Редактор GeekTimes
1052,5
рейтинг
19 февраля 2015 в 16:04

Lenovo уличили в слежке за пользователями и принудительной установке рекламных приложений



Компания Lenovo в конце января подтвердила на официальном форуме, что на их новые ноутбуки по умолчанию установлена программа Superfish. Это web-proxy, которая анализирует трафик пользователя, изучает получаемые им картинки товаров, и вставляет в браузер рекламу этих товаров, найденных в сторонних магазинах. Реклама появляется на страницах сайтов и в результатах поиска в Google, при этом она стилизована так, чтобы органично вписываться в контент.





Усугубляет ситуацию тот факт, что Superfish использует самоподписанный корневой сертификат, что позволяет ей прослушивать даже зашифрованный HTTPS трафик. Эта система работает для браузеров IE и Chrome. Firefox, использующий собственное хранилище сертификатов, не подвержен проблеме. Как замечают специалисты по безопасности, сертификат у программы один для всех компьютеров. Если кто-либо захочет извлечь из него приватный ключ, то у него появится возможность, например, подменять https-сайты для всех пользователей ноутбуков Lenovo.







Жалобы покупателей на наличие adware начали поступать ещё в середине 2014 года. Пользователи форума подтверждают факты наличия зловредной программы у моделей Y50, Z40, Z50, G50 и Yoga 2 Pro. Программа запускается вместе с операционкой. Процесс visualdiscovery.exe можно остановить, и саму программу также можно удалить с компьютера – однако корневой сертификат Superfish при этом не удаляется.

Представитель компании Марк Хопкинс на форуме для покупателей сообщил, что они временно приостановили установку программы на новые ноутбуки. Кроме этого, они запросили у Superfish обновление программы в связи с жалобами пользователей на всплывающие окна с рекламой, которые подчас работают некорректно. При этом он оправдывает наличие программы тем, что она «не отслеживает действия пользователей, алгоритмически анализируя получаемые ими картинки» и «помогает пользователям находить лучшие предложения на интересующие их товары». Кроме того, при первом запуске программа предоставляет пользователю лицензионное соглашение. Если его отклонить, программа не будет работать.

Lenovo, успешный китайский производитель ноутбуков, сотовых телефонов и другой электроники, в последнее время активно выходит на мировой рынок. Покупатели отмечают хорошее качество продукции компании при невысокой цене. Однако такое поведение компании может негативно сказаться на её общественном имидже. Очевидно, что программа Superfish работает за некий процент с продаж магазинов. В связи с этим кажется справедливым вопрос на форуме одного из пользователей: «Неужели вам недостаточно того, что мы уже заплатили за вашу продукцию?».
Вячеслав Голованов @SLY_G
карма
133,2
рейтинг 1052,5
Редактор GeekTimes
Реклама помогает поддерживать и развивать наши сервисы

Подробнее
Реклама

Самое читаемое

Комментарии (44)

  • +4
    Ужас, конечно. Леновы и так нашпигованы garbage-ware, которое интегрировано в ОС и с трудом выковыривается.

    Надеюсь будет суд и восьмизначный штраф.
    • +16
      Откуда там 'garbage-ware'? Чистая, девственная FreeDOS.
      • 0
        Иногда ноутбук выдают на работе с уже установленным ПО.
    • +5
      ИМХО — чемпионом в этом несколько лет назад была Sony. Их топовые ноутбуки, нагруженные всяким говном, жутко тормозили.
    • +2
      Кажется, оно называлось bloat-ware ;)
      • 0
        по-моему, это чистое shit-ware )
  • +1
    > Если кто-либо захочет извлечь из него приватный ключ

    То ему лишь потребуются навыки отладки локальных приложений?
    twitter.com/supersat/status/568329299494744065
    pastebin.com/N42Qfm5p
    > -----BEGIN ENCRYPTED PRIVATE KEY-----
  • +21
    Сколько у меня было лэптопов от Леново, ни разу не видел такой программы в выводе ps aux.
    • 0
      удалено
      note to self — комменты надо до конца дочитывать :)
  • +4
    • 0
      Этот ключ — именно от корневого сертификата?
      • +1
        Да.
  • +20
    Еще одно подтверждение, что старый добрый метод «купил железку и поставил систему собственноручно» не просто причуда параноиков.
    • +13
      По последним новостям, на хардах в прошивке тоже есть чего пугаться)
  • +1
    Да сколько уже можно? Все подряд стали следить, впаривать рекламу, продавать приватную информацию.
    • +13
      «Нет такого преступления, на которое не пойдёт капиталист ради 300% прибыли»
      • –14
        Глупость какая, цитировать Маркса.
      • +1
        К счастью, реакция общества в последнее время тоже стала кое-что значить.
        Самое время продвигать идею Open Hardware.
        ИМХО, если сейчас какой-нибудь производитель поднапряжётся и выпустит процессор, чипсет и (опционально) SSD с полностью открытыми спецификациями и вменяемыми характеристиками, на волне этих скандалов он может получить неплохой бонус к рекламной кампании.
        Правда, проблема в том, что ARM'ом особо не заинтересуешь, а внутреннее устройство процессора архитектуры x86 / x86_64 вряд ли кто захочет открывать и вряд ли это окупится.
  • +3
    разве не разумно первым же делом после покупки ноутбука установить ОС начисто?
    • 0
      Кому-то может быть жалко денег покупать ОС отдельно.
      А, насколько я знаю, предустановленную в ноутбуках нельзя установить заново (не используя диск восстановления).

      Забыл добавить — ещё некоторые не умеют переустанавливать ОС.
      • +3
        Можно не совсем в соответствии с запутанной лицензией, но вполне морально легально установить с чистого MSDN образа и активировать тем же ключом. Как сейчас — не знаю. Я уже давно на Linux перешёл.
        • 0
          Да, можно, и не думаю, что это нарушает лицензию. С чего бы? За систему-то заплачено.
          • +1
            Нарушает… Купили — жрите, что дают с оригинального раздела восстановления. Техническая возможность != юридическая.
            • 0
              По моему вы не правы, вы можете переустановить ОЕМ лицензию с соответствующего образа (редакция и язык для win7) и активировать вашим ОЕМ ключем (если есть, либо пройдет активация через BIOS) и всё будет лицензионно. Причем откуда вы возьмете образ совершенно не важно, хоть с торента.
              • +1
                Где-то мелькало обращение в техподдержку по этому вопросу. Позиция была такова, что OEM только для сборщиков готовых ПК. Конечный пользователь не имеет права на установку такой версии, а только на восстановление с загрузочного раздела или диска. Сами вы имеете право на установку Retail версии. Хотя технически все будет работать.
                • +1
                  Благо сейчас повсеместно 8ка и там с ОЕМ стало гораздо всё проще, конечный пользователь может ставить и даже покупать отдельно ОЕМ.
                  В 7ке же… я могу позвонить нашему менеджеру по лицензиям, спросить. Мы на работе покупаем ПК с оем лицензиями и всё переустанавливаем, при чем даже активируем через КМС после этого, забивая на оем ключ.
                  Конечно же пользователю, не юр лицу, в 99% случаев всё равно, на сколько у него лицензионная винда. Главное, что активировалась и обновляется (многим и на это всё равно). Так что на личном ноуте я бы смело переустанавливал и активировал через ОЕМ ключ.
                  • 0
                    Юрлицу, насколько я помню, можно. Но в таком случае сборщиком ПК становится он сам и техподдержка тоже ложится на него самого. Физлица точно не могут. А так для себя это вполне нормально. Даже, если и не совсем кошерно по лицензии.
                    • +3
                      Я вот не поленился и позвонил. В общем если редакция та же (Home/Pro и т.д.), язык тот же (для 7ки это важно) то можно смело переустанавливать, хоть юр лицу хоть физику. Активировать ключом с наклейки либо биос активацию. Если активация прошла, то всё хорошо, всё легально и здорово.
                      Если есть Volume License то можно активировать через KMS, а в случае проверки показывать на наклейки на системниках.
                      При чем дистрибутив можете брать где угодно, хоть с трекера, дистрибутив от этого не становится «пиратским». Ну если это не сборка с активатором, конечно.
                      • 0
                        Спасибо) в принципе, я так и делаю. Лежит пачка стерильных оригинальных образов. Кстати, а что со времён 7 изменилось? Это последняя версия, после которой я ушёл на Linux.
                        • 0
                          Ну, во первых в восьмерке всего 2 редакции. Обычная и про, вместо почти десяти у семерки. Ну еще энтерпрайз, но это тот же про. Во вторых в восьмерке изменилось ОЕМ соглашение (вернее их два, для обычного пользователя и для сборщика ПК) и теперь обычный пользователь имеет права купить ОЕМ лицензию и спокойно самостоятельно поставить её дома. Ту же 7ку или ХР ОЕМ тоже всегда можно было купить в общем-то, но это было не лицензионно, на самом деле. Ну и возможность удобной покупки лицензии в цифре тоже радует.
                          • 0
                            Блин. Молодцы. Рад, что этот дикий зоопарк версий прибили. Раздражало искать образы иногда. А как же эти идиотские наклейки теперь с цифровой копией? Если уж иногда пользователи Linux закупали аналогичные наклейки, чтобы особо одаренные проверяющие отстали… Видимо, как с прочими программными продуктами.
                            • 0
                              Ну, в корпоративном мире никаких наклеек давно уже нет, там есть просто бумажка и всё. В мире ОЕМ, тоже стало сильно лучше, на ноутах наклейки стали сильно меньше (просто лого win8 маленькое и квадратное), либо их нет совсем. Проверка подлинности и активация через BIOS. На десктопах наклейки остались, тоже стали чуть меньше, ключ, кажется на них есть. По крайней мере наклейки OEM Server 2012 точно с ключом, наклеек от win8 под рукой сейчас нет, если хотите, в понедельник скину, как они теперь выглядят.
                              И да, сам Майкрософт вообще очень лояльно относится к юр.лицам. Знакомые проходили полный аудит MS, почти год заняло. Там спокойно считаются лицензии, правильность их использования и т.д. Если что-то используется, но не по правилам лиц соглашений, то просто переделывается/докупается и т.д. То есть не бегут сразу в суд с угрозами и штрафами за пиратство.
                            • 0
                              geektimes.ru/post/246560/ а вот, кажется, и совсем официальный ответ и источник образов.
    • 0
      По-моему нынче это не всегда возможно. Требуются специальные дрова под ноутбук, которые отдельно не скачиваются, только в составе диска восстановления.
      • 0
        Ну, драйвера почти всегда есть на сайте производителя всё же, у Dell и Lenovo даже cab с драйвер паками есть, как под конкретные устройства, так и под линейки, что очень удобно, особенно при автоматизации установки ОС. Ну и по Device ID всегда можно найти недостающее, вряд ли их не будет даже на сайте производителя устройства.
      • 0
        Всё уже исправлено до нас, вот Snappy Driver Installer. У меня даже на нонейм планшет китайский все дрова нашлись и на акселерометр и на всякую мелкую обвязку.
  • –1
    Имею Lenovo Yoga 2 11, куплена в октябре прошлого года. Стоит Windows 10 обновленная со стоковой Windows 8.1. Никаких следов Superfish в системе нет. Нет и сертификата. Может имеет место слив Lenovo со стороны конкурентов? Многим Lenovo мешает и они не прочь занять ее место.
  • +2
    Имею Lenovo Yoga 2 Pro, куплена в январе этого года. Стоит стоковая винда 8.1. Superfish был причем очень нагло не хотел удаляться. В конце я его удалил, но вот про сертификат не знал. Сегодня пойду его удалять тоже.
  • 0
    Не уловил на счет неудаляемого корневого сертификата. Это вообще как возможно реализовать? Я понимаю, что можно IE изуродавать что он не будет открывать свойства браузера, но получается эта малварь блокирует оснастки администратора с групповыми политиками что ли?
    • +1
      > программу также можно удалить с компьютера – однако корневой сертификат Superfish при этом не удаляется

      При удалении программы сертификат из хранилища автоматически не удаляется, его нужно удалять вручную:

      arstechnica.com/security/2015/02/lenovo-pcs-ship-with-man-in-the-middle-adware-that-breaks-https-connections/
      Readers should be aware that even after uninstalling the Superfish adware from their machines, the Superfish root certificate will remain.

      Ars также уточняет сроки и модели ноутбуков: «Superfish was installed on consumer laptops shipped between October and December 2014.»
      G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
      U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
      Y Series: Y430P, Y40-70, Y50-70
      Z Series: Z40-75, Z50-75, Z40-70, Z50-70
      S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
      Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
      MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
      YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
      E Series: E10-30
  • +8
    Мнение о глючности и тормознутости Windows на 90% спровоцировано вот таким вот софтом. Оставшиеся 10% — софтом, который при установке сразу кидает себя в автозагрузку
    • 0
      Глючность было вызвана ещё кривыми драйверами и разгоном.
      • +1
        Ловко вы железо проигнорировали.
  • +1
    По идее, выкинуть бы компании mozilla superfish CA из firefox.

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.