Sebelumnya telah diketahui bahwa Lenovo "ketahuan" memasang adware pada perangkat komputer yang dijualnya. Kini kami informasikan mengenai Apa yang sebenarnya bisa dilakukan oleh Superfish pada Lenovo.
Superfish itu memiliki fungsi untuk menginstal root certificate sendiri menandatangani kontrak dengan sistem operasi pengguna. Apa artinya ini, pada dasarnya, adalah bahwa Superfish pengganti sertifikat yang ditandatangani sendiri untuk sertifikat yang seharusnya disediakan oleh situs yang sebenarnya.
Berikut adalah cara sistem seharusnya bekerja. Bila Anda terhubung ke situs web bank Anda menggunakan HTTPS, bank akan mengirimkan informasi sertifikat kembali ke browser.Sertifikat bank harus dikeluarkan oleh Otoritas Sertifikat yang valid. Jika tidak, browser Anda seharusnya memperingatkan Anda bahwa data Anda tentang mengirimkan mungkin tidak aman dan bahwa hal itu tidak dapat memverifikasi keaslian sertifikat itu sendiri.
- Superfish dapat mendekripsi semua data yang Anda kirim melalui koneksi HTTPS.
- Ia menggunakan root key yang sama untuk setiap sistem Lenovo, yang berarti setiap sistem Lenovo yang tertanam dengan kunci ini dan terhubungkan melalui WiFi di hotspot publik secara teoritis dapat disadap.
- Ini menyuntikkan Javascript ke halaman web untuk menjalankan fungsinya, yang dapat menyebabkan masalah kompatibilitas sendiri.
Skenario no-win Lenovo
Lenovo tampaknya tidak mengirim Superfish pada sistem bisnisnya, hanya pada produk konsumen, tetapi tidak ada daftar produk lengkap yang telah dirilis sejauh ini. Tidak ada jawaban yang baik untuk bagaimana produk ini akhirnya digunakan pada komputer Lenovo. Pertimbangkan pilihan:- Lenovo tahu bahwa produk bisa fatal terhadap keamanan browser dengan menciptakan serangan MTM tapi tidak peduli.
- Lenovo tidak tahu keamanan produk browser karena tidak perlu repot-repot untuk menganalisis software yang dijualnya kepada pelanggan.
- Lenovo hanya dipasang Superfish pada sistem konsumen karena tahu produk itu bisa menyebabkan resiko, keamanan perusahaan tidak dapat diterima (tapi tidak peduli apa yang terjadi pada data konsumen).
Tanggapan Lenovo untuk semua ini adalah untuk mengklaim bahwa pengguna menyetujui perangkat lunak karena mereka menerima perjanjian lisensi ketika mereka pertama kali boot up sistem mereka. "Menanggalkan Superfish tidak mengatasi masalah, pengguna akan perlu menghapus sertifikat root secara manual. Superfish sekarang mendistribusikan "update" yang secara harfiah membuat seluruh fungsi asli dari perangkat lunak (termasuk kemungkinan serangan MTM) tetapi termasuk string untuk menonaktifkan fungsi-fungsi tertentu jika terdeteksi oleh pengguna Lenovo.
#extremetech
0 comments :
Post a Comment