המשרד לביטחון המולדת לבעלי לנובו: תמחקו את תוכנת הפרסום סופר-פיש

המשרד לביטחון המולדת לבעלי לנובו: תמחקו את תוכנת הפרסום סופר-פיש

This post is also available in: enEnglish (אנגלית)

Department of Homeland Security urges Lenovo users to remove Superfish

ממשלת ארה"ב קוראת למשתמשים בפלטפורמות דיגיטליות מתוצרת חברת לנובו (Lenovo) להסיר תוכנת פרסום (adware – advertising-supported software) המכונה סופר-פיש (Superfish).

ה-DHS, המשרד לביטחון המולדת (Department of Homeland Security) הוציא לאחרונה הודעה חריפה הדוחקת במשתמשים במוצרי החברה למחוק את התוכנה מן המכשירים שברשותם. ההודעה מפרט כי "מערכות שהגיעו למשתמש כאשר התוכנה המכונה 'Superfish' כבר מותקנת בהן ימשיכו לחשוף את הפלטפורמות [ואת המשתמשים] לנקודות תורפה עד אשר אלה ינקטו בצעדי תיקון." כמו כן נאמר באזהרה שפורסמה, כי "החל בשנת 2010, חברת לנובו הוציאה לשוק מוצרים בהם כבר הותקנה מלכתחילה רוגלה (תוכנת ריגול – spyware) המכונה Superfish VisualDiscovery." מדובר בכמה מדגמי המחשבים אותם הוציאה לשוק חברת לנובו בארבע השנים האחרונות.

חברת לנובו ניצבת נוכח שערוריה של ממש מאז נפוצו דיווחים (החל ביום חמישי האחרון) לפיהם היא התקינה כאמור תוכנה פרסומית על כמה מדגמי המחשבים האישיים והמחשבים הניידים (לפטופים) מתוצרתה. על פי מומחים שחיוו דעתם בנושא, תוכנת Superfish מתקינה רישיון עצמאי משלה במחשב המשתמש. בנוסף לחלונות קופצים וגזילת משאבי מערכת, התוכנה פורצת לכתובות מאובטחות באופן הגורם לתוכנת 'חלונות' להיות פגיעה במיוחד להאקרים. אלו מסוגלים לצותת באמצעות הפרצה שנוצרה לחיבורי רשת האמורים להיות מאובטחים. פרצת האבטחה הנגרמת מ- Superfishמאפשרת להאקרים לגנוב מידע רגיש – לרבות נתונים בנקאיים (ראו תמונה להלן).

על פי דיווח ב-Mashable, ממשלת ארה"ב יצרה ציר זמנים (timeline) שאינו תואם את זה עליו דיווחה חברת לנובו בעצמה. החברה מצידה מסרה כי היא התקינה את תוכנת סופרפיש רק במהלך החודשים האחרונים.

הירשמו לאתר הישראלי לביטחון המולדת

Suprfish screenshot"המועד שבו נקבה הממשלה, שנת 2010, אינו מדוייק," אמר דובר חברת לנובו בריון טינגלר (Brion Tingler) ל-Mashable. "החברה אמרה כי היא העלתה חלקים מסויימים מן התוכנה החל בחודש ספטמבר שנת 2014. סופר-פיש קיימת כבר מספר שנים ומוצריה זמינים להורדה ממגוון מקורות – פרט לחברת לנובו." הוסיף הדובר.

לדברי ממשלת ארה"ב, התוכנה מיירט תקשורות אינטרנט מוצפנות ומאובטחות באמצעות מתווה מתקפה המכונה "man-in-the-middle". המשרד לביטחון המולדת מזהיר כי מדובר במתקפה העלולה לחשוף נתונים בנקאיים וחשבונות דואר אלקטרוני. מכאן האופן חסר התקדים בו ההתראה הועברה בדחיפות ותוך נקיטת לשון חריפה.

מנהל הטכנולוגיות הראשי (ה-CTO) של לנובו, פיטר הורטנסיוס (chief technology officer Peter Hortensius) הכחיש בראיון שהעניק ל-Mashable ביום שישי האחרון כי תוכנת סופר-פיש פורצת לקישורים מאובטחים. לדבריו, התוכנה אינה זדונית. היא פשוט פגומה. יש שגיאה בקוד שלה.

מנגד, מומחי אבטחה שוללים את דבריו. יתר על כן, הם קובעים כי נציגיה של חברת לנובו פועלים על פי תוכנית למזעור נזקים. זאת, במסגרת הניסיון להתמודד עם הביקורת הגוברת.

בתחילה היססה חברת לנובו האם להודות כי בתוכנת סופר-פיש גלומים סיכוני אבטחה. החברה חזרה בה מדבריה הראשונים ועתה טוענים אנשיה כי החברה עושה כל שביכולתה כדי לתקן את הבעיה.


למידע נוסף


הרשמה לניוזלטר

SIMILAR ARTICLES

image provided by pixabay

image provided by pixabay

IoT chip. image by pixabay

Security. image by pixabay

Photo illust. drone delivery by Pixabay

first responders, Photo: illustration, US DHS

encryption