Някои от компютрите и лаптопите на Lenovo, произведени от септември 2014 г. насам, са се доставяли до клиентите с предварително инсталиран зловреден код. Той е открит от компанията за киберсигурност Errata Security.

Кодът е част от софтуера Superfish за внедряване на реклами в интернет страниците т.нар. Adware. Той инсталира самоподписан HTTPS сертификат, който прихваща трафика на потребителите, който генерират от и до интернет страниците. В това число влиза и криптираният трафик.

Софтуерът дори се представя за официалния сертификат на дадения сайт, с което заблуждава потребителите, че данните им са достъпни само между сайта и самите тях. Освен това е използван един и същи ключ за всички инсталации на софтуера. Ако хакери го разгадаят, могат да получат достъп до всички компютри, на които софтуерът е инсталиран.

Пред онлайн изданието Ars Technica от Errata заявяват, че вече са успели да разгадаят ключа и това означава, че е силно вероятно и хакерите да го направят, особено при положение, че на фирмата й е отнело само три часа.

По-късно пред в. The Wall Street Journal Питър Хортенсиус, който е главен технически директор на Lenovo, обяви, че компанията работи за бързото премахване на Superfish от компютрите. Работи се и по допълнителна програма, която ще бъде разпространена свободно, за да могат потребителите да сканират компютрите си за наличие на Superfish и да го изтрият.

Освен това компанията е спряла да инсталира Superfish на новопроизведените компютри през януари т.г., а след молби на потребителите, софтуерът е бил деактивиран във всички устройства на Lenovo. В официално изявление компанията твърди, че е провела задълбочено разследване и не е открила причини за притеснение за сигурността на потребителите.

Според Хортенсиус специалистите по киберсигурност разглеждат теоритични възможности, а не нещо, което наистина се е случило. "Все пак сме съгласни, че това не е софтуер, който искаме да е наличен в системата и осъзнахме, че трябва да предприемем мерки", коментира той.

Хортенсиус твърди, че основната цел на инсталирането на Superfish е била да се подобри потребителското изживяване и хората да имат повече възможности за пазаруване. Все пак той признава, че компанията "очевидно не е направила достатъчно", за да се увери в сигурността на софтуера. "Потребителите ни казаха, че не им върши работа и ние го изключихме", допълва Хортенсиус. Той казва още, че предварителното инсталиране на софтуер обикновено се одобрява от потребителите, но би било по-добре, ако по-ясно е описано какво е качено на машините.

Робърт Греъм, изпълнителен директор на Errata Security, обаче не реагира толкова спокойно. Пред специализираното технологично списание Wired Греъм определя твърденията на Lenovo, че няма риск за сигурността като "безочлива лъжа". Той допълва, че Superfish е с много лошо написан код и не е проблем за никой с повече познания да се възползва от уязвимостите му. "Мога да прихвана криптираните комуникации на жертвите на Superfish, като просто седя в същото кафене с WiFi мрежа като тях с лаптоп", коментира той.

По-късно от Lenovo обявиха, че Superfish не е бил инсталиран на устройства от сериите ThinkPad нито на сървъри или сторидж системи. Компанията е готова и с инструкциите за деинсталиране на Superfish. На този линк пък са описани устройствата, които може да са засегнати.