לנובו התקינה Adware במישבים ניידים שמכרה

eladts

New member
לנובו התקינה Adware במישבים ניידים שמכרה

וזה לא החלק הכי גרוע. מסתבר שהתוכנה מתקינה תעודת SSL כדי להתערב באתרים מוצפנים והנפתי הפרטי של התעודה מצוי בקוד התוכנה. כל מי שהתעודה הזו מותקנת לו במחשב חשוף לוירוסים וגניבת מידע.

http://thenextweb.com/insider/2015/02/19/lenovo-caught-installing-adware-new-computers
http://thenextweb.com/insider/2015/02/19/lenovos-bundled-adware-also-comes-worrying-security-hole
 

Y. Welis

New member
תודה על ההפניה

זה מטריד, אבל אם אוראקל הגדולה משלבת את ASK המיותרת (לא בדיוק רוגלה אבל עדיין אוספת מידע גלישה) בהתקנת ג'אווה שלה, יש פיתוי לחברות אחרות לשלב תוכנות עם פוטנציאל בעייתי דומה.
&nbsp
&nbsp
 

eladts

New member
זה הרבה יותר גרוע אפילו ממה שסוני עשו בשעתו

כי מילא שהם מתקינים רוגלה, הם יוצרים חור אבטחה ענק שמאפשר דברים כמו להאזין לתקשורת מאובטחת, לזייף כל אתר ולחתום חתימות אימות מזוייפות על כל תוכנה. תחשוב על ההשלכות שמחשבים של רופאיים, עורכי דין וכו׳ נגועים. סביר להניח שלנובו יחטפו תביעה יצוגית מהסרטים. ועוד משהו: הנוזקה Superfish והמנוע שלה Komodia פותחו ע״י ישראלים. כבוד!
 

Y. Welis

New member
מסתבר שזו בעיה. למעשה זה כשל באבטחה, אם כל תוכנה יכולה

להוסיף סרטיפיקט שמשנה את רמות האבטחה (אגב מלבד FF שאינה מושפעת, לדעתי גם כרום העדכנית כבר לא עובדת עם SSL)
&nbsp
טוב שמישהו גילה את זה ככה...
&nbsp
עוד סיכום טוב - http://winsupersite.com/hardware/my-take-lenovo-oems-and-junkware-new-computers
&nbsp
ישראלים אחראים על לא מעט תוכנות שסיכנו את אבטחת הגלישה; החל מתחילת האלפיים עם CYDOOR, שאלמנטים מתוכה שולבו בהמשך בטרויאנים והתגלו כאפקטיביים, וכלה באינקרדימייל הזכור לשימצה (חוץ מהאנימציה המשובחת) וסרגלי כלים אחרים.
 

protech

New member
ממה שאני הבנתי מדובר ב....

רוגלה שותלת פירסומות במחשב באתרים שאין בהם כנראה כדי לייצר רווח נוסף לחברת לנובו בנוסף לאישורי האבטחה...
כל זה חושף את בעלי המחשב לסדרה של פירצות אבטחה איך הם מעיזים אני לא ממש יודע כנראה שזה יעלה להם ביוקר ואני מקווה שכך
אם מישהו כאן משתמש במחשב לנובו מהשנה האחרונה כדאי לו מאוד לפרמט את המחשב מדיסק בלבד ולא ממחיצת השיחזור ובהקדם
בהצלחה חברים
 

eladts

New member
המאמר מביא את התגובה המגוחכת של לנובו

בלי להסביר עד כמה היא שגויה. לנובו מציעים להסיר את התוכנה אבל ההסרה לא מסירה את תעודת האין אבטחה.
 

eladts

New member
ניתן להוריד ממיקרוספט

גירסה נקיה של חלונות בלי כל הזבל שיצרני מחשבים שותלים. גם בלי פריצות אבטחה, הזבל הזה מאיט את המחשב ומקצר את חיי הסוללה.
&nbsp
&nbsp
 

protech

New member
עושים להם כס"תח בשפת העם

אני בטוח ששהם ניסו לייצר רווחים דרך התוכנה הזו שכמובן מרגלת ושותלת פירסומות
 

Y. Welis

New member
עדיין המנגנון בעייתי אם דבר כזה התאפשר. וחשבתי ש-SSL כבר

פאסה ועוברים ל-TLS.
 

eladts

New member
TLS משתמש באותן תעודות אבטחה כמו SSL

עך שזה לא משנה כלום. בד"כ תוכנה לא יכולה להתקין תעודות אבטיה בלי להקפיץ ברשת אישור מהמשתמש. במקרה הזה כיוון שהתוכנה הגיעה כבר מותקנת מנגנון האבטחה הזה נעקף. מיקרוספו היתה בסדר לגמרי, כל האשמה על לנובו.
 

Y. Welis

New member
אם נעקף אז יש חור. MS צריכה להשתפר (ביטוי רטורי)

ועדיף לכרום שיעבור גם הוא לאישורי אבטחה מטעמו, שיאומתו ע"י גוגל.
 

eladts

New member
אף מערכת הפעלה

לא יכולה להתמודד עם נוזקה שהגיע מותקנת מהיצרן. זה כמו קבלן שבונה בית ומתקין דלת סודית, שלא מחוברת לאזעקה. אי אפשר להאשים את יצרן האזעקה עם פורצים לבית דרך הדלת הזו. בארה״ב אפשר לקנות בחנויות מיקרוספט מחשבים עם מערכת הפעלה נקייה, בלי כל השטויות של היצרנים. בישראל אין את האפשרות הזו, אז מה שאפשר לעשות זה לפרמט את המחשב ולהתקין חלונות לבד (לא ממחיצת השחזור).
 

Y. Welis

New member
עובדה ש*עכשיו* תוכנת הסריקה של MS, מזהה את הבעיה הזו

כלומר שוב התעוררו לגלות שיש בעיה לא מוכרת.
&nbsp
אין כמו וקטור תקיפה נגד נקודה, שכל הרשויות בטוחות שהיא הבטוחה ביותר.
 

eladts

New member
מיקרוסופט הגיבו תוך יום

מרגע שנתגלת הבעיה. אני לא חושב שניתן לדרוש מהם יותר. הם לא יכולים למנוע מראש את הבעיה כי אם יניחו שכל תעודת אבטחה שלא הגיעה ממיקרוספט היא זדונית הם יסירו תעודות אבטחה ארגוניות למשתמשים עסקיים.
 
למעלה