Lenovoのコンシューマ向けPC製品にSuperfishのアドウエアがプリインストールされていると指摘された問題で、Lenovoが声明を公開した。同社はユーザー体験を改善するためにSuperfishを採用したことを認めたが、その目的に適していないと判断して1月にプリインストールを終了させた。また、影響を精査した結果「セキュリティを脅かすような問題は確認されなかった」と述べている。
SuperfishはユーザーのWebブラウジングに広告を差し込むツールを提供しているが、ルート証明書にSuperfishが発行した証明書をインストールし、それが脆弱性となって悪用される可能性があると多数のセキュリティ専門家が指摘している。例えば、セキュリティ専門家のKenn White氏は、大手銀行(Bank of America)に対してViriSignのような信頼できるルート認証局ではなく、Superfishが正当性を保証しているスクリーンショットをTwitterで公開した。
Lenovoによると、ユーザーのショッピング体験を向上させる可能性があると判断して同社は昨年9月にSuperfishを採用した。Superfishとの関係は金銭的に重大なものではなく、製品のユーザー体験を向上させるための技術の1つとして採用した。しかしながら、ユーザーの反応が期待したものではなく、影響を心配する声も届いたため、今年1月にプリインストールを終了させた。Superfishを採用していた期間は昨年の9月から12月で、以下のような製品に含まれている可能性があるという。
- Gシリーズ: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- Uシリーズ: U330P, U430P, U330Touch, U430Touch, U530Touch
- Yシリーズ: Y430P, Y40-70, Y50-70
- Zシリーズ: Z40-75, Z50-75, Z40-70, Z50-70
- Sシリーズ: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flexシリーズ: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIXシリーズ: MIIX2-8, MIIX2-10, MIIX2-11
- YOGAシリーズ: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- Eシリーズ: E10-30
Lenovo G70 |
Lenovoによると、Superfishはユーザーをトラッキングしたり、ターゲティングするような技術ではない。セッションごとに独立しており、ユーザーのふるまいや個人情報を記録することはない。現時点でセキュリティ問題につながるような脆弱性は確認されていないが、今後も調査を継続し、適切な対策を講じるとしている。
Superfishがインストールされていた場合、Superfishはユーザーによってアンインストールできるが、ソフトを削除しただけでは、すでに存在するSuperfishの証明書は残る。「Superfish CA test」などSuperfishの証明書の存在を検出するWebサービスを通じて確認することが可能だ。証明書が見つかった場合は、手作業で削除することになる。