het bundelen van deze nare software.
Hier heb je een brainteaser: ze hebben een publiek statement gemaakt, waarin EERST stnd dat ze zelf onderzoek hadden gedaan naar het veiligheidsrisico van de software.
Het oordeel was "mwa, niets aan het handje hoor".

Vervolgens passen ze dat statement aan en halen ze dat stukje weg.
Niet aanpassen, nee weg.
Klinkt toch alsof ze iets te verbergen hebben, maw. dat hier opzet in het spel is.

Wil je met zo een toko zakendoen?
Inderdaad, toch hecht ik een meerwaarde aan het IBM volk (dat de PC heeft uitgevonden) welke tegenwoordig bij Lenovo werkt.

Ik houd ze goed in de gaten, nog een keer misstap zoals deze en ze zijn voor mij nog lager dan Acer.
Constructiefoutje is tot daar aan toe. Maar opzettelijk malware meeleveren op je systeem. Flikker toch op Lenovo, dat dat is onacceptabel. Punt.
Nooit meer Lenovo.
Apple levert geen rommel mee, maar daar staat natuurlijk OSX op. Met Windows laptops kan ik mij inderdaad geen geval herinneren waar ik niet eerst direct een verse installatie moest doen.
Ze leveren geen rommel mee, maar er zijn daar ook al wel voldoende klachten geweest over de bouwkwaliteit over de jaren dat je niet meer kan zeggen dat zij een vlekkeloos parcours hebben afgelegd.
Apple rekent véél extra geld om geen rommel mee te leveren, en kennen bovendien wel de onvermijdelijke hardwareprobleempjes.
BTO.

Bewerk: Voor de grapjurken onder ons, BTO is een fabrikant, niet een verzekeringsbedrijf.

[Reactie gewijzigd door Sacron op 21 februari 2015 13:44]

(F)BTO? Verzekeren kan je zelf? Wat heeft dat met Lenovo te maken? :P
BTO is geen fabrikant maar een acronym voor een gewoon Engels zinnetje: Built To Order, oftewel in het Nederlands OMG: Op Maat Gemaakt.

Nou kan het natuurlijk best zijn dat een bedrijf zich die naam toe-eigent, maar als handelsmerk is het niet sterker dan een spijkerbroekenfabrikant die zich "Spijkerbroekenfabrikant" noemt.

Hoe dan ook zou dit wel een oplossing kunnen zijn, zolang je tenminste niet ook gewoon voorgeinstalleerde software mee kunt bestellen.
Heel mooi zon tool maar op deze manier blijft de malware dus nog wel achter in de recovery partitie.

Wat betekend dat bij een factory restore de malware netjes weer word geïnstalleerd voor je.
Je kunt die partities het beste gewoon weggooien. Gewoon een versie van Windows (als je dat gebruikt) downloaden via een torrent-site en registreren met de code die op de sticker van je laptop staat. Zover ik weet is dat gewoon toegestaan omdat je voor die licentie hebt betaald. Waar je DVDtje van af komt maakt volgens mij niet uit.
En jij vertrouwt die torrent sites? Is er geen mogelijkheid om het van de Microsoft website te downloaden?
Dat is me als ik het goed herinner ooit eens gelukt toen ik Windows 7 voor iemand moest herinstalleren.
Microsoft biedt dit aan: http://windows.microsoft....reate-reset-refresh-media

Kun je ook ISOs mee downloaden.
Heeft wel heel lang geduurd voordat dit mogelijk werd bij ms... En dan nog geen up to date installatiebestanden.. He bent veel langer bezig met het naderhand updates installeren dan met de installatie zelf. Beetje jammerlijk en slecht geimplementeerd.
voor ons is dat de eerste stap bij een nieuwe notebook of desktop maar bij meeste andere mensen niet en zullen gewoon de oobe wizard door lopen.

Daar naast kom ik de laatste tijd veel notebooks en desktops tegen van lenovo waar geen Windows licentie sticker op zit waar door je je eigen Windows installatie niet meer kan activeren helaas
Logisch, die stickers worden zelden nog gebruikt. De code staat gewoon netjes opgeslagen in uefi. Veel handiger. Onzin dat je Windows niet meer opnieuw zou kunnen installeren dus.
De code staat gewoon netjes opgeslagen in uefi.
Precies. Heel handig, totdat zal blijken dat ook daar bloatware en malware gepushed wordt.
Windows downloaden van de torrent site ????, ben je niet helemaal lekker ?
Als je helemaal zeker Wilt zijn dat Men en schone kopie gebruikt.
Ik adviseer andere toch echt, altijd via de officiële kanalen te downloaden. Hoop niet dat jij een IT-er bent, en dat je dat op je werk ook even doet met de benodigde software.
Het was maar een voorbeeld.
De vraag is natuurlijk waarvan het een voorbeeld is. In een discussie over het binnenhalen van malware met je OS, kan het uitsluitend als voorbeeld worden gebruikt van "of je nu door de kat of de hond gebeten wordt" en niet als voorbeeld van een alternatief zonder kans op bijtwonden.
Dit is een fenomeen dat al jaren speelt. Ik poets preinstalled windows meteen van nieuwe laptops en install windows van scratch. kost wel even wat tijd maar dan heb je een stabieler systeem zonder die crap.
Voorheen werd er nooit bewust malware meegeleverd. Ik vind het vreemd dat Lenovo niet veel harder wordt aangepakt hierop.
Ik doelde op alle extra "gratis" probeer software die je erbij krijgt, zoals Mcafee, Roxio spul etc. niet persee malware (Alhoewel dat ik alle software die ongewenst meekomt als malware bestempel...)
Blijkbaar heeft Norton een update uitgebracht voor mogelijk dit probleem? Alleen laat die update IE crashen... Internet explorer reageert niet meer
Norton heeft voor deze nare " bijwerking " inmiddels een hotfix uitgebracht. :)
Is het grote probleem hier niet dat iedereen in staat is om Root CA's te "installeren" en zo al je HTTPS/"veilige" internet verkeer te onderscheppen?
Of zie ik dat nu te makkelijk?

Als Lenovo het kan, dan kan een criminele organisatie dat ook volgens mij, en dan is er een ontzettend groot security probleem met alle browsers die van derde partijen certificaten aannemen.
Is het grote probleem hier niet dat iedereen in staat is om Root CA's te "installeren" en zo al je HTTPS/"veilige" internet verkeer te onderscheppen?
Of zie ik dat nu te makkelijk?
Ja, dat is te kort door de bocht. Het probleem is dat elke root domeinnamen voor het hele internet, en nog veel meer toepassingen, kan certificeren. Maar als je als gebruiker / eigenaar van een systeem zelf het recht niet hebt om vertrouwde certificaten toe te voegen, of te verwijderen, ben je helemaal overgeleverd aan de markt.

Uiteindelijk gaat het om geld. Certificaten kosten geld, een trusted root laten meeleveren kost ook (veel) geld, de verplichte audit van een CA-authority koop je voor geld, maar de veiligheid uiteindelijk niet.

Veiligheid betekent voor mij controle over wat er wel en niet kan en mag, en daar hoort dus bij dat ik bij mijn eigen root certificate store moet mogen.
Ik denk dat in deze materie ook Lenovo de kennis niet had en impact onderschat heeft. Vergelijk het met het installeren van het MS OS en enkele MS bijkomende soft, je gaat ervan uit dat die correct hun werk doen. Hier heeft men met een extern bedrijf een contract afgesloten en mogelijks enkel op papier met een demo van een proof of concept. Pas bij een uitrol komen de gebreken te voorschijn. En zoals begonnen, de risico's werden door Lenovo verkeerd ingeschat.
Wie gaat hier gebruik van maken? De update die Windows voor Defender heeft uitgebracht schijnt het probleem ook op te lossen en van MS weten we zeker dat er geen (financiele) belangen aan hangen om misschien toch iets anders terug te zetten.
Lenovo heeft de removal tool inmiddels open source gemaakt en de broncode op Github geplaatst. Hulde!

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True