Phần mềm quảng cáo này được biết đến với tên Superfish, có chức năng đặt quảng cáo vào trang web hoặc làm gián đoạn việc tải trang và hiển thị quảng cáo bổ sung. Tuy nhiên, Lenovo cho biết chức năng này hiện đang bị vô hiệu hóa trên máy chủ của công ty.
Đáng lo ngại hơn, phần mềm quảng cáo có thể qua mặt giao thức bảo mật https trên các trang web bằng một chứng nhận bảo mật tự cấp. Các trang web hiển thị trông có vẻ vẫn an toàn như bình thường, nhưng thực sự chứng chỉ được kiểm tra bởi Superfish mà không phải từ trang web truy cập.
Các nhà nghiên cứu bảo mật cũng phát hiện ra chứng chỉ xác nhận bởi Superfish dường như giống nhau trên mọi máy tính Lenovo và được bảo vệ bằng một mật khẩu bảo mật khá đơn giản. Theo Giám đốc điều hành Rob Graham của công ty bảo mật Errata Security tuyên bố, mật khẩu này là "komodia".
Sự nguy hiểm ở đây là nếu các tin tặc xấu chiếm quyền điều khiển thông tin chứng nhận Superfish thay vì các chứng nhận được cấp thông qua giao thức https, kẻ gian có thể tấn công bất kỳ trang web được bảo mật bằng https trên máy tính Lenovo. Google, ngân hàng, công ty thẻ tín dụng, kết nối đến các đối tác.... đều dễ bị tấn công bởi phương thức này, với tên gọi là “man-in-the-middle”.
Phản ứng trước thông tin Superfish, Lenovo cho biết: “Chúng tôi đã điều tra kỹ lưỡng công nghệ này và không tìm thấy bất kỳ bằng chứng nào chứng minh mối nguy hại an ninh”.
Đáng buồn là Lenovo chưa đưa ra kế hoạch cụ thể để loại bỏ Superfish từ những lo ngại mà các nhà nghiên cứu bảo mật cảnh báo. Tuy kết quả kiểm tra cho thấy không có máy tính Lenovo mới nào xuất xưởng trong tháng Giêng đi kèm Superfish, nhưng điều đó không có nghĩa các sản phẩm hiện có tồn tại Superfish, đặc biệt các sản phẩm tồn kho trước đây.
Tuyên bố cũng cho biết Superfish không theo dõi hành vi của người sử dụng hoặc ghi lại các thông tin người dùng. Nghiên cứu bảo mật cũng không cáo buộc Lenovo, nhưng nó vẫn khiến một số người dùng có thể tin rằng điều này sẽ xảy ra trong tương lai không xa.
Rõ ràng đây là một vấn đề quan trọng cho vị trí của Lenovo trên thị trường PC, vốn đang dẫn đầu. Công ty cũng có sự hiện diện trên mảng doanh nghiệp, vốn quan tâm lớn đến vấn đề an ninh, qua sự xuất hiện của dòng ThinkPad. Không thể biết chính xác hệ thống nào được cài đặt Superfish, nhưng có thể hàng triệu doanh nhân đang phải đối diện với lỗ hổng nghiêm trọng này.
Mặc dù diễn đàn Lenovo có cung cấp cách gỡ bỏ Superfish trên PC, nhưng nhiều người dùng cho biết đến nay vẫn chưa thành công.
