3min

Lenovo heeft gisteren een bizarre statement uitgegeven op de kritiek die het kreeg omtrent de Superfish-adware. Het bedrijf zou op zijn blote knieën excuses moeten aanbieden aan alle mensen die een bewust geïnfecteerde laptop hebben gekocht. In plaats daarvan kiest het bedrijf ervoor om geen excuses te maken maar zich te verschuilen achter de boodschap dat het een service wilde leveren aan zijn klanten. Een service die slecht werd ontvangen, waarna Lenovo deze zo snel mogelijk heeft uitgeschakeld.

Het verhaal ligt echter niet zo simpel als Lenovo het schets in zijn verklaring.

Lenovo heeft er bewust voor gekozen om adware op zijn consumentenlaptops te installeren. Om te beginnen is adware geen service maar gewoon irritante reclame die behalve respectloos naar gebruikers ook respectloos naar alle website-uitgevers is. Adware injecteert bij het laden van websites namelijk code in de browser om extra advertenties te tonen, waarvan de gebruiker vervolgens de websites de schuld geeft. De inkomsten van deze advertenties worden gedeeld door de makers van de adware, Superfish, en de fabrikant van de laptop, Lenovo. Het is alles behalve een service, het is een goedkope manier om een paar extra euro’s te verdienen.

Daarnaast heeft Lenovo verzaakt om gedegen onderzoek te doen naar de adware die het op zijn systemen installeert want deze voegt ook een SSL-autoriteit toe aan het systeem waardoor alle SSL-verbindingen kunnen worden afgetapt door de adware en geïnjecteerd met advertenties. Een detail wat Lenovo niet durft te vermelden is dat deze SSL-autoriteit het systeem kwetsbaar maakt voor andere kwaadwillende. De sleutel van de SSL-certificaten van deze autoriteit is namelijk al gekraakt. Hierdoor is het mogelijk om een zogenaamde man-in-the-middle aanval uit te voeren waarbij privacy gevoelige gegevens kunnen worden afgetapt.

Lenovo is met het installeren van adware niet op zoek naar een manier om zijn klanten te bedienen, het is ook niet een klein beetje in de fout gegaan, het heeft de privacy van zijn gebruikers volkomen genegeerd. Mogelijk is de actie van Lenovo zelfs strafbaar, dat zou het in elk geval moeten zijn. Lenovo zou per direct een terugroepactie moeten afkondigen en de systemen van klanten moeten omruilen, ook zou het alle geïnfecteerde laptops uit de winkels moeten laten halen om toekomstige schade te voorkomen. Het zou natuurlijk moeten beginnen met het betuigen van spijt in plaats van zich te verstoppen achter smoesjes over een mislukte service.

Hieronder de verklaring van Lenovo:

Lang onvolledig verhaal zonder excuses

"Superfish was previously included on some consumer notebook products shipped in a short window between September and December to help customers potentially discover interesting products while shopping. However, user feedback was not positive, and we responded quickly and decisively:

  1. Superfish has completely disabled server side interactions (since January) on all Lenovo products so that the product is no longer active. This disables Superfish for all products in market.
  2. Lenovo stopped preloading the software in January.
  3. We will not preload this software in the future.

We have thoroughly investigated this technology and do not find any evidence to substantiate security concerns. But we know that users reacted to this issue with concern, and so we have taken direct action to stop shipping any products with this software. We will continue to review what we do and how we do it in order to ensure we put our user needs, experience and priorities first.

To be clear, Superfish technology is purely based on contextual/image and not behavioral. It does not profile nor monitor user behavior. It does not record user information. It does not know who the user is. Users are not tracked nor re-targeted. Every session is independent. Users are given a choice whether or not to use the product. The relationship with Superfish is not financially significant; our goal was to enhance the experience for users. We recognize that the software did not meet that goal and have acted quickly and decisively.

We are providing support on our forums for any user with concerns. Our goal is to find technologies that best serve users. In this case, we have responded quickly to negative feedback, and taken decisive actions to ensure that we address these concerns. If users still wish to take further action, detail information is available at http://forums.lenovo.com."

Zoals je wellicht is opgevallen rept Lenovo met geen woord over de toegevoegde SSL-autoriteit die voor de beveiligingsproblemen zorgt op de Lenovo-laptops.