Lenovo er ude at svømme på dybt vand.
Lenovos computere er altid kommet med en irriterende mængde bloatware, som tilsyneladende ikke har andet formål end at give Lenovo lidt ekstra håndører og brugerne lidt ekstra gener.
Men de seneste dage har det vist sig, at Lenovo ikke bare sælger dig en computer med "20 gigabyte ekstra Dropbox" eller en Amazon-app.
Nej, selskabet sælger dig også en computer med en indbygget bagdør. Og det er skidt.
Superfish hedder det program, som rent kategorisk må befinde sig et sted mellem bloatware og malware.
Programmet tillader, at der kommer reklamer ind på hjemmesider via et man-in-the-middle angreb. Superfish efterlader et usikkert root-certifikat på computeren, der opfanger HTTPS-krypteret data.
Det betyder, at Superfish opsnapper den krypterede trafik og indsætte reklamer på sider, som ellers burde være krypterede i browseren.
Men værre endnu viser det sig ifølge flere sikkerhedseksperter, at root-certifikatet er usikkert.
RSA1024-bit nøgle, som certifikatet benytter, anses i dag for at være usikker, og der er også allerede flere sikkerhedseksperter - og hackere - som har vist, at det er muligt at få presset nøglen ud af root-certifikatet.
Det betyder, at der er en åben dør for hackere og andre it-kriminelle til alle, som har Superfish på computeren.
Altså en kæmpe bagdør.
I teorien kunne en hacker lave en kopi af en banks hjemmeside, som browseren vil se som sikkerhedsgodkendt, netop fordi Superfishs certifikat godkender det.
Og Lenovo har installeret dette på din computer uden at fortælle dig om det.
Sådan fjerner du det
Lenovo fortæller i eget forum og på egen blog, at Superfish kun er installeret på bestemte Lenovo-computere - og kun i månederne fra september 2014 til februar 2015.
Superfish er blevet slået fra på serversiden - og Lenovo lover også, at det ikke vil være på Lenovo-produkter i fremtiden.
Ikke desto mindre skal du fjerne Superfish, hvis du har en Lenovo-enhed, hvor det er installeret.
Først slettes selve programmet på din computer. Dette gøres simpelt igennem Tilføj/fjern programmer (add/remove programs), hvor du sletter Superfish Inc. VisualDiscovery.
Men det egentlige problem ligger i det usikre root-certifikat - og det slettes ikke ved at slette programmet.
Åben din startmenu og søg på certmgr.msc og åben det.
Tillad at få adgang til programmet, hvis du bliver spurgt om administratorrettigheder.
Klik på Trusted Root Certification Authorities og åben certifikater.
Find certifikater der omtaler Superfish Inc.
Højreklik og tryk slet.
Flere sikkerhedseksperter foreslår også, at du kører en virusscanning, hvis du benytter dig af et antivirusprogram. Flere af de store antivirusfirmaer har nemlig sat certifikatet som en virus, hvilket kan være behjælpeligt for at fjerne det.
Du kan benytte denne hjemmeside til at se, om du har Superfish eller ej. I øjeblikket har vi her på Computerworld en Lenovo Yoga Pro 3, og den har ikke Superfish.
Preinstalleret software er et kæmpe problem
Programmer som Superfish går ind og piller ved hele vores tillid til SSL, som penetreres ved et så usikkert certifikat som dette. Superfish har blandt andet indsat reklamer over billeder og tekst på sider, hvor der absolut ikke skulle være reklamer - blandt andet på Googles egne sider.
Forudinstalleret bloatware - eller crapware, som forudinstalleret software ofte kaldes af utilfredse brugere - er også et brugermæssigt problem - og langtfra noget nyt.
Vi har tidligere testet en Acer-computer, som faktisk var en ganske god computer, men som var så overfyldt med ubrugeligt crapware, at det trak meget ned.
Det samme ser vi på Lenovo Yoga Pro 3, som har så meget crapware installeret, at det har fået sin egen fane på Windows start-skærmen: "Lenovo Apps".
Lenovo har sågar installeret en ekstra pc-butik, som både kan være en ekstra home-knap og en ekstra butik fyldt med HTML-apps.
Hvorfor?
Fordi det giver producenterne ekstra penge per solgt computer.
I en periode solgte Microsoft produkter, som var "100 procent" uden crapware. Google har gjort det samme på mobilfronten med Android-telefoner, som blev solgt som "Google Play Editions" - telefoner med et rent Android uden producenternes til tider ligegyldige pillerier.
