Apa yang sebenarnya bisa dilakukan oleh Superfish pada Lenovo

Sebelumnya telah diketahui bahwa Lenovo "ketahuan" memasang adware pada perangkat komputer yang dijualnya. Kini kami informasikan mengenai Apa yang sebenarnya bisa dilakukan oleh Superfish pada Lenovo.

Superfish itu memiliki fungsi untuk menginstal root certificate sendiri menandatangani kontrak dengan sistem operasi pengguna. Apa artinya ini, pada dasarnya, adalah bahwa Superfish pengganti sertifikat yang ditandatangani sendiri untuk sertifikat yang seharusnya disediakan oleh situs yang sebenarnya.

Berikut adalah cara sistem seharusnya bekerja. Bila Anda terhubung ke situs web bank Anda menggunakan HTTPS, bank akan mengirimkan informasi sertifikat kembali ke browser.Sertifikat bank harus dikeluarkan oleh Otoritas Sertifikat yang valid. Jika tidak, browser Anda seharusnya memperingatkan Anda bahwa data Anda tentang mengirimkan mungkin tidak aman dan bahwa hal itu tidak dapat memverifikasi keaslian sertifikat itu sendiri.

Apa yang Lenovo dan Superfish lakukan adalah mengkonfigurasi sistem pengiriman dengan sertifikat yang ditandatangani oleh Superfish daripada Certificate Authority seperti Verisign atau Symantec. Lebih buruk lagi, kunci sertifikat yang Lenovo berikan dengan PC yang tampaknya identik di semua sistem.

Inilah yang sebenarnya terjadi :

• Superfish dapat mendekripsi semua data yang Anda kirim melalui koneksi HTTPS.
• Ia menggunakan root key yang sama untuk setiap sistem Lenovo, yang berarti setiap sistem Lenovo yang tertanam dengan kunci ini dan terhubungkan melalui WiFi di hotspot publik secara teoritis dapat disadap.
• Ini menyuntikkan Javascript ke halaman web untuk menjalankan fungsinya, yang dapat menyebabkan masalah kompatibilitas sendiri.

Menunjukkan kenyataan bahwa Anda tidak dapat men-download software Superfish itu (website perusahaan hanya berisi daftar produk yang tersedia di App Store atau Google Play) dan itu jelas bahwa tujuannya adalah untuk mengubah uang dengan cepat untuk mendanai pengembangan produk lainnya dengan nol pikiran dibayarkan kepada pengguna keamanan atau akses data.

Skenario no-win Lenovo

Lenovo tampaknya tidak mengirim Superfish pada sistem bisnisnya, hanya pada produk konsumen, tetapi tidak ada daftar produk lengkap yang telah dirilis sejauh ini. Tidak ada jawaban yang baik untuk bagaimana produk ini akhirnya digunakan pada komputer Lenovo. Pertimbangkan pilihan:

• Lenovo tahu bahwa produk bisa fatal terhadap keamanan browser dengan menciptakan serangan MTM tapi tidak peduli.
• Lenovo tidak tahu keamanan produk browser karena tidak perlu repot-repot untuk menganalisis software yang dijualnya kepada pelanggan.
• Lenovo hanya dipasang Superfish pada sistem konsumen karena tahu produk itu bisa menyebabkan resiko, keamanan perusahaan tidak dapat diterima (tapi tidak peduli apa yang terjadi pada data konsumen).

Tanggapan Lenovo untuk semua ini adalah untuk mengklaim bahwa pengguna menyetujui perangkat lunak karena mereka menerima perjanjian lisensi ketika mereka pertama kali boot up sistem mereka. "Menanggalkan Superfish tidak mengatasi masalah, pengguna akan perlu menghapus sertifikat root secara manual. Superfish sekarang mendistribusikan "update" yang secara harfiah membuat seluruh fungsi asli dari perangkat lunak (termasuk kemungkinan serangan MTM) tetapi termasuk string untuk menonaktifkan fungsi-fungsi tertentu jika terdeteksi oleh pengguna Lenovo.

#extremetech

7:34:00 PM Komputer Teknologi

Tentang Galeri Network

GN (Galeri Network) berusaha memberikan informasi terbaru mengenai berbagai hal yang ada diseluruh nusantara dan dunia dengan akurat dan sumber yang terpercaya.

Share on Facebook | Share on Twitter | Share on Google Plus