Lenovo installeert nepcertificaat en malware op nieuwe laptops, mag dat?

mitm-man-in-the-middle-malware-aanval-cybercrimeLenovo injecteert nieuwe laptops met malware, meldde Nu.nl gisteren. Het gaat om de Superfish-software, die advertenties en floepvensters toevoegt aan webpagina’s. En om dat ook bij beveiligde sites te kunnen doen, is een SSL root certificaat geïnstalleerd zodat beveiligd verkeer omgeleid kan worden en Superfish er tussen kan komen met z’n rommel.

Stilletjes adware op iemands computer zetten, is normaal een vorm van binnendringen en bovendien een overtreding van de cookiewet. Die laatste verbiedt immers dat je zonder toestemming data op iemands randapparatuur zet. En dat geldt niet alleen voor tracking cookies, dat geldt voor álle data die niet functioneel is voor de dienst die je wilde afnemen. En Superfishadvertenties bij mijn bankbezoek, nee dank u.

Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was. En je kunt niet in je eigen PC ‘binnendringen’ in de zin van de strafwet. Dat ze vergaten het te vertellen bij de verkoop, dat levert een oneerlijke handelspraktijk op (weglaten van essentiële informatie) waarmee je de koop ongedaan mag maken, maar aan de strafwet kom je niet.

Aftappen van datacommunicatie dan? Ook daar twijfel ik over. Het aftappen van “gegevens die niet voor hem bestemd zijn” is strafbaar (art. 139c Strafrecht) maar toen KPN een paar jaar terug DPI dataverkeerde DPI’de, werd dat geen overtreding van dit wetsartikel geacht omdat KPN “geen inzicht in de inhoudelijke communicatie” had. Er moet een mens meekijken, en dat gebeurde niet bij KPN – en ook niet bij Superfish.

Maar misschien kan de cookiewet alsnog voor de redding zorgen. Lid 1 heeft het over “via een netwerk” maar lid 2 zegt dat het ook geldt dat je op een andere manier realiseert dat er gegevens kunnen worden uitgelezen of opgeslagen. Ik zou zeggen dat het preïnstalleren van middelen om dat te doen, onder lid 2 valt. Het doorgeven van gegevens door Superfish, maar ook het ontvangen van te tonen advertenties, valt dan onder het “opslaan of uitlezen van gegevens” waarvoor de cookiewet toestemming vereist.

Lenovo heeft nog geen persbericht met PR-gereutel over het waarderen van privacy en het streven naar continue innovatie en verbetering van gebruikservaring uitgegeven. Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”). Wie ontdekt ‘m nu ineens op zijn laptop?

Arnoud

36 reacties

  1. Omdat bepaalde websites niet goed werken uiteindelijk via fora dit programaatje gevonden en gelijk verwijderd, daarmee waren de problemen op het eerste gezicht verholpen. Maar dat certificaat weggooien was nog wel even iets meer puzzelen… En dan vraag ik me af wat ik als individuele consument eraan heb dat ze iets doen wat niet mag volgende de cookiewet; blijvende schade heb ik niet ondervonden, hooguit dat bepaalde sites een bepaalde tijd niet werkten. Kan me indenken dat twee maanden na aankoop (en gebruik) de webshop de laptop niet terug neemt op basis van oneerlijke handelspraktijken. Valt de webshop in deze iets te verwijten?

    1. “via fora programmaatje gevonden” Linke soep, heeft dat programma voor zijn werking of installatie ook nog een administratieve rechten benodigd en verkregen, dan loop je het risico dat je hele hebben en houwen aan een ander beschikbaar komt. Dat op veel MS Windows computers (als de (jo)uwe) meestal ook veel programmatuur terechtkomt waarvan de bron dubieus is, laat zien dat het onderliggende model voor softwaredistributie zwaar problematisch is. Gebruikersfouten zijn dan onvermijdelijk en moeilijk aan een ignorabus te wijten; wel dat mensen die troep pikken.

      1. Wat ik bedoelde is dat ik met wat zoeken informatie vond over Superfish; toen was het al een voldongen feit dat het programma op m’n laptop stond. Ik begrijp je opmerking over gebruikersfouten dan ook niet; dat is hier niet van toepassing vind ik.

        1. Op systemen draaiend onder MS Windows staat in de regel flink wat programmatuur met onduidelijke herkomst. Als die programmatuur dan ook nog eens wordt gebruikt onder een gebruikersaccount met administratieve rechten – standaard op de meeste MS Windows installaties – dan zijn de rapen al snel gaar. En er zijn zoveel leuke, handige, mooie programma’s, op een DVD bij een blaadje, op een USB stick gekregen bij een conferentie enz enz. In het geval van Lenovo begon de lol al in de fabriek! Deze ellende vloeit vrijwel onvermijdelijk voor uit de wijze van software installatie onder MS Windows. Die is nauwelijks gestructureerd, op een MS Windows systeem wordt een onwetende consument weinig in de weg gelegd om fouten te maken. De wet van Murphy doet zich hier gelden: als er een manier is om het verkeerd te doen, dan zal dat ook een keer gebeuren.

          Een installatiesysteem dat enige waarborgen biedt is echt noodzakelijk. Onder vrije software (BSD, Linux) is dat al heel lang goed geregeld, onder Mac OS X en IOS is hiervoor de AppStore, Android heeft hiervoor Google Play, en onder MS Windows …?

          De prijs voor een gebruiker is dat die aan de luimen van de distributeur is overgeleverd: misplaatst moralisme bij Apple, mogelijk verlies van privacy e.d. Bij een club als Debian zijn de rechten van de gebruikers geborgd met een constituerend sociaal contract.

    1. De reactie van Robbert haalt een goed punt aan. Je kunt de software heel gemakkelijk deinstalleren, maar dan is nog niet alles weg.

      Om de man-in-the-middle te kunnen doen op beveiligde verbindingen, moet je ook het certificaat nog uit de trust-store halen. Dat moet echt met de hand.

      Matthew Green geeft al aan dat het niet waarschijnlijk is dat daar een automatische methode voor gaat komen helaas. En het blijft ontzettend moeilijk om al die gebruikers te bereiken…. http://feedproxy.google.com/~r/AFewThoughtsOnCryptographicEngineering/~3/sHFqbKjXbKk/how-to-paint-yourself-into-corner.html

      1. Het certificaat staat in de root trust store als een certificaat geschikt voor alles, dus ook het signen van applicaties en (erger nog) drivers. De private key was triviaal te achterhalen, dus het is een kwestie van tijd voordat er een soort malware storm losbreekt specifiek gericht op Lenovo machines met allerlei gesignede dingen die het OS klakkeloos accepteert omdat iemand de beveiliging compleet om zeep geholpen heeft.

  2. Nu snap ik gelijk waarom de nieuwe en peperdure Lenovo laptop van een klant af en toe problemen geeft die zijn oude Lenovo laptop nooit gaf. Als het zo slecht gaat met Lenovo laten ze dan iedere computer euro 10 duurder maken.

    Ongeacht welk juridisch label je hieraan wens of kan hangen zijn dit soort praktijken een fabrikant als Lenovo onwaardig. Een bekend voormalig advocaat zou zeggen: abject en infaam.

  3. Wat een enorme epic fail! En de private key is nu openbaar, dus elke gebruiker van deze Lenovo-computers gaat een keer gehackt worden.

    Ik denk dat ik mijn vrienden en kennissen nog lang zal blijven afraden om Lenovo te gebruiken, zelfs als dit probleem wordt opgelost. Dit spreekt gewoon van een enorm foute bedrijfs-mentaliteit.

    Hoe lang zal het duren voordat banken gaan waarschuwen dat je niet moet internetbankieren met Lenovo-computers? Of totdat iemand met een Lenovo-computer een MITM-aanval krijgt in zijn internetbankieren, en de bank de schade niet wil vergoeden?

    1. Wauw. Hun PR-team is blijkbaar een stuk getalenteerder dan hun security-team (als ze dat al hebben). Of, wat ook zou kunnen is dat het security-team wel getalenteerd is maar niet serieus werd genomen.

      Finally, we are working directly with Superfish and with other industry partners to ensure we address any possible security issues now and in the future.

      Ehh, waarom zou je überhaupt nog zaken met ze willen doen? Als ik Lenovo was, zou ik alleen nog contact hebben via advocaten en rechtszaken, in ene poging om zo veel mogelijk schade op Superfish te verhalen.

      and we are always trying to learn from experience and improve what we do and how we do it.

      Mijn suggestie: neem wat computer security geeks in dienst, die alle voor-geïnstalleerde software reviewen en mogen vetoën. Je haalt misschien niet alle fouten eruit, maar als je in 90% van alle gevallen zo’n PR-fiasco kunt voorkomen i.p.v. genezen, dan ben je toch beter af.

      En: wees alsjeblieft minimalistisch met wat je installeert aan software. Ik denk dat de gemiddelde gebruiker genoeg heeft aan het volgende: * windows (plus evt. aanvullende drivers) * antivirus * office * een goede browser * een paar andere veelgebruikte programma’s (bijv. Skype) De rest maakt de computer alleen maar trager, irritanter en minder veilig.

      1. Het model van software distributie onder MS Windows faalt zowel technisch als spychologisch. Individuele gebruikers zijn niet in staat de correctheid en integriteit van programmatuur te beoordelen. Daarom moet de installatiekanaal voldoende garanties bieden. Daarom bieden de groten als MS, Google en Apple nu app stores en dergelijken. De mate waarin dat werkt verschilt nogal. Closed software is in dat opzicht zachtgezegd problematisch. De distributies voor BSDs en Linux hebben wat dit betreft hun zaken veel beter voor elkaar.

      2. En: wees alsjeblieft minimalistisch met wat je installeert aan software. Ik denk dat de gemiddelde gebruiker genoeg heeft aan het volgende:

        Liever nog geen software installeren. Dat regel ik allemaal zelf wel. Ik heb ook een Lenovo laptop, hoewel niet in het lijstje van ‘besmette types’ maar het eerste wat ik gedaan heb toen ik de laptop uit de verpakking heb gehaald is een ander OS er op installeren waar ik zeker van weet dat deze niet dit soort problemen met certificaten heeft.

        1. Die aanpak is goed voor jou en voor mij, maar de gemiddelde consument begint daar niet aan. Voor de gemiddelde consument zou het juist een beetje veiliger moeten zijn om voor-geïnstalleerde software te gebruiken i.p.v. van het internet gedownloade software. In theorie zou de fabrikant daar toch een soort kwaliteitscontrole op uitgevoerd moeten hebben.

      3. Ieder bepaalt voor zichzelf wat veel gebruikte software is. Installeer bij voorkeur helemaal niks! Laat dat lekker aan de gebruiker of zijn lokale PC boer over. Onder andere precies daar zit ook de meerwaarde van je lokale PC boer! Office voor installeren is sowieso al nutteloos. Licentie kopen, huren, welke abonnenementsvorm neemt een klant? Dat is niet te voorzien, en alle methodes vereisen een de-installatie van de reeds geïnstalleerde versie.

        Het echte probleem ligt natuurlijk bij de gebruikers die zo weinig mogelijk willen betalen. Daarom wordt er addware geïnstalleerd, en alle fabrikanten maken zich daar schuldig aan. Die rommel wordt uitbesteedt aan een partner, en men is meteen het zicht op de veiligheid kwijt. Werkt net zo als de malware injections in advertenties op webpagina’s.

        Wij zijn er inmiddels toe overgegaan om door ons geselecteerde modellen te voorzien van een eigen image op basis van originele Windows media. Wil een klant wat anders, krijgt hij een een dikke waarschuwing mee, of extra kosten voor een herinstallatie.

        Jammer dat het nu Lenovo treft, maar ik ben er van overtuigt dat dit bij HP en anderen niet anders is. Ik blijf lekker bij Lenovo, want de rest volgt nog wel.

    1. Lijkt me niet zinvol. Volgens mij gaat het alleen om de consumer modellen. IT-departments die een standaard fabrieksimage laten staan op hun apparatuur, en inkopen uit de consumer-lijn moeten dringend vervangen worden.

  4. De Superfish software genereert met het geïstaleerde root-certificaat eigen SSL-certificaten. In zo’n certificaat staat “Issued to: domeinnaam.van.bedrijf“. Hier wordt de naam van een bedrijf gebruikt, zonder dat dat bedrijf ervan op de hoogte is. Voor een voorbeeld, zie het plaatje in dit Ars Technica-artikel. Lenovo’s jurist zal dan vast zeggen, dat je dit certificaat zelf genereert op je eigen computer, maar dat argument lijkt me niet door de giecheltoets te komen. Voor de juridisch geschoolden onder ons: welk wetsartikel wordt hier overtreden?

    1. Daar is volgens mij geen eenvoudig antwoord op. Heel misschien is het valsheid in geschrifte, omdat je een elektronisch geschrift valselijk opmaakt om het voor echt te laten doorgaan. Maar meestal is daarvan pas echt sprake als je ht voor geldelijk gewin doet, oplichting en zo. En hier gaat het “slechts” om een trucje om een eigen dienst te laten werken. Daar zit toch wel een nuance denk ik, zelfs als je zegt dat die dienst netjes aangekondigd had moeten zijn.

      Meelezende rechtenstudenten: wie hierop wil afstuderen en aan de VU studeert, ik hoor graag van je.

      1. Als ik het goed heb begrepen, is het doel van de software om advertenties te injecteren in websites. De adverteerders zullen daar in ieder geval geldelijk gewin bij hebben, en het bedrijf Superfish zal daar vast voor betaald worden. Mogelijk werd Lenovo zelfs door Superfish betaald om de Superfish-software te voor-installeren, maar ik kan me voorstellen dat het lastig kan zijn om daar het bewijs helemaal rond van te krijgen.

  5. Helaas gebeuren vergelijkbare zaken nog vaker bij mobiele apparaten. Mijn nieuwe Samsung tablet kwam met een extra officepakket en een programma genaamd flipboard. En die zijn niet te deinstalleren! (Kennelijk.) Wat mij nog meer verbaaste is dat ik vervolgens van Flipboard emailtjes ontving naar mijn echte Google-account (waar ik mee inlog) in plaats van mijn alias. Okay, linea rectum naar de spamfolder ermee, dus. Nooit toestemming voor gegeven en ga ik ook niet doen ook. En ik wil van die troep af. Ik overweeg zelfs om het hele apparaat maar terug te brengen naar de winkel als er geen methode is om het eraf te halen…

    1. Ik wijt dat meer aan de grenzeloze drang van mensen om voor een dubbeltje op de eerste rang te zitten. Dat, plus de schier onbegrensde inhaligheid van grote corporaties. Als ik nu roep dat wij PC’s leveren met een schone windows installatie voor 100 euro meer. Ga ik dan meer PC’s verkopen? Ik denk dat ondanks dit nieuws nauwelijks iemand wakker wordt.

  6. Artikel 161sexies Sr dan?

    Hij die opzettelijk enig geautomatiseerd werk of enig werk voor telecommunicatie vernielt, beschadigt of onbruikbaar maakt, stoornis in de gang of in de werking van zodanig werk veroorzaakt, of een ten opzichte van zodanig werk genomen veiligheidsmaatregel verijdelt
    Lenovo heeft zo’n rootcertificaat geïnstalleerd op elke laptop (=geautomatiseerd werk) en heeft daarnaast de private key niet geheimgehouden. Daarmee worden veiligheidsmaatregelen verijdeld (HTTPS wordt onbetrouwbaar, en de beveiliging tegen ongecertificeerde drivers ook).

    1. Een telastlegging ex 161sexies Sr zal hoogstwaarschijnlijk stranden omdat het delictsbestanddeel “opzettelijk” moeilijk bewijsbaar zal zijn; dan volgt vrijspraak. In deze is sprake van schuld door onachtzaamheid. Denkbaar is heel misschien voorwaardelijke opzet, waarbij de verontachtzaming dusdanig zwaar wordt geoordeeld dat sprake is van voorwaardelijk opzet (willens en wetens het risico voor lief genomen, vlg. de bestuurder die dronken achter het stuur is gaan zitten en via voorwaardelijk opzet voor doodslag i.p.v. dood door schuld wordt vervolgt).

      Bovendien is het de vraag of de jurisdictie van de Nederlandse strafrechter volstaat om het buitenlandse Lenovo voor dit delict te berechten – ga het nu niet uitzoeken, maar ben vrijwel zeker van niet.

      1. De jurisdictie is ook een probleem met de cookiewet.

        Ik zie niet hoe de opzet een probleem kan vormen. De opzet moet erop gericht zijn om een genomen veiligheidsmaatregel te verijdelen. Een computerfabrikant die met rootcertificaten in de weer is, is met de gevolgen daarvan bekend.

  7. Wetboek van Strafrecht Artikel 225, Geschrift vervalsen

    1.Hij die een geschrift dat bestemd is om tot bewijs van enig feit te dienen, valselijk opmaakt of vervalst, met het oogmerk om het als echt en onvervalst te gebruiken of door anderen te doen gebruiken, wordt als schuldig aan valsheid in geschrift gestraft, met gevangenisstraf van ten hoogste zes jaren of geldboete van de vijfde categorie.
    Bij het SSL-certificaat dat Superfish automatisch aanmaakt voor iedere https-pagina die opgemaakt wordt met behulp van het door Superfish geïnstalleerde CA-root certificaat, gaat het om een zogeheten Extended Validation certificaat. Met zo’n EV certificaat geeft de uitgevende instantie aan dat het de identiteit van de website onderzocht en goedbevonden heeft volgens de (vrijwillige) richtlijnen die daarvoor zijn gesteld door het CA/Browser forum. Een SSL-certificaat is een bewijs van enig feit, namelijk dat de inhoud van een webpagina afkomstig is van de aangegeven website. De Superfish software maakt dus dergelijke certificaten aan zonder zo’n onderzoek gepleegd te hebben, het maakt dus zo’n bewijs valselijk op.

  8. Probleem met dat ‘binnendringen’ is alleen dat de software erop gezet is terwijl de laptop nog eigendom van Lenovo was.

    Dat binnendringen (ongeauthoriseerd uitlezen van informatie, en tussen de communicatie gaan zitten) was ook continue en hield niet op bij de fabrikatie. Daarnaast kan je een Lenovo, als deze reeds in bezit is, op de huiskamerbank terug zetten naar de fabrieksinstellingen.

    Maar de software is gewoon via het controlepaneel van Windows te deïnstalleren (“VisualDiscovery”).
    Er moet ook nog een certificaat verwijderd worden uit de certificaatstore van Windows. “Superfish Inc.” tekent al de https verbinden, ook valse certificaten neemt het over (wat nu toestaat dat iedereen met deze adware (‘malware’ door een bedrijf met een leger advokaten) afgeluisterd kan worden.). Veilig internetbankieren is niet mogelijk met dit product geinstalleerd, en zelfs de de-installatie procedure van Lenova zelf vergeet het certificaat.

    Bovendien benieuwd wat Google hiertegen gaat doen. Het is immers derving van hun advertentie-inkomsten door de Google.nl paginas te veranderen in goedkope advertenties van “Visual Discovery”.

    Ik bespeur tevens grove nalatigheid, zowel bij Komodia (wachtwoord “komodia” voor miljoenen SSL verbindingen…) en Lenovo (“na grondige tests hebben we geen security problemen gevonden.”). Lenovo kon bovendien redelijk vermoeden dat het omzeilen van SSL voor schade zou kunnen zorgen.

    Verder maakt de adware ook contact met ad servers. Die maken mogelijk gebruikersprofielen voor u aan. Slaan logs op. Tracken u. Lenovo beweerde dat de applicatie zelf u niet kent. Maar ze kennen wel het aantal advertenties voor bepaalde gevoelige zoektermen die u (een IP) in Google heeft ingevoerd op een beveiligde SSL verbinding. Kent u de algemene voorwaarden en de administrator van de adserver op best-­deals-­products[.]com? Zijn ze gemachtigd om persoonsgegevens te verhandelen en communicatie af te tappen zoals de veiligheidsdiensten dit wel mogen?

    Ik voorzie schade door oa IT-fixes, reputatieschade, inkomstenderving Google, MitM-aanvallen door criminelen. Veel meer dan privacy-schade door overtreden van de cookie-wet.

    Artikel 138ab,1,2,3

  9. Wat ik mij afvraag is waarom iedereen Lenovo de schuld geeft van deze malware. Okay, Lenovo installeert deze standaard op iedere nieuwe PC maar de meeste mensen kopen hun systeem niet direct bij Lenovo maar bij de locale PB-boer of webwinkel. Dit betekent dat je als klant gewoon niets te maken hebt met Lenovo, behalve dan dat hun naam en logo op je nieuwe apparaat staan. Het is de winkelier die het systeem aan jou verkocht die we verantwoordelijk zouden moeten houden voor de schade die deze malware veroorzaakt. En nee, daar zullen ze niet blij om zijn maar hopelijk werken deze winkeliers dan ook niet meer mee aan de verkoop van apparatuur vol bloatware en malware. Je zou van de winkeliers toch moeten kunnen verwachten dat ze enigszins weten wat er allemaal wordt meegeleverd op deze nieuwe PC. Het is dan ook aan de webwinkel om schade die door deze malware wordt veroorzaakt te herstellen en/of te vergoeden. Immers, ik koop de PC bij een winkelier, niet bij Lenovo. Dus Arnoud, in hoeverre kunnen we gewoon de winkeliers aanspreken op deze malware?

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.