Kibocsátotta a Lenovo péntek éjjel azt a beígért szoftvereszközt, amely semlegesíti a lakossági piacra szánt PC-ire előtelepített és komoly biztonsági kockázatot jelentő Superfish Visual Discovery adware programot. Az eszköz automatizálja a manuális folyamatot, amelyet a Lenovo a Superfish botrány múlt heti kirobbanását követően ismertetett.
A Superfish hirdetéseket illesztett a felkeresett, biztonságos weboldalakba, amilyen például a Google keresőoldala, hogy olcsóbb alternatívákra hívja fel a különböző termékeket kereső felhasználók figyelmét. Hogy ezt megtehesse, a Superfish egy maga által aláírt tanúsítványt telepített a böngésző – a Windows és a Firefox –, valamint a Thunderbird email kliens tanúsítványtárába, amely azután aláírta a HTTPS protokollt használó weboldalak tanúsítványait. A böngésző ennek következtében biztonságosnak fogadta el a Superfish által generált, hamis tanúsítványokat, az adware így lehallgathatta a böngésző és a szerver közötti, biztonságosnak hitt adatforgalmat. Aki ki akarta használni ezt a biztonsági rést, annak csupán fel kellett törnie a Superfish tanúsítványának jelszavát, és máris támadást indíthatott – például rávehette a Lenovo PC-k felhasználóit, hogy kávézókban, repülőtereken rosszindulatú wifi hotspotokhoz csatlakozzanak. A jelszó feltörése nevetségesen egyszerűnek bizonyult, az interneten széles körben elérhető volt.
A Microsoft szintén bejelentette, hogy ingyenes Windows Defender és Security Essentials biztonsági szoftvereit felkészíti a Superfish semlegesítésére azokon a PC-ken, amelyeken megtalálható. Visszavonhatja emellett, és ezzel törölheti a Superfish tanúsítványát a tárból a Microsoft, ezt már korábban is megtette illegálisan beszerzett tanúsítványok esetében. A McAfee várhatóan a Superfish karanténozására fogja felkészíteni vírusellenőrzőjét, míg a Mozilla ellenszeréről egyelőre annyit tudni, hogy készül. Az Internet Explorer és a Firefox mellett a Chrome és az Opera is a Windows tanúsítványtárát használja a Microsoft operációs rendszerét futtató PC-ken, ezért várható, hogy saját biztonsági frissítést fog kapni.
Ironikus módon a McAfee Internet Security 30 napos próbaverziója is megtalálható a szoftverek között, amelyeket a Lenovo előre telepít lakossági piacra készülő PC-ire és hibrid gépeire, majd jutalékot kap, miután a felhasználók a próbaidőszak leteltével fizetős csomagra váltanak. A gyakorlat elterjedt a PC-gyártók körében, de fogadtatása vegyes, a gyárilag előre telepített szoftverek a köznyelvben szemétszoftverként, lényegében ótverként (bloatware, junkware, crapware) is ismertek.
A Superfish botrány kapcsán több, anyalapunknak nyilatkozó IT-biztonsági szakember is arra szólította fel a Lenovót és a PC-gyártókat általában, hogy hagyjanak fel a harmadik féltől származó szoftverek előtelepítésével.
