Afgelopen Woensdag, 18 februari, werd bekend dat Lenovo-apparaten met voorgeïnstalleerde adware zijn verkocht, die veilige verbindingen met websites ondermijnt en gevoelige gebruikersinformatie blootlegt.
Gebruik meteen onze tool: www.LastPass.com/superfish om te controleren of ook jij door veiligheidsrisiko van Superfish getroffen bent.
Wat is het veiligheidsrisiko van Superfish?
De afgelopen twee jaar werden Lenovo-producten met een voorgeïnstalleerde software geleverd met de naam Superfish Visual Discovery. De Superfish-software voegt advertenties in tussen zoekresultaten op Google om de “gebruiker te helpen visueel producten te vinden en te ontdekken”. Echter, heeft men nu ontdekt dat de Superfish-software zelfondertekende veiligheidscertificaten installeert om ervoor te zorgen, dat het programma altijd door de computer wordt vertrouwd. Hierdoor is het programma via man-in-the-middle-aanvallen in staat om verondersteld beveiligde communicatie met website te onderscheppen. Onderzoekers hebben ook bevestigd dat hackers, die in hetzelfde netwerk actief zijn, zoals bijvoorbeeld bij een openbare wifi-hotspot, Superfish kunnen gebruiken om inloggegevens voor internetbankieren te stelen of e-mails te lezen.Hoe wordt LastPass hierdoor beïnvloed?
LastPass maakt gebruik van SSL als extra beveiligingslaag, naast nog andere versleutelingssystemen. Als je via de LastPass-browserextensie inlogt, bestaat er geen extra risico met betrekking tot man-in-the-middle-aanvallen. Als je inlogt via de LastPass.com website, is het risico iets hoger, maar we hebben geen reden om te veronderstellen, dat er een wezenlijk gevaar bestaat voor LastPass-gebruikers. We hebben geen aanwijzingen, dat dit veiligheidsprobleem gebruikt is om specifiek LastPass-gebruikers aan te vallen, en ook het oorspronkelijke doel van de software, namelijk het ondersteunen van advertenties, biedt geen aanleiding tot bezorgdheid.Onderneem meteen stappen om je tegen Superfish te beschermen.
Het goede nieuws is, dat Lenovo gestopt is met het voorinstalleren van Superfish sinds januari 2015. Het slechte nieuws is, dat er al miljoenen Lenovo-laptops (we hebben geen precieze lijst van betroffen apparaten) met de Superfish-software verkocht zijn. Het lijkt erop dat Superfish op de computers waarop het programma geïnstalleerd is Internet Explorer en Chrome beïnvloedt. Met onze Superfish-tester: https://lastpass.com/superfish/ kan je achterhalen of Superfish ook op jouw computer is geïnstalleerd en of het een veiligheidsrisico voor jou vormt. Als je Superfish op je computer hebt, moet je als eerste het Superfish-programma verwijderen:- Klik op de Windows-Startknop
- Zoek naar "programma's verwijderen"
- Start de applicatie om programma's te verwijderen
- Klik met de rechter muisknop op "Superfish Inc VisualDiscovery" en kies "verwijderen"
- Als je naar het beheerderswachtwoord wordt gevraagd, vul dit dan in en bevestig
- Klik op de Windows-Startknop
- Typ "certmgr.msc" in het zoekveld in
- Klik op het "certmgr.msc"-programma om het te starten
- Als je naar het beheerderswachtwoord wordt gevraagd, vul dan het wachtwoord in en bevestig
- Klik op "Vertrouwde Veiligheidscertificaten"
- Open de certificaten
- Zoek naar certificaten met de naam "Superfish Inc"
- Klik met de rechter muisknop op alle Superfish Inc-certificaten en wis ze
- Start opnieuw je browser
- Download LastPass om te beginnen met het beheren van je wachtwoorden: www.LastPass.com
- Start de Veiligheidstester (in het gereedschapsmenu in je LastPass-browserextensie).
- Maak gebruik van de automatische passwordverandering om meteen zwakke en dubbel gebruikte wachtwoorden te vernieuwen.
- Vervang ook ander zwakke en dubbel gebruikte wachtwoorden met de LastPass-passwordgenerator.
- Vernieuw wachtwoorden voor kritische websites zoals e-mail, internetbankieren, en sociale netwerken.
