Kúpa nového počítača automaticky neznamená, že užívateľovi sa dostane do rúk nepoškvrnený kus hardvéru a softvéru, pod ktorý sa výrobca inak než svojim logom nepodpísal. Práve naopak. Výrobcovia majú vo zvyku predinštalovať do systému množstvo programov. Okrem vlastného obslužného softvéru sú to často aj skúšobné verzie programov tretích strán. Lenovo však zašlo ešte o kus ďalej. Čínska firma do svojich notebookov automaticky inštalovala program, ktorému je možné dať prívlastok reklamný (z angl. adware). Aby toho nebolo málo, podľa odborníkov predstavuje aj bezpečnostné riziko, ktoré hackerom za určitých podmienok otvára brány do systému.
Softvér umiestňoval do prehliadača nežiadúce reklamy
Pri prezeraní stránok advér s názvom Superfish umiestňoval reklamy priamo do prehliadača. V januári ho Lenovo celoplošne deaktivovalo. Prvé sťažnosti od užívateľov zaznamenalo už na jeseň minulého roka. Pre spravodajský server BBC sa spoločnosť vyjadrila, že softvér Superfish sa nachádzal v počítačoch, ktoré zákazníkom doručila v období medzi októbrom a decembrom minulého roka. Dôvodom jeho prítomnosti v systéme bolo údajne odporučenie zaujímavého tovaru počas nakupovania.
Superfish síce údaje o činnosti užívateľov priamo nezaznamenával a neposkytoval ich tretím stranám, na pozadí ale sledoval ich činnosť na internete. Akonáhle užívateľ navštívil internetovú stránku, softvér na nej automaticky analyzoval obsah a obrázky a následne zobrazil relevantnú reklamu. Lenovo sa snaží obhájiť aj tým, že z tohto druhu činnosti nemal žiaden profit a jediným jeho cieľom bolo pomôcť užívateľom nájsť najlacnejší produkt na trhu.
Superfish narušil bezpečnosť. Dáta zbieral aj pri komunikácii s bankou
Nežiadúca reklama ale nebola jediným problémom. Zber a analýza dát prebiehala nie len pri prehliadaní nezabezpečených ale aj zabezpečených stránok. Superfish sa choval ako akýsi sprostredkovateľ, ktorý vydával vlastné bezpečnostné certifikáty, s cieľom zachytávať dáta aj pri zabezpečenom internetovom pripojení. Znamená to, že ak sa užívateľ použil internetové bankovníctvo, pri komunikácii s bankou bol softvér medzičlánkom, ktorý zachytával všetky odoslané a prijaté dáta. To, že získané údaje nikomu neposielal, podľa odborníkov nie je žiadnym ospravedlnením. Týmto spôsobom boli užívatelia vystavení veľkému riziku zneužitia údajov, v prípade, že sa ich systém stane terčom útoku hackerov.
Lenovo už medzičasom ponúklo nástroj na odstránenie softvéru
Superfish mal údajne pôvodne slúžiť na zlepšovanie zážitku z nakupovania, no nenaplnil očakávania spoločnosti. Podľa oficiálneho stanoviska preto Lenovo vydalo v januári príkaz na zastavenie predinštalácii softvéru Superfish a boli odstavené aj príslušné serverové prepojenia. Tým užívateľom, ktorí si notebook v tomto čase zakúpili ponúka nástroj na odstránenie softvéru Superfish.
“Spolupracujeme so spoločnosťami McAfee a Microsoft, aby sme s pomocou ich špičkových nástrojov a technológií softvér Superfish ako aj certifikát izolovali, prípadne odstránili. Tieto kroky už boli spustené a automaticky odstránia chybu, spôsobujúcu zraniteľnosť zariadení aj užívateľov, ktorí momentálne problémy nepozorujú,” uvádza sa v stanovisku. Problém, na ktorý užívatelia ale aj bezpečnostní analytici upozornili, sa však netýka produktového radu ThinkPad vrátane tabletov, stolových počítačov a smartfónov či podnikových serverov a úložných zariadení.