Lenovo zet malware op eigen laptops

Dat ontdekte een gebruiker die een nieuwe Lenovo-laptop kocht. Hij ontdekte dat er gebruik werd gemaakt van de "Superfish"-certificaten. Het was al langer bekend dat Lenovo een dergelijk trucje gebruikte om adware te serveren. Zo kan het bedrijf advertenties op je nieuwgekochte laptop laten zien waar adverteerders flink voor betalen.

Valse beveiliging

Nu blijkt echter dat die Superfish-adware veel ernstiger is dan gedacht. Het brengt namelijk een vals SSL-certificaat uit. Dat is een soort slotje waarmee gecontroleerd wordt of een webpagina wel beveiligd is - dat is nodig bij websites waar je gevoelige informatie over verstuurt, zoals internetbankieren of email.

Via Lenovo

Het certificaat dat Lenovo gebruikt om de advertenties te serveren komt over de bestaande certificaten heen te staan. Dat betekent dat je browser denkt dat een website 'veilig' is, en dat je dus met een gerust hart kunt internetten. In werkelijkheid lopen al die gegevens via Lenovo, dat dus makkelijk kan zien wat jij uitspookt.

Nepbeveiliging

Bovendien is het niet te zien of een bestaand certificaat van bijvoorbeeld een bank wel écht veilig is. Daarmee loop je nog eens extra risico.

Het certificaat wordt alleen vervangen als je op Internet Explorer of Chrome zit. Gebruikers van Firefox zijn nog redelijk veilig, omdat die browser zijn eigen certificaten gebruikt. Lenovo zegt dat het later vandaag met een reactie komt, maar wil Superfish voorlopig 'geen malware noemen'.

Update:Lenovo zegt in een korte reactie dat het de Superfish-malware in januari van laptops heeft verwijderd. Daarnaast heeft het bedrijf "Superfish ervoor laten zorgen dat bestaande machines geen toegang meer krijgen tot Superfish". Dat betekent dat de malware nog steeds op de laptops staat, maar niet gebruikt wordt door het systeem. "Bovendien", zegt Lenovo, "stond Superfish alleen op een beperkt aantal laptops." Het bedrijf zegt onderzoek te doen naar de situatie. Er worden geen excuses aangeboden.