19/02/2015 di Redazione

Lenovo, un mare di guai in arrivo per colpa di Superfish?

Un software pubblicitario, installato di serie sui Pc dell’azienda cinese, potrebbe lasciare libero accesso alle informazioni generate dagli utenti durante le sessioni Web, sfruttando certificati di tipo self-signed. I vertici societari non commentano la

immagine.jpg

Acque agitate per Lenovo, che si è trovata a fare i conti con un “super pesce”, purtroppo non d’aprile. Parliamo di Superfish, un programma adware sviluppato dall’omonima software house, che viene installato di serie su tutti i computer realizzati dall’azienda cinese e che sfrutta un certificato di tipo Man-in-the-middle (Mitm) per inserire pubblicità nei browser. A quanto pare il servizio, se compromesso, potrebbe diventare un’ottima porta di accesso ai dati personali degli utenti. Diversi acquirenti di computer Lenovo si sono lamentati del problema nel forum associato al sito dell’azienda.

Ovviamente, i software pubblicitari non sono benvoluti dagli utenti, che cercano di evitarli come la peste. Ma Lenovo, che per ora non commenta la notizia, ha già confermato in passato di avere ampiamente utilizzato Superfish nei suoi prodotti, salvo poi rimuoverlo a causa di apparizioni non desiderate di popup durante la navigazione. I vertici aziendali, però, hanno evidenziato come l’add-on di ricerca visuale, che analizza le immagini sulle pagine Web per mandare a video in modo istantaneo alternative commerciali più vantaggiose, non si basi su algoritmi comportamentali e non monitoro le abitudini delle persone su Internet. Non è quindi in grado di registrare e immagazzinare informazioni.

Ma, oltre al semplice inconveniente dei popup, dietro il “super pesce” potrebbe esserci di più. Alcuni utenti hanno infatti evidenziato come il programma utilizzi un certificato di tipo self-signed che potrebbe lasciare libero accesso alle informazioni generate durante le sessioni. Eventuali malintenzionati potrebbero generare quindi le chiavi crittografiche per aprire il certificato, sfruttandolo per azioni non legali. Esistono prove, pubblicate da alcuni utenti su Twitter, di chiavi compromesse anche su siti bancari.

Si potrebbe pensare che basti cancellare il software per risolvere il problema. Sbagliato: sembra, infatti, che la sua rimozione non sia un’operazione sufficiente, perché questa operazione non elimina dai computer il certificato e, quindi, la minaccia alla privacy dell’utente. Anche se Lenovo conferma, sempre sul sito della sua community, che al primo avvio di Superfish vengono presentati i termini e le condizioni d’uso. Il loro rifiuto comporterebbe l’inattivazione automatica del programma. Staremo a vedere se il colosso cinese riuscirà ora a calmare le acque.

 

ARTICOLI CORRELATI