Zeg Lenovo, wat is dit voor vis op m’n computer?

Beeld Universal Studios

Onze computers stinken. Naar vis.

Dat is de klacht waarmee Amerikaanse consumenten de Chinese computergigant Lenovo voor de rechter dagen. Lenovo installeerde op nieuwe consumentenlaptops een programma dat in pop-ups producten toont als je aan het browsen bent. Superfish heet die software. En daar zit een luchtje aan, een heel smerig luchtje.

Allereerst vraag je je af waarom een Chinese hardwarefabrikant met een oerdegelijke reputatie het in zijn hoofd haalt om zijn klanten met extra troep op te zadelen. Lenovo schrijft achteraf:  “We wilden de winkelervaring van onze gebruikers verbeteren.”

Schermafbeelding 2015-02-23 om 09.18.28

Superfish doet aan visual discovery en kan afbeeldingen - van meubels, huisdieren of planten - herkennen en er soortgelijke producten bij vinden. Knap, maar handig? Niemand koopt een laptop om op meer advertenties getrakteerd te worden. Eerder lijkt Lenovo (laatste kwartaalomzet 12,4 miljard euro) met deze adware de winstmarge van zijn laptops op te willen schroeven. Om diezelfde reden krijg je als computerkoper ook proefabonnementen op virusscanners en andere voorgeïnstalleerde bagger cadeau. Weg ermee: de snelste computer is een schone computer.

Deze laptop is gekaapt

Aan de methode die Superfish toepast zit een nog viezer luchtje. De software wil meekijken naar onder meer je zoekopdrachten en daar advertenties bij serveren. Daarvoor gebruikt Superfish een digitaal certificaat dat het verkeer van een veilige webverbinding omleidt. De computer is ‘gekaapt’: je denkt dus dat je veilig inlogt bij een bank of een maildienst, in werkelijkheid zit Superfish ertussen. Het certificaat is ook nog eens zo beroerd beveiligd dat een hacker zonder al te veel moeite kan meekijken. Superfish is dus niet alleen fout, het is ook nog eens gevaarlijk.

Toen veiligheidsonderzoeker Marc Rogers dat ontdekte, was de boot aan. Lenovo ging door het stof en besloot Superfish niet meer mee te leveren op nieuwe computers. Voor die beslissing was veel publiciteit voor nodig; eerdere klachten in gebruikersfora werden genegeerd. Er kwam een verwijdertool – Microsoft en McAfee waren er ook als de kippen bij Superfish uit je computer te hengelen.

uninstallstep2

Nog zijn de problemen niet voorbij. Het bleek dat Superfish een beveiligingssleutel van een bedrijfje dat Komodia heet gebruikt. Beveiliging is een groot woord; het wachtwoord voor die sleutel is namelijk ‘Komodia’. Geen haar beter dan password of 0000. Je hoeft geen whizzkid te zijn om daar misbruik van te maken.

Ook aan je ouders zit een luchtje

De slechte Komodia-sleutel blijkt in allerlei software te zitten waarmee ouders hun kinderen controleren. ‘Parental control’ is de vakterm: zo hoop je als ouder te voorkomen dat je kind naar surft naar pornosites of andere verboden hoekjes op het web. In werkelijkheid zet je de deur wagenwijd open voor hackers. Sommige werkgevers gebruiken parental control programma’s om hun werknemers in de gaten te houden. Komodia zou meer dan honderd klanten hebben, waaronder enkele grote bedrijven.

Waarschijnlijk hebben miljoenen pc’s nu zo’n zwakke schakel aan boord – niet alleen Lenovo laptops. Eén voordeel: dit enorme lek was niet aan het licht gekomen als Lenovo niet het onzalige idee had gehad om Superfish te gebruiken. Ere wie ere toekomt.