Upphovsman: 501room / Shutterstock
(Bildkredit: 501room / Shutterstock)

UPPDATERAD vid middagstid torsdag EST med ytterligare information om hur man upptäcker och tar bort Superfish adware. UPPDATERAD klockan 10 fredag ​​med lista över berörda maskiner. UPPDATERAD kl. 16 Fredag ​​med Microsoft-borttagningsnyheter och Firefox-instruktioner för borttagning. UPPDATERAD kl. 16.45 Fredag ​​med en Department of Homeland Security varning om Superfish och en förnekelse från Superfish om att dess programvara utgör en säkerhetsrisk.

Sedan åtminstone i september förra året har Lenovo sålt konsumentdatorer med förinstallerad adware som kapar säkra webbanslutningar, vilket undergräver hela nätverket av Internetsäkerhet och riskerar Lenovos kunder att infektera skadlig programvara, ekonomiskt bedrägeri och identitetsstöld, en ny analys finner.

Annonsprogrammet, kallat Visual Discovery och tillverkat av ett israeliskt företag som heter Superfish, skannar webbsidor efter detaljhandelsprodukter och infogar annonser som erbjuder liknande produkter till lägre priser. Många detaljhandelswebbplatser använder säkra HTTPS-anslutningar, men Visual Discovery bryter dessa anslutningar; Som ett resultat kan användare som tror att de ansluter till Amazon.com istället ge sina kreditkortsnummer till Ivan the Criminal någonstans i Östeuropa.

"Du har bra killar som gör vad de dåliga görna", säger Kevin Bocek från Salt Lake City-baserade onlinesäkerhetsföretag Venafi, i ett uttalande. "I det här fallet bryter de allt som har byggts under 20 år för att skapa förtroende och integritet på Internet."

MER: Hur man installerar och använder Malwarebytes Anti-Malware

I ett uttalande till Tom's Guide sa Lenovo: "Superfish inkluderades tidigare i vissa bärbara bärbara produkter levereras i ett kort fönster mellan oktober och december för att hjälpa kunder att eventuellt upptäcka intressanta produkter handla."

Det tillade att "feedback från användare inte var positiv" - klagomål började uppstå på Lenovos användarforum i september - och att "produkten inte längre är aktiv" på "alla [Lenovo] -produkter på marknaden."

"Vi har undersökt denna teknik grundligt och hittar inga bevis som styrker säkerhetsproblem", sa Lenovo.

Öppna dörren för online-brottslingar

I alla fall, Chris Palmer, en San Francisco-baserad säkerhetsforskare, köpte en Lenovo-bärbar dator onsdag kväll (feb. 18) och upptäckte omedelbart att hans anslutning till Bank of America-webbplatsen hade kapats av Superfishs eget digitala rotcertifikat, som hade ersatt Bank of America's egen digitala certifikat.

Digitala certifikat är långa krypteringsnycklar som garanterar webbsäkerhet. de säger till dig att du verkligen ansluter till exempelvis Bank of America-webbplatsen. Eftersom Superfish byter in sitt eget certifikat finns det ingen garanti för användaren att han verkligen är ansluten till Bank of America istället för en kriminell webbplats som förfalskar Bank of America. (Superfish-kapningen påverkar Internet Explorer och Google Chrome, men inte Mozilla Firefox, som använder sitt eget certifikatsystem.)

"När du har en Lenovo-dator verkar det som SuperFish är root CA [certifikatutfärdare] för alla webbplatser du besöker." Rob Graham, VD för Atlanta-baserade Errata Security, skrev på sin personliga blogg idag (feb. 19). "Detta tillåter SuperFish att fånga upp en krypterad SSL [Secure Sockets Layer] -anslutning, dekryptera den och sedan kryptera den igen." (Senare förklarade Graham hur han hade gjort det knäckt Superfish-certifikatets lösenord, som teoretiskt gör det möjligt för honom att scenen man-i-mitten-attacker på Lenovo-datorer.)

Ännu värre, Palmer och andra säkerhetsforskare på Twitter fann snabbt att Superfish använder samma privata nyckel, en en viktig del av det digitala certifikatet, för alla Lenovodatorer, vilket innebär att en brottsling lätt kan förfalska certifikat. En holländsk säkerhetsforskare, Yonathan Klijnsma, twittrade Superfishs privata nyckel och publicerade den på Pastebin i morse.

"I detta nuvarande klimat av ökande it-brottslighet, om du inte kan lita på din hårdvarutillverkare, är du i en mycket svår position," Marc Rogers, skrev en annan säkerhetsforskare i San Francisco på sin blogg idag.

Rogers tillade att detta var "möjligen det värsta som jag har sett en tillverkare göra mot sin kundbas. Vid denna tidpunkt skulle jag anse att varenda en av dessa drabbade bärbara datorer är potentiellt komprometterade och skulle installera om dem från grunden. "

Hur man kastar ut Superfish

Det kan tyckas lite drastiskt. Det finns faktiskt en tvåstegsprocess för att först inaktivera Visual Discovery och sedan ta bort Superfish digitalt certifikat, från en Lenovo-dator, utan att behöva torka av hårddisken och installera om den Windows.

En YouTube-video föreslår att Lenovo-användare öppnar Aktivitetshanteraren (tryck Ctrl + Skift + Esc samtidigt), öppnar fliken Tjänster och rullar ner för att hitta Visual Discovery. Högerklicka på Visual Discovery gör att du kan stoppa tjänsten; när det är klart bör uppdatering av Internet Explorer eller Chrome ta bort Visual Discovery-annonser.

När det gäller Superfish-rotcertifikatet måste det tas bort manuellt från Internet Explorer och Google Chrome individuellt.

I Internet Explorer:

  • Klicka på kugghjulsikonen längst upp till höger i webbläsarfönstret.
  • I den resulterande rullgardinsmenyn, rulla ner och klicka på Internetalternativ.
  • Välj fliken Innehåll.
  • Klicka på knappen Certifikat.
  • Sök efter Superfish eller Visual Discovery i både fliken Intermediate Certification Authorities och Trusted Root Certification Authorities.
  • Om du hittar något av dessa markerar du det och klickar sedan på knappen Ta bort under listfältet.
  • Du kan behöva starta om din dator för att göra ändringen effektiv.

I Google Chrome:

  • Klicka på ikonen som liknar tre staplade rader längst upp till höger i webbläsarfönstret.
  • I den resulterande rullgardinsmenyn, rulla ner och klicka på Inställningar.
  • På sidan Inställningar, rulla ner till botten och klicka på Visa avancerade inställningar.
  • Rulla ner till HTTPS / SSL och klicka på Hantera certifikat.
  • Sök efter Superfish eller Visual Discovery i både fliken "Mellanliggande certifieringsmyndigheter" och "Betrodda rotcertifieringsmyndigheter".
  • Om du hittar något av dessa markerar du det och klickar sedan på knappen Ta bort under listfältet.
  • Du kan behöva starta om datorn för att ändringen ska träda i kraft.
  • Det är inte klart om andra datortillverkare också kan ha installerat Superfish adware på sina maskiner. Lenovo säger att det inte längre kommer att inkludera programvaran.

UPPDATERING: Den italienska säkerhetsforskaren Filippo Valsorda har lagt upp en snabbt webbläsarbaserat test för Lenovo-användare för att se om deras webbanslutningar fångas upp av Superfish.

Samtidigt visade säkerhetsforskaren Chris Boyd från Malwarebytes PC World en ännu snabbare metod för att ta bort Superfish-rotcertifikatet:

  • Klicka på Windows-ikonen längst ned till vänster på skärmen.
  • Skriv "cmd.exe" i det resulterande sökfältet och tryck på Enter-tangenten.
  • Skriv "certmgr.msc" vid kommandotolken i det resulterande terminalfönstret och tryck Enter.
  • Välj "Betrodda rotcertifieringsmyndigheter" i det vänstra navigeringsfönstret i den resulterande dialogrutan och välj sedan Certifikat.
  • Välj Superfish och / eller Visual Discovery. Högerklicka och välj Ta bort.
  • Du kan behöva starta om datorn för att genomföra ändringen.

UPPDATERING: Lenovo har lagt upp en lista över modeller som påverkas av Superfish-programvaran. Inga ThinkPad-modeller ingår.

"Vi ber om ursäkt. Vi trasslade, "the Lenovo amerikanska Twitter-flöde uppgav i går kväll. "Vi äger det. Och vi ser till att det aldrig händer igen. "

Företaget har också postat sin egen uppsättning instruktioner för att ta bort både Visual Discovery och Superfish root-certifikat i Windows 8.1. Det lovar att släppa ett borttagningsverktyg senare fredag ​​(feb. 20).

UPPDATERING: Microsoft har lagt till Visual Discovery-programvaran och Superfish-rotcertifikatet i listan över skadlig kod och andra oönskade program som kan upptäckas och raderas av Windows Defender (i Windows 8, 8.1 och RT) och Microsoft Security Essentials (i Windows Vista och 7).

Men Windows Defender går vilande om en säkerhetslösning från tredje part finns på samma maskin. Microsoft Security Essentials måste laddas ner manuellt och uppdateras och rekommenderas inte om en säkerhetslösning från tredje part redan finns.

Vi nämnde ovan att Firefox-användare inte behöver oroa sig för Visual Discovery och Superfish, men det är nu uppenbart att det inte är helt korrekt. Firefox håller sin egen lista över erkända certifikat och Superfish-certifikatet, om det finns, måste raderas manuellt. Här är hur:

  • Klicka på ikonen som liknar tre staplade rader längst upp till höger i webbläsarfönstret.
  • Klicka på Alternativ i den resulterande rullgardinsmenyn.
  • Välj fliken Certifikat i den resulterande dialogrutan.
  • Klicka på knappen märkt Visa certifikat.
  • Bläddra ner för att hitta Superfish.
  • Välj Superfish om du hittar det.
  • Klicka på knappen Ta bort eller misstro under listfältet.
  • Klicka på OK i den resulterande varningsdialogrutan.

UPPDATERING: Institutionen för inrikes säkerhet US-CERT har utfärdat en varning råda användare och administratörer av Lenovo-datorer, liksom användare av flera andra produkter som använder Superfish-programvara, att ta bort programvaran och tillhörande certifikat.

Under tiden berättade Superfish för Ars Technica's Dan Goodin att "trots de falska och vilseledande uttalandena från vissa mediekommentatorer och bloggare, utgör Superfish-programvaran ingen säkerhetsrisk."

  • Bästa PC-antivirusprogram
  • 10 enkla tips för att undvika identitetsstöld
  • Kryptering: Vad det är och hur det fungerar för dig

Paul Wagenseil är seniorredaktör på Tom's Guide med fokus på säkerhet och spel. Följ honom på @snd_wagenseil. Följ Toms guide på @tomsguide, på Facebook och igen Google+.