Lenovo è stata sorpresa a installare adware su alcuni dei suoi laptop che potrebbero potenzialmente lasciare i clienti totalmente vulnerabili ai criminali informatici che desiderano rubare i loro dati.
Il software, chiamato Superfish Visual Discovery, è preinstallato sulle macchine Lenovo e può inserire annunci di terze parti Google e altre ricerche effettuate in Internet Explorer (IE) e Chrome, facendole sembrare annunci autentici risultati.
La tecnica ha fatto infuriare molti utenti e attirò l'attenzione della Lizard Squad, che ha violato il sito web di Lenovo con un apparente attacco di vendetta.
I consumatori hanno iniziato a lamentarsi di Superfish Visual Discovery, che può anche produrre pop-up e impedire il corretto rendering di alcuni siti Web, già nel settembre 2014. Tuttavia, ci è voluto fino al 23 gennaio di quest'anno prima che Lenovo riconoscesse le lamentele degli utenti riguardo al fatto che si trattava di qualcosa di più di un semplice crapware.
Mark Hopkins, responsabile del programma Lenovo per i social media, ha pubblicato una dichiarazione su
i forum Lenovo rassicurare i clienti che il loro comportamento online non viene tracciato dall'adware e che la tecnologia è "puramente basata sul contesto/immagine e non comportamentale".Minaccia alla sicurezza dei superpesci
Tuttavia, sono state sollevate serie preoccupazioni sulla natura fuori dagli schemi di questo software, sia dal punto di vista della privacy che della sicurezza.
Innanzitutto, Superfish Visual Discovery è stato creato da una società terza, chiamata Superfish, che non fa parte di Lenovo. Pertanto, tutti i dati raccolti dal programma vengono inviati a terzi.
Dal punto di vista della sicurezza, alcuni hanno sostenuto che Superfish può essere considerato un malware “man-in-the-middle”, incluso il direttore tecnico di Facebook, Mike Shaver.
Lenovo installa un certificato MITM e un proxy chiamato Superfish sui nuovi laptop in modo da poter inserire annunci pubblicitari? Qualcuno mi dica che non è il mondo in cui mi trovo.
— Mike Rasoio (@rasoio) 19 febbraio 2015
Inoltre, il certificato di sicurezza root autofirmato di Superfish sembra fornire lo stesso livello di accesso come Microsoft, il che significa che può leggere i dati inviati tramite connessioni SSL presumibilmente sicure, come online bancario.
Anche se non vi è alcuna indicazione che Superfish o Lenovo abbiano effettuato questo tipo di spionaggio, potenzialmente rende gli utenti vulnerabili agli attacchi se un hacker dovesse impossessarsi del certificato radice privato del programma chiave.
Poiché il certificato conferisce a Superfish lo stesso livello di autorità su Windows di Microsoft, potrebbe, secondo blogger di sicurezza Decent Security, essere utilizzato dai criminali informatici per progettare malware che sembrava essere stato scritto da Microsoft. Ciò potrebbe consentire al programma dannoso di non essere rilevato dal software anti-malware, lasciando gli utenti totalmente vulnerabili.
Questo scenario è aggravato dal fatto che Superfish apparentemente utilizza la stessa chiave per tutti installazioni, il che significa che una volta che un utente malintenzionato avesse avuto la chiave per una macchina, avrebbe avuto la chiave per tutti loro.
.@akatakritos@ETFovac@__apf__#superpesce Il tuo: http://t.co/JhaE5UqOQJ Mio: http://t.co/F2RXfz8blF Stesso modulo RSA e SPKI. 😐
— Chris Palmer (@fugueish) 19 febbraio 2015
Lo ha detto Chris Boyd, analista di malware intelligence presso Malwarebytes PCPro: "Il software preinstallato è sempre una preoccupazione perché spesso non esiste un modo semplice per un acquirente di sapere cosa sta facendo quel software o se rimuoverlo causerà problemi di sistema in futuro. Sebbene sia preferibile un'installazione pulita del sistema operativo, non è sempre pratica: premere il pulsante di ripristino/impostazione di fabbrica su a nuova macchina ti restituirà i programmi che hai appena provato a rimuovere, e non tutti hanno una pila di dischi del sistema operativo a portata di mano.
“In questo caso particolare, chiunque sia interessato dovrebbe disinstallare il software Superfish e poi digitare certmgr.msc nella barra di ricerca di Windows: da lì possono trovare e rimuovere la relativa root certificato."
C’è anche la questione della legalità della preinstallazione di Superfish da parte di Lenovo sui computer degli utenti.
Lo ha detto l'avvocato David Marchese, membro inglese della rete legale internazionale Globalaw PCPro: “Da un punto di vista legale… le domande saranno: qualcuno sta utilizzando i dati personali di un consumatore senza il suo previo consenso o altra giustificazione legittima? I dati personali del consumatore vengono inviati al di fuori del SEE senza consenso e così via."
Marchese ha affermato che coloro che sono turbati dal comportamento di Lenovo potrebbero essere in grado di intentare una causa civile anche contro la società.
"Se un consumatore acquista un computer che presenta minacce integrate alla sua sicurezza, ciò sembrerebbe dar luogo a rivendicazioni di base ai sensi del Sale of Goods Act del 1979", ha affermato.
PCPro ha anche contattato l’Information Commissioner’s Office (ICO), che sovrintende alla regolamentazione e agli standard delle comunicazioni e dei dati nel Regno Unito. Un portavoce ha dichiarato: “Siamo consapevoli delle preoccupazioni che sono state espresse sulla gestione delle informazioni dei consumatori da parte di Lenovo e faremo indagini per stabilire tutti i dettagli”.
Superfish: la risposta di Lenovo
In una dichiarazione, Lenovo ha detto PCPro: “Lenovo ha rimosso Superfish dai precarichi dei nuovi sistemi consumer nel gennaio 2015. Allo stesso tempo Superfish ha impedito alle macchine Lenovo esistenti sul mercato di attivare Superfish.
“Superfish ha completamente disabilitato le interazioni lato server (da gennaio) su tutti i prodotti Lenovo in modo che il prodotto non sia più attivo. Ciò disabilita Superfish per tutti i prodotti sul mercato", ha affermato Lenovo.
“Abbiamo studiato a fondo questa tecnologia e non abbiamo trovato alcuna prova a sostegno dei problemi di sicurezza. Ma sappiamo che gli utenti hanno reagito al problema con preoccupazione, quindi abbiamo intrapreso un’azione diretta per interrompere la spedizione di qualsiasi prodotto con questo software”, ha aggiunto.
Lenovo ci ha anche detto che Superfish "era precaricato solo su un numero selezionato di modelli consumer". Tuttavia, ciò sembra essere contraddetto dalle denunce in merito il forum Lenovo che il programma faceva sì che IE non riconoscesse le smart card .Net, che vengono utilizzate per la sicurezza e la gestione degli accessi in alcune aziende.
La società ha affermato che sta “indagando a fondo su tutte le nuove preoccupazioni sollevate riguardo a Superfish”.
Facci sapere nei commenti se hai riscontrato problemi simili, aggiorneremo anche questo articolo non appena saranno disponibili nuove informazioni.
Come rilevare se hai Superfish
Aggiornamento:Vaughn Highfield: Se hai un laptop Lenovo e non sei sicuro di doverti preoccupare che Superfish intercetti le tue transazioni, ci sono diversi modi per vedere se hai Superfish in esecuzione sotto il cofano.
Un modo sicuro per sapere che stai bene è se hai acquistato il tuo laptop dalla gamma di laptop Signature di Microsoft. Questi laptop sono completamente privi di bloatware, quindi sai che stai ottenendo un dispositivo completamente sicuro, non impantanato in rifiuti inutili e potenzialmente pericolosi.
Se non l'hai fatto, puoi andare a questo test Superfish CA e questo ti dirà piuttosto chiaramente se Superfish intercetta le tue comunicazioni. C'è anche una variante leggermente più colorata del Blog LastPass, offrendo istruzioni su come disinstallare il programma e rimuovere i vecchi certificati.
Mentre potresti semplicemente pensare "oh, quanto potrebbe essere brutto?" vale la pena notare che entro un'ora circa dalla scoperta di Superfish, Errata Sicurezzahai creato una guida per mostrarti quanto sia facile per chiunque hackerarsi e vedere esattamente cosa stai facendo con il tuo computer.
Roba spaventosa davvero.
