Покупатели лэптопов Lenovo сообщают, что их компьютеры продаются с предустановленным софтом, который способен мониторить защищенные подключения.
По данным пользователей, софт называется Superfish, и устанавливается сразу на фабриках. Данный софт мало того, что встраивает стороннюю рекламу в поиск Google и веб-сайты без разрешения пользователей – по крайней мере на Chrome и IE. Это уже само по себе отвратительно. Но, помимо этого, данный софт также автоматически запускается, создавая сертификаты SSL, которые позволяют мониторить защищенные подключения.
Эксперт по безопасности – Кенн Вайт, опубликовал изображения на Twitter, демонстрируя то, как софт представляет сертификат выданный Банку Америки... но для Superfish, вместо традиционного и проверенного VeriSign. При этом Superfish заточен исключительно для проверки и передачи данных рекламным компаниям, позволяя им получать доступ к частному контенту. Это уже попахивает многомиллионным судебным иском.
The Verge добавляет, что Superfish использует один и тот же частный ключ для сертификата на каждой машине. Если кто-то взломает ключ, то он сможет создавать сертификаты, которым будет доверять любой компьютер Lenovo с данным софтом, позволяя внедрять вирусы и фишинговый софт.
Кто-то явно забыл, что люди очень не любят, когда за ними следят.