ถ้ายังจำกันได้ ในปี 2015 Lenovo เคยมีข่าวอื้อฉาวเรื่องการพรีโหลดซอฟต์แวร์ Superfish ในโน้ตบุ๊กบางรุ่น ที่แอบดักข้อมูลของผู้ใช้ส่งคืนเซิร์ฟเวอร์ ถึงแม้ผู้พัฒนาซอฟต์แวร์ Superfish ไม่ใช่ Lenovo โดยตรง แต่ในฐานะบริษัทผู้ขายฮาร์ดแวร์และมีรายได้จากการพรีโหลดซอฟต์แวร์ ทำให้ Lenovo ต้องรับผิดชอบไปด้วย (บริษัทสัญญาว่าจะพรีโหลดซอฟต์แวร์ให้น้อยลง)

อย่างไรก็ตาม หน่วยงานของรัฐบาลสหรัฐทั้งระดับรัฐบาลกลาง (FTC) และอัยการของแต่ละรัฐเข้ามาสอบสวนปัญหา Superfish ในข้อหาสร้างอันตรายต่อผู้บริโภค หลังกระบวนการสอบสวนดำเนินการมาเป็นปี ในที่สุด FTC ก็ประกาศว่า Lenovo เจรจายอมความเพื่อยุติคดีแล้ว

ความคืบหน้าเพิ่มเติมจากกรณี Superfish หลังจากไมโครซอฟท์อัพเดต Windows Defender ให้ลบ Superfish ออกจากระบบได้ ก็มีสถิติของการลบ Superfish ออกมาให้ดูกันครับ (ข้อมูลเฉพาะฝั่งไมโครซอฟท์)

กราฟของไมโครซอฟท์ชี้ให้เห็นว่าช่วง 4 วันแรกที่ออกเครื่องมือลบ Superfish นั้นมีลูกค้าของ Lenovo ใช้ลบไฟล์วันละประมาณ 60,000 เครื่อง จากนั้นกราฟเริ่มตกลง และถ้านับตัวเลขที่ไมโครซอฟท์นำมาโชว์ก็มีพีซีที่ติด Superfish ประมาณ 250,000 เครื่อง

ไมโครซอฟท์ยังวาดแผนผังอธิบายการทำงานของ Superfish เผื่อใครที่สนใจความรู้ด้านการโจมตีแบบ man-in-the-middle ครับ

ช่องโหว่ความปลอดภัยจากการลงโปรแกรมโฆษณา Superfish ลงในโน้ตบุ๊กของเลอโนโวสร้างความเสียหายทั้งในแง่ภาพลักษณ์, ความน่าเชื่อถือ, และคดีความที่ตามมา คำถามหนึ่งคือเลอโนโวได้เงินเท่าไหร่จึงยอมติดตั้งซอฟต์แวร์ลงในเครื่องของลูกค้า แหล่งข่าวของ Forbes ยืนยันว่ารายได้รวมนั้นต่ำกว่า 500,000 ดอลลาร์ และทาง Forbes เองคาดว่าจะอยู่ในช่วง 200,000 ถึง 250,000 ดอลลาร์

ปัญหาของเหตุการณ์ครั้งนี้คือยังมีการแพร่กระจายของซอฟต์แวร์ที่ผู้ใช้ไม่ต้องการอยู่เป็นจำนวนมาก ซอฟต์แวร์จำนวนมากหลอกล่อให้ผู้ใช้ติดตั้งผ่านโฆษณา, แถมไปกับตัวติดตั้งซอฟต์แวร์อื่นๆ, ใส่โฆษณาป๊อบอัพให้ติดตั้งโดยหลอกว่าจำเป็นสำหรับความปลอดภัย

หลังจากช่วงอาทิตย์ที่แล้วมีมหากาพย์ Superfish ที่ติดมาพร้อมกับเครื่องของ Lenovo จนทำให้ทางบริษัทต้องออกมาขอโทษลูกค้าเป็นการใหญ่ ล่าสุด Lenovo ออกแถลงการณ์เกี่ยวกับเรื่องดังกล่าวนี้อีกครั้ง แต่คราวนี้เป็นการระบุถึงมาตรการในการติดตั้งซอฟต์แวร์ที่มากับตัวเครื่อง (พรีโหลด) ของบริษัทหลังจากนี้

เมื่อคืนนี้ โดเมน lenovo.com ถูกแฮ็กและเปลี่ยนทางไปยังเซิร์ฟเวอร์ที่เช่าไว้บน CloudFlare โดยเปลี่ยนหน้าเว็บเป็นภาพผู้หญิงคนหนึ่งและเปิดเพลงประกอบ รวมถึงมีข้อความชี้ไปยังบัญชีทวิตเตอร์ @lizardcircle ของกลุ่มแฮ็กเกอร์ Lizard Squad

Lizard Squad โพสต์ยืนยันว่าเป็นฝีมือของกลุ่มตน (รวมถึงกรณีแฮ็กโดเมนกูเกิลเวียดนามก่อนหน้านี้) ทางกลุ่มยังโพสต์ภาพอีเมลหลุดของพนักงานภายใน Lenovo ที่ประสบปัญหา Superfish จนใช้งานไม่ได้อีกด้วย

Jessica Bennett บล็อกเกอร์ที่ใช้ Lenovo Yoga 2 ยื่นฟ้องต่อศาลแคลิฟอร์เนียเรียกร้องค่าเสียหายจากเลอโนโวและ Superfish ที่ติดตั้ง Superfish ลงในเครื่องโดยไม่ได้บอกล่วงหน้า

เธอระบุว่า Superfish ดักฟังการสื่อสารที่เข้ารหัส, ทำให้คอมพิวเตอร์มีความเสี่ยงต่อการโจมตี, ใช้ทรัพยากรในเครื่อง

เธอเสนอให้คดีนี้เป็นคดีแบบกลุ่ม (class-action) ซึ่งหากศาลอนุมัติและเธอชนะคดี เลอโนโวจะต้องชดเชยให้กับลูกค้าที่ได้รับผลกระทบทั้งหมด โดยคำฟ้องเรียกร้องค่าเสียหาย 100 ดอลลาร์ต่อวันต่อคน รวมไม่เกิน 10,000 ดอลลาร์ต่อคน

ช่องโหว่ของ Superfish นอกจากประเด็นการดักฟังแล้ว ยังมีปัญหาการใช้กุญแจ CA เหมือนกันทุกเครื่องและระบบตรวจสอบใบรับรองมีบั๊กทำให้เซิร์ฟเวอร์ภายนอกหลอกได้โดยง่าย ตอนนี้บั๊กคล้ายกันถูกพบใน PrivDog ซอฟต์แวร์สแกนความปลอดภัยเว็บจาก Comodo

PrivDog จะสร้าง CA ใหม่ทุกครั้งที่ติดตั้งและจะดักฟังแบบเดียวกับ Superfish จากนั้นจึงแทนที่โฆษณาบนเว็บด้วยโฆษณาจากบริษัทโฆษณาที่ชื่อว่า Adtrustmedia

แม้จะสร้าง CA ขึ้นใหม่ในทุกเครื่องแต่ PrivDog รุ่น 3.0.96.0 และ 3.0.97.0 กลับไม่ตรวจสอบใบรับรองแบบ self-signed ทำให้เซิร์ฟเวอร์ที่มุ่งร้ายสามารถปลอมเว็บได้โดยที่เบราว์เซอร์ไม่รับรู้ด้วย

Peter Hortensius ซีทีโอของ Lenovo ออกมาเขียนจดหมาย "ขอโทษ" ลูกค้าจากกรณี Superfish

หลังกรณี Superfish เป็นข่าวใหญ่โตไปทั่วโลก บริษัท Superfish ที่เงียบมาโดยตลอดก็ออกแถลงการณ์ชี้แจงในนามซีอีโอ Adi Pinhas มีใจความโดยสรุปคือ

ประเด็นปัญหา Lenovo/Superfish ยังได้รับความสนใจอย่างต่อเนื่อง ล่าสุดมีผู้เชี่ยวชาญความปลอดภัยแจ้งว่า ไมโครซอฟท์อัพเดต Windows Defender ซอฟต์แวร์ความปลอดภัยที่มากับ Windows ให้ถอนการติดตั้ง Superfish รวมถึงลบใบรับรองดิจิทัลแล้ว

สำหรับผู้ที่สนใจว่าตัวเองติด Superfish หรือไม่ สามารถเช็คได้จาก Superfish CA test

ฝั่งของ Lenovo เองเพิ่งออกเครื่องมือลบ Superfish ตามที่สัญญาไว้ และบอกว่ากำลังทำงานร่วมกับ McAfee ในเรื่องนี้ด้วยเช่นกัน

ท่าทางปัญหาเรื่อง Lenovo ใส่โปรแกรมสแปม Superfish เข้ามาในเครื่องลูกค้านั้นใกล้จะจบแล้วนะครับ (ข่าวเก่า) ล่าสุด Lenovo ได้ปล่อยเครื่องมือสำหรับถอนการติดตั้ง Superfish แบบอัตโนมัติออกมาแล้ว ผู้ใช้สามารถดาวน์โหลดได้ที่นี่ ซึ่งถ้าไม่ต้องการใช้โปรแกรมดังกล่าวก็สามารถดำเนินการลบเองได้เช่นกัน โดย Lenovo ได้ทำคู่มือการถอนการติดตั้งอย่างละเอียดไว้ในลิงค์ข้างต้น และถ้ามีเบราว์เซอร์อื่นเช่น Firefox ติดตั้งอยู่ก็ต้องไปไล่ลบในตัวเบราว์เซอร์ด้วย

ปัญหา Lenovo/Superfish กลายเป็นเรื่องระดับชาติไปแล้ว เมื่อหน่วยงานด้านความปลอดภัยไซเบอร์ของสหรัฐ (US-CERT) สังกัดกระทรวงความมั่นคงแห่งมาตุภูมิ ได้ออกประกาศเตือนภัย Lenovo Superfish Adware ว่ามีความเสี่ยงต่อการดักข้อมูลผ่าน HTTPS (HTTPS spoofing)

ประเด็นของ US-CERT คือการที่ Superfish ติดตั้งใบรับรองดิจิทัลของตัวเอง และตัวรหัสถูกเปิดเผยแล้ว ทำให้แฮ็กเกอร์สามารถใช้ประโยชน์จากช่องโหว่นี้ได้ ทางแก้คือให้ถอนการติดตั้ง Superfish ออกจากระบบ และลบใบรับรอง Superfish ออกด้วย

ที่มา - US-CERT

จากกรณีปัญหา Lenovo/Superfish ทางเว็บไซต์ Wall Street Journal ได้สัมภาษณ์ Peter Hortensius ซีทีโอของ Lenovo ในประเด็นนี้ครับ

จากปัญหาโน้ตบุ๊ก Lenovo แอบฝัง Superfish และมีความเสี่ยงที่จะถูกดักข้อมูล ทางบริษัท Lenovo ก็ออกแถลงการณ์โดยมีใจความดังนี้ครับ

หลังรายงานโปรแกรมโฆษณา Superfish ถูกติดตั้งมากับโน้ตบุ๊กเลอโนโวหลายรุ่น โดย Superfish จะคั่นกลางเว็บทุกเว็บแม้แต่เว็บที่เข้ารหัส และแทรกโฆษณาเข้าไปในหน้าเว็บเหล่านั้น ตอนนี้ทุกเครื่องที่มี Superfish อยู่ในเครื่องเสี่ยงต่อการถูกดักฟังทั้งหมด

สาเหตุเพราะตัว Superfish ทำตัวเองเป็นพรอกซี่คั่นกลางแบบเดียวกับ mitmproxy และกระบวนการติดตั้งจะใส่ไฟล์ CA ของ Superfish ลงไปในวินโดวส์ แต่กุญแจของ CA นี้ก็อยู่ในไฟล์ exe ของ Superfish นั่นเองเพราะตัวโปรแกรมทำหน้าที่คั่นกลางเว็บที่ผู้ใช้เปิดขึ้นมา

มีลูกค้าโน้ตบุ๊กค่าย Lenovo บางรุ่นแจ้งว่าพบโปรแกรมสแปม-โฆษณา (adware) ชื่อ Superfish ถูกติดตั้งมาในเครื่องตั้งแต่โรงงาน เมื่อใช้คอมพิวเตอร์เหล่านี้เข้าเว็บแล้วจะพบโฆษณาของบริษัท VisualDiscovery ฝังเข้ามาบนหน้าเว็บต่างๆ

ปัญหานี้ถูกพบมาตั้งแต่เดือนกันยายน 2014 โดยลูกค้าเข้าไปแจ้งในฟอรั่มของ Lenovo ส่วนตัวแทนของบริษัทก็ตอบกระทู้ว่าลบ Superfish ออกจากระบบของเครื่องในสต๊อกชั่วคราว ส่วนกรณีของเครื่องที่ขายไปแล้ว ทางบริษัทได้ขอให้ Superfish อัพเดตเพื่อแก้ปัญหาของลูกค้า อย่างไรก็ตาม ตัวแทนของ Lenovo ก็โพสต์สนับสนุนว่า Superfish ช่วยให้ลูกค้าค้นหาสินค้าที่ต้องการได้ง่ายขึ้น