Analytiker: Lenovo-datorer levereras med säkerhetssvagningsprogram

UPPDATERAD klockan 11:58 med PT med kommentar från Lenovo.

Vissa Lenovo-bärbara datorer har levererats med programvara som säkerhetsanalytiker säger kan göra användarna utsatta för attacker.

Superfish är så kallad adware - programvara som genererar annonser på användarens skärm. Det är utformat för att identifiera produkter som användare letar efter på webben och sedan trycka annonser för dessa objekt. Men säkerhetsexperter säger att det gör det, delvis genom att bryta krypteringen som döljer data när användarna besöker säkra webbplatser.

Den brittiska säkerhetsforskaren Graham Cluley säger att det faktiskt uppgår till ett "man-in-the-middle" hack och avlyssnar vad som ska vara säker kommunikation, "alla så att de kan visa några irriterande annonser."

"Du vet att det är dåligt", skrev Cluley i ett blogginlägg. "Om du har Superfish på din dator kan du verkligen inte lita på säkra anslutningar till webbplatser längre."

Lenovo säger Superfish inaktiverad

Det var oklart torsdag vilka modeller av Lenovo-datorer kan påverkas. Företaget sa "några konsumentens notebook-produkter" som skickades mellan september och december hade Superfish installerat.

Lenovo sa att det tog bort Superfish från nya datorer i januari, att det inte kommer att inkluderas på några nya datorer, och att Superfish har inaktiverat programvaran, så det kommer inte längre att springa ens när den installeras.

Ändå hävdar företaget att Superfish inte utgör det hot som vissa säger att det gör.

"Vi har noggrant utforskat denna teknik och finner inte några bevis för att underbygga säkerhetsproblem," sade Lenovo i ett uttalande. "Men vi vet att användare reagerade på problemet med oro, och så har vi vidtagit direkta åtgärder för att sluta skicka några produkter med den här programvaran.

"Vi kommer att fortsätta att granska vad vi gör och hur vi gör det för att säkerställa att vi ställer våra användares behov, erfarenheter och prioriteringar först."

Vissa datorer har klart gjort det till butiker med aktiva versioner av programvaran.

ArsTechnica rapporterade torsdagen att en säkerhetsforskare köpte en Lenovo Yoga 2 Pro för $ 600 i San Francisco-området Best Buy och "snabbt bekräftat" att Superfish hade installerats.

Cluley skriver det, för Superfish ersätter säkerhetscertifikatet för webbplatser med en egen. det skulle vara "enkelt för en annan fientlig skådespelare att utnyttja detta och ytterligare kompromissa användarens anslutningar."

Bli av med programvaran

Att helt avlägsna programvaran från en redan köpt dator verkar vara ett knepigt förslag. Förutom att avinstallera programvaran, säger Cluley att användarna måste ta bort vad som kallas ett "rootcertifikat" för det.

Microsoft, vars Windows-operativsystem körs på Lenovos datorer, har publicerat en steg-för-steg guide om hur man gör det. Det har också skapat en lista över de betrodda rotcertifikaten i olika versioner av Windows, så användarna kan se om något annat har lagts till utan deras kunskaper.

Det enklaste tillvägagångssättet, dock drastiskt, är att torka en dators hårddisk och installera en ny version av Windows eller ett annat operativsystem.

"Det är ett brutalt svar, men det är nog den enda du helt kan lita på just nu," skrev Cluly. "Det tog säkerhetsgemenskapen över sex månader att märka vad Lenovo gjorde på sina datorer, vem vet om det gör någonting annat lite tvivelaktigt också."

Bild via iStock