Muž kráčející kolem reklamy společnosti Lenovo. (Dale de la Rey/AFP/Getty Images)
Ve svém pozdějším prohlášení společnost uvedla, že od ledna 2015 přestává předinstalovávat tento software na svou řadu spotřebitelských notebooků a v budoucnu tak již nikdy neučiní. Ke stejnému datu také již není tento software nadále aktivní.
V současnosti společnost pracuje na softwarovém nástroji, který vyřeší tuto bezpečnostní chybu.
„Jakmile budou programátoři hotoví, okamžitě uvolníme nástroj, který odstraní všechny stopy této aplikace z notebooků našich zákazníků,“ prohlásil Peter Hortensius, vedoucí technického oddělení společnosti.
Řada bezpečnostních expertů se domnívá, že Superfish vystavuje Lenovo zařízení riziku špehování u klasického zabezpečeného připojení typu https, které se běžně používá například v bankovnictví. Objevují se také názory, že rozhodnutí společnosti Lenovo instalovat adware na počítače svých zákazníků je závažným porušením etiky. Někteří zašli tak daleko, že označili Superfish jako malware.
Marc Rogers, bezpečnostní výzkumník ze společnosti Cloudflare, na svém blogu napsal: „Věříme, že výrobci hardwaru vytváří produkty, které jsou bezpečné. Člověk se nachází ve velmi obtížné situaci, pokud nemůže v současném ´trendu´ rostoucí počítačové trestné činnosti výrobcům hardwaru věřit.“
Jak již bylo zmíněno, Superfish využívá svou vlastní kořenovou autoritu. Uživatelé jsou tedy vystaveni potenciálním počítačovým útokům typu „man-in-the-middle“.
Rogers dále uvedl, že to, co společnost Lenovo provedla, je neuvěřitelně bezohledné a ignorantní. „Jde pravděpodobně o nejhorší věc, kterou kdy výrobce svým zákazníkům udělal,“ dodal.
Společnost Lenovo nicméně popřela, že by Superfish představoval jakoukoliv bezpečnostní hrozbu. Jako důvod odstranění tohoto adwaru společnost uvedla, že se produkt nesetkal s pozitivními ohlasy u svých uživatelů.
„Důkladně jsme zkoumali tuto technologii a nenašli jsme žádné důkazy, které by potvrdily obavy o narušení bezpečnosti. Víme, že uživatelé reagovali velmi citlivě, a proto jsme se rozhodli k přímému kroku vůči zákazníkům a nebudeme nadále předinstalovávat tento software na naše notebooky,“ uvedla společnost Lenovo.
Robert Graham ze společnosti Errata Security demonstroval na svém blogu, jak prolomit heslo ke zmíněnému SSL certifikátu a zachytit tak šifrovanou komunikaci u notebooků Lenovo, které byly v případě této demonstrace připojené ke stejné WiFi síti, například v kavárně. Heslem pro certifikát je název společnosti, která prodává software, který zachycuje zabezpečené připojení například pro potřeby rodičů, aby mohli sledovat své potomky.
Lenovo odmítlo tyto obavy jako „spekulativní“. „Nejsme si vědomi, že by došlo k nějakým problémům. Dle zpětné vazby od uživatelů jsme zjistili, že tento nástroj není užitečný, a to je důvod, proč ho nadále nebudeme používat,“ řekl Hortensius.
Není to poprvé, co se čínská technologická společnost dostala do hledáčku bezpečnostních expertů. V roce 2012 se zjistilo, že společnosti Huawei Technologies Inc a ZTE Inc se sídlem v Číně představují pro Američany národně-bezpečnostní riziko, neboť jejich zařízení obsahovala „zadní vrátka“, která mohla být jednoduše využita ke špehování.
Tyto obavy potvrdily i skutečnosti, že ani jedna z těchto firem nevysvětlila, jakou roli hraje „výbor Komunistické strany Číny“ uvnitř jejich podniku ani nepoodhalila složení svého managementu.
Podle průzkumu společnosti IDC z října 2014 je Lenovo největším PC výrobcem na světě, a jejich zařízení tvoří jednu pětinu světového trhu.
Přeložil: Petr Matějček
