m

Lenovo får betala skadestånd för Superfish
Förinställda mjukvaran med säkerhetshål

Det var under 2015 som det uppdagades att Lenovos datorer kom förinstallerade med en annonsmjukvara vid namnet Superfish. Problemet med mjukvaran var att den öppnade upp för intrång från tredje part. Efter det att problemen uppmärksammats skickade FTC, den amerikanska myndigheten Federal Trade Commission, in en stämningsansökan mot Lenovo. Nu, två år senare, har parterna kommit överens inkluderat FTC och 32 stater. En överenskommelse som innebär att Lenovo ska betala ett skadestånd på 3,5 miljoner dollar. De måste även i framtiden vara väldigt tydliga mot konsumenterna i de fall de använder sig av något program som levererar reklam eller samlar in data. De måste också få godkännande från konsumenterna innan liknande program kan installeras. Lenovo har även gått med på att deras mjukvara under de kommande 20 åren måste granskas av tredje part. Tumnagel
45.3°
+
Emmy Zettergren
0
2015

Dells nya bärbara datorer skeppas med säkerhetshål
Medföljande programvara gör datorn sårbar för attacker

Ett program som följer med Dells nyligen sålda bärbara datorer innebär en säkerhetsrisk och öppnar datorn för attacker utifrån. Det meddelar Dell som säger att programmet kan låta obehöriga läsa krypterade meddelanden eller skicka användare till falska kopior av sidor som Google eller banksidor. Så här säger Dell i ett offentligt uttalande till Reuters. “The recent situation raised is related to an on-the-box support certificate intended to provide a better, faster and easier customer support experience. Unfortunately, the certificate introduced an unintended security vulnerability.” Det handlar alltså om ett certifikat som ställer till problem och som måste plockas bort manuellt av användaren och med andra ord liknar de problem med programmet Superfish som påverkade Lenovos datorer tidigare i år. Exakt vilka modeller det gäller eller hur många datorer som är påverkade ville Dell inte berätta men programmet ska ha installerats med start i augusti i år. Dell säger också att de kommer att ta fram instruktioner för användare så att de vet hur programvaran ska plockas bort. Tumnagel
27.8°
+
Emmy Zettergren
0

Lenovo-datorer installerar om mjukvara vid omstart
Även om du avinstallerat

Lenovo vet hur man levererar bloatware som kan göra livet surt för användarna. Tidigare i år så uppdagades Superfish-fadäsen som gjorde att en hel del Lenovo-laptops kunde utsättas för datorintrång. Efter det lovade Lenovo att företaget skulle chilla med bloatware och annan onödig mjukvara på sina datorer. Nu har dock det upptäckts att Lenovo har skickat med mjukvara i sina datorer som sålts innan juni som inte försvinner från datorn även om du avinstallerar programmen eller installerar om Windows. Lenovo har nämligen utnyttjat Windows-funktionen Windows Platform Binary Table som gör att mjukvara laddas ner och installeras direkt från BIOS, vilket sker varje gång datorn startas om. Detta är en rätt osäker process, då hackare och diverse skurkar kan kapa servern där mjukvaran finns och sedan lägga in sina egna skurkprogram som din dator i sin tur laddar ner och installerar. Lenovo har nu gått ut och sagt att det endast är datorer som släppts innan juni som påverkas av detta och företagets nyaste datorer har en BIOS-firmware som inte utnyttjar Windows Platform Binary Table. Sitter du på en Lenovo-dator som du införskaffat innan juni så bör du hoppa över till Lenovos hemsida och ladda ner BIOS-uppdatering som plockar bort Lenovos osmakliga uppdateringsprocess. Listan på påverkade datorer hittar ni här: Lenovo. Tumnagel
-11.0°
+
André Stray
0

Det var en svensk som upptäckte Superfish på Lenovos dator
Fick inget gehör för sina varningar

När Kaspars Zibarts från Karlstad satt på tåget på väg till arbetet och använde sin nya Lenovodator upptäckte han att datorn betedde sig konstigt. Han fick helt enkelt fel certifikat på Google-sajter och började kolla vad certifikaten kom ifrån. Snabbt upptäckte han att certifikatet utfärdats av programmet Superfish. Det var så hela skandalen kring Lenovo och det förinstallerade annonsprogrammet Superfish började. Kaspars testade också att gå in på Nordea och insåg att Superfish utfärdade egna certifikat även där. Efter det kontaktade han polisen, Nordea och Lenovo för att informera dem om problemet, men fick inget gehör någonstans. Först när han skrev om sina upptäckter på Lenovos forum tog det hela fart och säkerhetsproblemet blev snabbt en världsnyhet. I en intervju med IDG säger han: – Jag förväntade mig inte att det skulle bli så här stort. Först när Cnet skrev om det sa jag wow, det är en ganska stor sajt. Men Att CNN och BBC har plockat upp det. Ouch! Jag skakade inuti. Problemet med programmet och dess certifikat är att det öppnar upp för en så kallad mannen-i-mitten-attack där trafiken mot en krypterad webbsida kan avlyssnas. Efter att säkerhetshålet upptäcktes har Lenovo tvingats be om ursäkt och har nu lovat att i framtiden aldrig leverera datorer med liknande förinstallerade program. Lenovo har också blivit stämda för sitt tilltag. Hela intervjun med Kaspars kan ni läsa på IDG via länken nedan. Tumnagel
72.1°
+
Emmy Zettergren
0

Lenovo lovar rena datorer framöver
Och ger drabbade kunder kompensation

Efter att ha varit i blåsväder kring förinstallerade program på sina datorer lovar nu Lenovo bot och bättring. Misstaget med Superfish verkar med andra ord ha satt sina spår på företaget. I ett uttalande skriver Lenovo att deras mål är att leverera de renaste och säkraste datorerna på marknaden där all information om all mjukvara som finns på datorn vid lansering kommer att presenteras noga. "The events of last week reinforce the principle that customer experience, security and privacy must be our top priorities. With this in mind, we will significantly reduce preloaded applications. Our goal is clear: To become the leader in providing cleaner, safer PCs. We are starting immediately, and by the time we launch our Windows 10 products, our standard image will only include the operating system and related software, software required to make hardware work well (for example, when we include unique hardware in our devices, like a 3D camera), security software and Lenovo applications. This should eliminate what our industry calls “adware” and “bloatware.” For some countries, certain applications customarily expected by users will also be included. Lenovo will post information about ALL software we preload on our PCs that clearly explains what each application does. And we will continuously solicit feedback from our user community and industry experts to ensure we have the right applications and best user experience." Företaget meddelar också att de personer som haft problem med programmet Superfish på sina datorer kommer att kompenseras med ett halvårs gratis prenumeration på McAfee LifeSafer service. Befintliga McAfee-kunder får även de sex månader gratis. Mer information kommer att släppas på Lenovos hemsida så inom en vecka. Tumnagel
47.6°
+
Emmy Zettergren
0

Lenovos hemsida hackad av Lizard Squad
Ungdomar driver med företaget

Två av medlemmarna i Lizard Squad ska ha hackat Lenovos hemsida och driver nu med företaget genom att lägga upp bilder på sig själva utklädda som karaktärer ur låten Breaking Fire från High School Musical. Det är Ryan King och Rory Andrew Godfrey, tidigare identifierade som medlemmar av hackergruppen, som ligger bakom tilltaget. I koden bakom sidan kan man exempelvis läsa texten "the new and improved rebranded Lenovo website featuring Ryan King and Rory Andrew Godfrey.” Tydligen ska det röra sig om en kapning av DNS-erna vilket gör att trafik skickas till Cloudflare istället för Lenovos egna servrar. Det innebär också att vissa fortfarande kan se Lenovos riktiga hemsida istället för den hackade. Therex27s your problem, @lenovo. pic.twitter.com/H4uIstGnoe— Jonathan Zdziarski (@JZdziarski) February 25, 2015 Attacken kommer bara några dagar efter att Lenovo ertappats med att ha levererat den förinstallerade programvaran Superfish på sina datorer som sedan visade sig innebära en säkerhetsrisk. Tumnagel
24.6°
+
Emmy Zettergren
0

Lenovo skriver öppet brev till användarna angående Superfish
Vill förklara hur de tänker inför framtiden

CTO Peter Hortensius vill förklara hur företaget tänker kring kontroversen med mjukvaran Superfish. Därför skriver han nu ett öppet brev till alla användare där han bland annat tar upp hur företaget ska undvika att liknande händelser sker i framtiden. "Beginning in September 2014, we made a decision to ship some of our consumer notebooks with Superfish. This software frustrated some users without adding value to the experience so we were in the process of removing it from our preloads. Then, we saw published reports about a security vulnerability created by this software and have taken immediate action to remove it. Clearly this issue has caused concern among our customers, partners and those who care about Lenovo, our industry and technology in general. For this, I would like to again apologize. Now, I want to start the process of keeping you up to date on how we are working to fix the problem and restore your faith in Lenovo." Kontroversen kring mjukvaran har garanterat fått kunder att tappa en del förtroende för företaget och de lär få jobba rätt hårt för att bygga upp det igen. Tumnagel
36.1°
+
Emmy Zettergren
0

Lenovo och Superfish stäms av upprörda konsumenter
Superfish gör sitt första uttalande

Kontroversen kring Lenovo och deras beslut att installera programvaran Superfish fortsätter. Tanken var att erbjuda en bättre shoppingupplevelse genom att leverera datorerna med förinstallerade program som skannar av nätet efter bra erbjudanden för de produkter du söker på. Sådana tilltag brukar sällan vara populära. Men när det dessutom framkom att programvaran utgjorde en säkerhetsrisk blev folk rejält upprörda. Nu blir både Lenovo och Superfish också stämda av konsumenter. Stämningsansökan hävdar att båda företagen sysslat med bedrägeri och lämnades in efter det att Lenovo erkänt att de installerat programvaran medvetet. Enligt en av kunderna har programmet förstört hennes dator. Hon anser sig också kränkt då programmet ska ha övervakat hennes surfvanor. En annan kund meddelar att hon fått en massa problem med reklam som dykt upp på en klients hemsida när hon bloggat där. Enligt stämningsansökan ska programmet även har använt en massa minne och tagit upp en del bandbredd när kunder har surfat. Lenovo har valt att inte kommentera stämningsansökan. Samtidigt har nu skaparen av själva programmet, Superfish, gjort sitt första uttalande i frågan och hävdar att programmet inte utgör några som helst säkerhetsrisker. “There has been significant misinformation circulating about Superfish software that was pre-installed on certain Lenovo laptops… Despite the false and misleading statements made by some media commentators and bloggers, the Superfish software does not present a security risk.” Ungefär samtidigt som uttalandet gjordes skickade dock "United States Computer Emergency readiness Team" (US-CERT) ut en offentlig varning för programmet och dess säkerhetsrisker. Tumnagel
47.1°
+
Emmy Zettergren
0

Lenovo har släppt verktyg för att ta bort Superfish
Och Windows Defender samt McAfee har uppdaterats

Efter att Lenovo fått massiv kritik för att ha installerat mjukvaran Superfish på flera av sina konsumentdatorer, som sedan visade sig utgöra en säkerhetsrisk, har Lenovo nu släppt en programvara som hjälper dig att ta bort programmet. Det går visserligen att ta bort det på egen hand och det finns lite olika guider för det på nätet. Men eftersom det även handlar om att ta bort certifikat i webbläsarna så kan det vara smidigt att använda den nya programvaran. Programvaran kan ni ladda ner via länken nedan. Det finns också ett test ni kan göra för att se om datorn har Superfish installerat. Innan helgen meddelade också Microsoft att de uppdaterat Windows Defender så att programmet automatiskt tar bort Superfish. Uppdaterat: Även antivirusprogrammet McAfee har släppt uppdateringar som ska ta bort Superfish. Tumnagel
45.0°
+
Emmy Zettergren
0

Lenovo erkänner att Superfish var ett misstag
Hjälper kunder att ta bort programmet

Nyheten igår om att Lenovo installerat en programvara på flera av sina datorer vid lansering, vars syfte var att hjälpa kunder att hitta bra priser på produkter på nätet, spred sig som en löpeld igår. Programmet hade nämligen också visat sig utgöra ett säkerhetshot och hade dessutom installerats utan kundernas vetskap. Nu erkänner Lenovo att de gjort bort sig rejält och CTO Peter Hortensius säger i en intervju att det är många medarbetare som skäms idag. “I have a bunch of very embarrassed engineers on my staff right now. They missed this.” Problemet med programvaran är att den installerar egna certifikat som sedan kan användas för att generera SSL-certifikat för hemsidor med HTTPS. Säkerhetsexperter har också konstaterat att huvudnyckeln för certifikatet kan plockas fram vilket gör det lätt för tredjepartsanvändare att använda säkerhetshålet för att komma åt privata uppgifter när användare är uppkopplade mot publik wifi. “At the end of the day, we messed up badly. There is no other way to say it. We’re not trying to hide. We’re trying to do everything we can do to solve the problem for people and subsequently make sure this doesn’t happen again.” Lenovo meddelar att de inte anser att det är acceptabelt att deras datorer har kunnat utsätta kunder för en sådan säkerhetsrisk och de har nu släppt en guide för hur man tar bort programmet om det finns på datorn. Det ska enligt Lenovo själva gälla flera typer av datorer sålda mellan september förra året och januari i år. Lenovo kommer också att släppa ett verktyg som gör att kunder lättare kan ta bort programmet och certifikatet. Tumnagel
47.8°
+
Emmy Zettergren
0

Lenovodatorer släpps med förinstallerat annonsprogram
Utgör en säkerhetsrisk

Det har visat sig att Lenovodatorer sedan mitten av 2014 har levererats med ett förinstallerat annonsprogram som heter Superfish. Tanken med programmet är att det ska kunna analysera dina bildsökningar och sedan leta igenom onlineaffärer som erbjuder just den varan. Enligt Lenovo ska programmet inte spara någon information eller kartlägga dig och varje sökning ska vara isolerad. Men det verkar inte som om programmet är så säkert och oskyldigt som det låter. Programmet använder sig nämligen av certifikat som det själv har signerat vilket gör att det kan samla in information från krypterade anslutningar. Med andra ord sidor som internetbanker och liknande. Det ska också vara möjligt för tredjepartsprogram att använda Superfish huvudnyckel vilket innebär att det är ett öppet säkerhetshål om någon vill använda programmet för olagliga syften. Lenovo meddelar nu att de kommer att plocka bort programmet från alla datorer som släpps på marknaden tills man sett över hur Superfish fungerar. Det hjälper dock inte de som redan har köpt en dator. Därför är det bra att vidta försiktighetsåtgärder om man sitter på en Lenovo. För att bli av med programmet måste det dels avinstalleras från datorn och dels måste man manuellt ta bort programmets certifikat från webbläsaren. Det här berör främst de som använder Internet Explorer då Chrome ska vara på väg med en uppdatering som blockerar certifikaten. Firefox är i sin tur redan restriktiva med att godkänna sådana här typer av certifikat. Hela Lenovos uttalande om saken kan ni se nedan. Uppdaterat: Vi har nu till redaktionen fått ett uttalande från Lenovo där företaget säger att programmet endast följde med på datorer under en kort tid mellan september och december förra året och att syftet var att hjälpa kunder hitta mer relevanta produkter när de shoppade. Det nya kompletta uttalandet kan ni se efter hoppet. Tumnagel
-19.2°
+
Emmy Zettergren
0