اخیرا نوعی آسیبپذیری در یکی از نرمافزارهای از پیش نصب شده در کامپیوترهای لنوو یافت شده که دسترسی به دادههای ذخیره شده در مرورگر کاربر و جمعآوری کلمات عبور، اطلاعات بانکی و دیگر موارد مشابه را برای هکرها ممکن میسازد.
طبق گزارشات منتشر شده، Superfish که لنوو در ماه ژانویه وجود آن را به عنوان نوعی ابزار تبلیغاتی در دستگاههایش تایید کرده، نقش واسطه را در این فرآیند ایفا کرده و دسترسی به اطلاعات شخصی کاربر را از طریق حملات Man-in-the-Middle جهت استفادههای تبلیغاتی فراهم میسازد.
بدافزار سوپرفیش به چه روشی عمل میکند؟
سوپرفیش با در اختیار گرفتن قدرت صدور گواهینامههای نامحدود، در هر زمان که نیاز باشد اقدام به نصب پروکسی با توانایی تولید گواهی SSL جعلی میکند. گواهیهای SSL، فایلهایی کوچکی بوده که جهت اثبات معتبر بودن اتصالات ورودی به یک سایت، توسط بانکها، شبکههای اجتماعی، فروشگاههایی همچون آمازون و بسیاری دیگر از کمپانیها مورد استفاده قرار میگیرند. Superfish با ساخت گواهینامههای جعلی SSL، میتواند فعالیتهای تبلیغاتی خود را در اتصالات امن نیز انجام داده و صفحههای حاوی اطلاعات شخصی کاربران را آلوده و مشاهده کند. با توجه به بیانیهای توسط لنوو، مشارکت این شرکت در ماه ژانویه متوقف شده اما ممکن است بسیاری از کامپیوترهای تولید شده به این بدافزار آلوده باشند.
لنوو با اعلام بیانیهای خبر را رد کرده و گفت:
ما به طور کامل تجهیزات و کامپیوترها را مورد بررسی قرار دادیم؛ اما هیچ مدرکی برای اثبات نقض امنیتی پیدا نکردیم.
کن وایت – متخصص امنیت، گواهیهای پراکسی Superfish را به صورت عملی در یک پست توییتر به نمایش گذاشت. تصویر منتشر شده توسط وی، گواهینامهای را نشان میدهد که به جای نمایندهای معتبر مانند VeriSign از طریق Superfish برای Bank of America صادر شده است. سوپرفیش امکان بررسی ترافیک وب و ارسال دادهها برای اهداف تبلیغاتی را دارد و به همین دلیل فرصتی را برای هکرها فراهم میآورد تا به اطلاعات منتقل شده از طریق اتصالات امن دسترسی پیدا کنند؛ برای مثال آدرس فروشگاههای آنلاین و وبسایتهای متعلق به بانک با //:https شروع شده و قفلی را در مرورگر کاربر نمایش میدهد.
از اینکه لنوو و سوپرفیش از چنین پراکسیهایی جهت مشاهده اطلاعات خصوصی کاربران استفاده میکنند، نگران کننده است؛ اما احتمال دارد که شرکتهای شخص ثالث نیز به این اطلاعات دست پیدا کنند. به نظر میرسد Superfish از کلید یکسان برای گواهیهای جعلی خود در هر دستگاه استفاده میکند. اریک رند – یکی از محققان تیم Brown Hat Security در گفتگو با The Verge گفت:
اگر کسی موفق شود این کلید را تحت کنترل خود درآورد، ساخت گواهی یا بدافزارهایی که مورد اعتماد کامپیوترهای لنوو قرار دارند، امکان پذیر خواهد بود.
اگرچه جمعی از محققان امنیتی، پسوردها را کرک کردهاند اما تیم امنیتی براونهت نیز لیستی از این کلمات عبور را منتشر کرده است. این کمپانی سوپرفیش را برای مدت کوتاهی در ماه ژانویه از محصولات خود حذف کرد، اما در دفاع از کارکرد آن، ادعا کرد که این ابزار نه به مشاهده و ثبت فعالیتهای کاربران می پردازد و نه اطلاعات آنها را ضبط میکند. لنوو اشاره کرد که قوانین استفاده و سیاستهای حریم خصوصی، زمانی که برای نخستین بار از یکی از محصولات آن استفاده میکنند در اختیار کاربر قرار میگیرد. این کمپانی در ادامه گفت که کاربران حتی امکان غیرفعال کردن این قابلیت را دارند؛ این در حالی است که خریداران محصولات لنوو دریافتهاند که حذف این نرمافزار، امکان تولید گواهیهای جعلی را از بین نمیبرد.
سوپرفیش در لیست کمپانیهای در حال رشد ایالات متحده، رتبه چهارم را به خود اختصاص داده بود. یکی از نرمافزارهای تولیدی این کمپانی، تصاویر مشاهده شده توسط کاربران در مرورگر را بررسی کرده و بیش از ۷۰۰۰۰ فروشگاه را برای محصولات مشابه با قیمتی کمتر را جستجو میکند. این کمپانی رو به رشد، خود را پیشگام صنعت تکنولوژی جستجوی بصری میداند اما احتمالا تا به حال متوجه شدهاید که کاربران لنوو با سیاستهای کاری آن موافق نیستند.
لنوو در اظهار نظری به وبسایت ورج گفت که مشغول بررسی و حل مشکلات امنیتی گزارش شده است.
در ماه ژانویه امسال، لنوو گفت که این تکنولوژی کاملا بی ضرر است؛ اما به نظر میآید که تلاش این کمپانی در پنهان کردن حفره امنیتی ذکر شده که ظاهرا در تمامی محصولاتش به چشم میخورد، کاملا ناموفق بوده است.
از کجا بدانیم کامپیوتر لنوو شخصی ما به بدافزار سوپرفیش آلوده شده است؟
سوپرفیش علاوه بر جاسوسی اطلاعات، تبلیغاتی را در مرورگر شما میگنجاند. البته اگر در سیستم شما نیز به طور پیشفرض نصب شده باشد، کلا امنیت کامپیوترتان را تضعیف میکند. تیم امنیتی ایتالیایی به نام Filippo Valsorda، ابزار آنلاینی را جهت شناسایی این بدافزار ارائه کردهاند. برای تست سیستم خود در مقابل سوپرفیش به این لینک مراجعه کنید؛ آزمایش سوپرفیش در حین باز کردن این صفحه صورت میپذیرد، پس از لود شدن کامل اگر در وسط صفحه کلمهی YES را مشاهده کردید، به این معنی است که کامپیوتر شما آلوده به این بدافزار است؛ در غیر اینصورت با پیغام زیر که به منزلهی عدم آلودگی سیستم است، مواجه خواهید شد.
این تیم امنیتی وعده دادند در آیندهی نزدیک لینک دیگری در این صفحه قرار خواهند داد تا عملیات پاک کردن این بدافزار را از سیستم کاربران انجام دهد.
