Alert (TA15-051A)
Lenovo Superfish Adware Vulnerable to HTTPS Spoofing
Sistemas afectados
PCs de consumo de Lenovo que tienen Superfish VisualDiscovery instalado.
Información General
Adware Superfish instalado en algunas computadoras Lenovo instalar una autoridad no única certificación raíz de confianza (CA) de certificados, lo que permite a un atacante suplantar el tráfico HTTPS.
Descripción
A partir de septiembre de 2014, Lenovo preinstalado Superfish VisualDiscovery spyware en algunos de sus PC. Tráfico web Este software intercepta usuarios ‘para proporcionar anuncios dirigidos. Con el fin de interceptar las conexiones cifradas (los que utilizan HTTPS), el software se instala un certificado de CA raíz de confianza para Superfish. Todo basado en el navegador tráfico cifrado a Internet es interceptada, descifrado, y re-codificada para el navegador del usuario por la aplicación – un ataque clásico-man-in-the-middle. Debido a que los certificados utilizados por Superfish son firmados por la CA instalado por el software, el navegador no mostrará ninguna advertencia de que el tráfico está siendo manipulado. Dado que la clave privada puede ser fácilmente recuperado del software Superfish, un atacante puede generar un certificado para cualquier sitio web que será la confianza de un sistema con el software Superfish instalado. Esto significa sitios web, como la banca y el correo electrónico, pueden ser falseadas y sin una advertencia del navegador.
Aunque Lenovo ha declarado que han suspendido la práctica de Superfish pre-instalación de VisualDiscovery, los sistemas que vienen con el software ya instalado seguirá siendo vulnerable hasta que se adopten las medidas correctivas.
Para detectar un sistema con Superfish instalado, busque una solicitud GET HTTP a:
superfish.aistcdn.com
La solicitud completa se verá así:
http://superfish.aistcdn.com/set.php?ID=[GUID]&Action=[ACTION]
Donde [ACCIÓN] es al menos 1, 2 o 3. 1 y 2 se envían cuando un ordenador está encendido. 3 se envía cuando un equipo está apagado. Superfish utiliza una biblioteca de descifrado SSL vulnerables por Komodia. Otras aplicaciones que utilizan la biblioteca pueden ser afectados de manera similar. Por favor, consulte CERT Nota de Vulnerabilidad VU # 529496 para más detalles y actualizaciones.
Impacto
Una máquina con Superfish VisualDiscovery instalada será vulnerable a ataques de suplantación SSL sin una advertencia del navegador.
Solución
Desinstalar Superfish VisualDiscovery y certificado de CA raíz asociado
Los usuarios deben desinstalar Superfish VisualDiscovery. Lenovo ha proporcionado una herramienta para desinstalar Superfish y retire todos los certificados asociados.
También es necesario retirar los certificados de CA raíz afectados. Simplemente desinstalar el software no elimina el certificado. Microsoft ofrece orientación sobre cómo borrar y los certificados de gestión en el almacén de certificados de Windows. En el caso de Superfish VisualDiscovery, el infractor de confianza raíz certificado de autoridad de certificación se expide a «Superfish, Inc.»
Mozilla proporciona una guía similar para su software, incluyendo los almacenes de certificados de Firefox y Thunderbird.
Referencias
Las revisiones
- 20 de febrero 2015: Versión inicial
- 20 de febrero 2015: fechas de lanzamiento de software clarificados
- 24 de abril 2015: Se ha actualizado la descripción y solución detalles
- https://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Removal-Instructions-for-VisualDiscovery-Superfish-application/ta-p/2029206
Remoción Instructio
LENOVO DECLARACIÓN SOBRE SUPERFISH
En Lenovo, hacemos todo lo posible para proporcionar una gran experiencia de usuario para nuestros clientes. Sabemos que millones de personas dependen de nuestros dispositivos de todos los días, y es nuestra responsabilidad de entregar calidad, fiabilidad, innovación y seguridad a todos y cada uno de los clientes. En nuestro esfuerzo para mejorar nuestra experiencia de los usuarios, nos pre-instalado una pieza de software de terceros, Superfish (con sede en Palo Alto, CA), en algunos de nuestros portátiles de consumo. El objetivo era mejorar la experiencia de compra utilizando sus técnicas de descubrimiento visual.
En realidad, tuvimos quejas de los clientes sobre el software. Hemos actuado con rapidez y decisión una vez que estas preocupaciones comenzaron a elevarse. Pedimos disculpas por causar ninguna preocupación para cualquier usuario por cualquier razón – y siempre estamos tratando de aprender de la experiencia y mejorar lo que hacemos y cómo lo hacemos.
Nos detuvimos las precargas a partir de enero. Cerramos las conexiones de servidor que permiten que el software (también en enero), y estamos proporcionando recursos en línea para ayudar a los usuarios suprimir este software. Por último, estamos trabajando directamente con Superfish y con otros socios de la industria para asegurar que abordamos los posibles problemas de seguridad ahora y en el futuro. Información detallada sobre estas actividades y herramientas para la eliminación de software están disponibles
En realidad, tuvimos quejas de los clientes sobre el software. Hemos actuado con rapidez y decisión una vez que estas preocupaciones comenzaron a elevarse. Pedimos disculpas por causar ninguna preocupación para cualquier usuario por cualquier razón – y siempre estamos tratando de aprender de la experiencia y mejorar lo que hacemos y cómo lo hacemos.
Nos detuvimos las precargas a partir de enero. Cerramos las conexiones de servidor que permiten que el software (también en enero), y estamos proporcionando recursos en línea para ayudar a los usuarios suprimir este software. Por último, estamos trabajando directamente con Superfish y con otros socios de la industria para asegurar que abordamos los posibles problemas de seguridad ahora y en el futuro. Información detallada sobre estas actividades y herramientas para la eliminación de software están disponibles
Superfish puede haber aparecido en estos modelos:
Serie G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45, G40-80
Serie U: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70, Y40-80, Y70- 70
Serie Z: Z40-75, Z50-75, Z40-70, Z50-70, Z70-80
S Series: S310, S410, S40-70, S415, S415Touch, S435, S20-30, S20-30Touch
Flex Serie: Flex2 14D, 15D Flex2, Flex2 14, Flex2 15, Flex2 Pro, Flex 10
MIix Serie: MIIX2-8, MIIX2-10, MIIX2-11, MIix 3 1030
YOGA Serie: YOGA2Pro-13, YOGA2-13, YOGA2-11, YOGA3 Pro
Serie E: E10-30
Lenovo Edge 15
Por favor, vea relacionado Lenovo Comunicado de prensa sobre Superfish
Utilice el siguiente enlace para obtener más información de desinstalación – estos se actualizan con frecuencia
ACTUALIZACIÓN de 2/20 – una herramienta automatizada ya está disponible para desinstalar. La herramienta, licencia, código fuente, y las instrucciones de desinstalación manual de alternativas disponibles en el siguiente enlace.
