Det är nyhetssajten The Next Web som rapporterar att nya datorer från Lenovo levereras med ett dolt program för att styra vilka annonser användarna ser på webben. Programmet kallas Superfish och analyserar vilka produkter användaren tittar på via webbläsarna Chrome, Internet Explorer och Firefox och sätter in sina egna annonser på webbsidor och i Googlesökningar.

Läs mer: Kemikalieinspektionen svartlistar giftiga surfplattor

lenovo Yoga
Lenovo Yoga, foto: Maurizio Pesce, CC,BY

Att programmet funnits förinstallerat på Lenovos konsumentmaskiner har diskuterats i olika användarforum och efter klagomål ska Lenovo i slutet av januari temporärt ha tagit bort programmet från nya maskiner som levereras. Företagets talesperson har enligt The Next Web i samma forum försvarat programmet med att det hjälper användarna att hitta billigare produkter.


Enligt talespersonen ska det också vara möjligt att hindra att programmet installeras på en ny dator genom att vägra att godkänna ett användaravtal när datorn startas första gången. Det verkar dock de flesta användare enligt The Next Web ha missat.

En svensk användare på Lenovos forum pekar också på en större risk med Superfish. På en skärmdump visar han eller hon att Superfish installerat ett eget kryptografiskt certificat i datorn som öppnar för en så kallad man-i-mitten-attack där trafiken mot en krypterad webbisda, som till exempel en bank, skulle kunna avlyssnas och läsas okrypterad av Superfish trots att webbläsaren visar att trafiken är säker.

Orsaken till att Superfish vill "kapa" den krypterade trafiken är förmodligen för att kunna sätta in sina egna annonser också på krypterade webbsidor.

Enligt sajten Ars Technica har problemet med certifikaten bekräftats även av säkerhetsforskaren Chris Palmer som igår köpte en ny Lenovo Yoga 2 med Superfish installerat. Han har också kunnat konstatera att det säkerhetscertifikat som Superfish installerat på hans dator och som ersätter det hans bank skulle ha använt är samma även på andra användares datorer vilket enligt honom ökar risken för att någon med onda avsikter skulle kunna skapa ett falskt certifikat för en säker webbsida som användare med Lenovodatorer inte skulle kunna upptäcka.

IDG.se har under förmiddagen pratat med Lenovo i Sverige som säger sig ha för lite information om Superfish för att kunna kommentera.