Datamaskiner fra produsenten Lenovo, som er kjøpt i høst, kan ha et rotsertifikat kalt Superfish installert. Dette sertifikatet tilhører produktet Superfish, en forhåndsinstallert adware som retter annonser til brukeren ved å analysere bilder og tekst på nettstedene du besøker.
Det er mulig å installere et rotsertifikat på hvilken som helst datamaskin og deretter la programvaren lage gyldige sertifikater for nettsteder, siden programvaren ikke kan lese trafikk som blir transportert gjennom HTTPS. På denne måten har programvaren tilgang til de private nøklene og passordet som kreves for å analysere trafikken.
Dette betyr at du ikke er trygg bare fordi du besøker et nettsted ved hjelp av HTTPS. Superfish kan enkelt analysere den trafikken, og siden hovedpassordet for rotsertifikatet har blitt sprukket, hvem som helst kan sette opp et nettsted med Superfish, og nettleseren din vil vise at sertifikatet er gyldig. Dette er også mulig for mann-i-midten-angrep.
Hvis du er koblet til OVPN, er du beskyttet mot lokale angrep. Siden OVPN krypterer trafikk, er det umulig å analysere trafikken i samme nettverk. Det er likevel mulig å opprette sertifikater til ethvert domene som datamaskinen din viser som legitime, noe som gir deg en falsk følelse av sikkerhet.
Derfor ber vi alle sørge for at du ikke har dette sertifikatet installert ved å besøke dette nettstedet: https://filippo.io/Badfish/. Du vil få følgende resultat hvis du er trygg:
Kontroller alle nettlesere og datamaskiner. Hvis du blir berørt, kan du laste ned et verktøy fra Lenovo som fjerner sertifikatet: http://support.lenovo.com/us/en/product_security/superfish_uninstall