Quantcast
Channel: 復活!強い日本へ!
Viewing all articles
Browse latest Browse all 4135

[転載]レノボPCのほぼ全機種に恐ろしいアドウェアが入っていた…

$
0
0

レノボPC
ほぼ全機種に
恐ろしいアドウェアが
入っていた…

LenovoのPCを使っている人は今すぐチェックしてください!

イメージ

イメージ

イメージ

イメージ

イメージ

イメージ

イメージ

イメージ
イメージ

イメージ

イメージ



Lenovoは今日(米国時間2/18)、同社の消費者向けPCの全機種に重大なセキュリティホールが見つかるという、煮え湯を飲まされた。

Lenovoの消費者向けPCのすべてに、出荷時にSuperfishというアドウェアが載っており、それは中間者証明を使ってインターネットのブラウザに広告を注入する。それが悪用されると、そのサービスが、ユーザのブラウザデータへのサードパーティアクセスを許可することになる。


今Lenovoにコメントを求めているが、まだ得られていない。

The Next Webの記事によると、1月にLenovoの社員のMark Hopkinsが、ある顧客のフォーラム上で、Lenovoが‘ヴィジュアル検索’企業のソフトウェアをプレロードしているのでは、という顧客からの嫌疑を確認している。そのときの彼の説明によると、そのソフトウェアには“ある問題が”あるので、“一時的に削除された”、という。その問題には、勝手に出現するポップアップも含まれていたようだ。Superfishに対して、市場に存在する既存のデバイスに対するアップデートを要請した、と彼は付け加えていた。


プレインストールは消費者に不評である。当然ながら彼らは、買ってきたばかりのデバイスがクリーンであることを求める。しかし一部のハードウェアメーカーは、そういうことをやってお金を稼いでいる。Superfishには、ブラウザにポップアップすることや、アンインストールする必要性などの面倒ばかりでなく、自分で署名してrootになりすまし、ユーザのWebブラウザからデータを集める、という深刻なセキュリティの脅威があるらしい。


さらにまた、サードパーティはSuperfishの証明キーを生成して、その悪質極まりない行動を自分のために利用できる。HackerNewsが、そのことを指摘している

銀行利用のためのパスワードや振込用の暗証番号などの個人データがいちばん心配だが、すでにSuperfishの問題がたくさんツイートされている中には、下図に示すような、bankofamerica.comの証明のなりすましという深刻な例もある。こういうことが、できてしまうのだ。

イメージ

さらにまずいのは、Superfishのソフトウェアを削除しても、Lenoveのマシンから証明は(したがって脅威は)削除されないことだ。
Hopkinsは、PCに最初から組み込んだSuperfishにできることと、できないことを、次のように説明している:

イメージ


しかしそれでも、ユーザのデータとセキュリティが危険にさらされているという事実が、Lenovoの顧客やセキュリティのエキスパートたちのあいだで警報として伝搬している現状は、すごく正当である。

なお、イギリス政府の諜報部門MI5とMI6は、同部門内におけるLenovo製品の使用を禁止した、と報じられている。ハッキング被害に遭いやすい、という脆弱性がその理由だ。

[原文へ]
(翻訳:iwatani(a.k.a. hiwa))



転載元: 復活!強い日本へ!


Viewing all articles
Browse latest Browse all 4135

Trending Articles