skip to main | skip to sidebar
19 commenti

Lenovo ha preinstallato malware sui suoi PC: devastata la sicurezza degli utenti

L'articolo è stato aggiornato dopo la pubblicazione iniziale.

Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.

Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.

C'è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell'azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.

Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.

Questo genere di comportamento si chiama in gergo man in the middle (“uomo in mezzo” o “intromissione”, per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un'azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant'è vero che alcuni antivirus lo segnalano, sia pure chiamandolo “adware” per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.

Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l'elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l'utente può rifiutare Superfish durante l'attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza. Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.

Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio https://filippo.io/Badfish o https://canibesuperphished.com) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.

Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell'azienda. La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario. Lenovo ha dichiarato che il suo intento era di “aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping” e che “il rapporto con Superfish non è finanziariamente significativo”, ma i dati tecnici rendono poco credibili queste giustificazioni.


Fonti: BBC, Ars Technica, TheNextWeb, Engadget, Lenovo, Punto Informatico.
Invia un commento
I commenti non appaiono subito, devono essere tutti approvati da un moderatore. Lo so, è scomodo, ma è necessario per tenere lontani scocciatori, spammer, troll e stupidi: siate civili e verrete pubblicati qualunque sia la vostra opinione; gli incivili di qualsiasi orientamento non verranno pubblicati, se non per mostrare il loro squallore.
Inviando un commento date il vostro consenso alla sua pubblicazione, qui o altrove.
Maggiori informazioni riguardanti regole e utilizzo dei commenti sono reperibili nella sezione apposita.
NOTA BENE. L'area sottostante per l'invio dei commenti non è contenuta in questa pagina ma è un iframe, cioè una finestra su una pagina di Blogger esterna a questo blog. Ciò significa che dovete assicurarvi che non venga bloccata da estensioni del vostro browser (tipo quelle che eliminano le pubblicità) e/o da altri programmi di protezione antimalware (tipo Kaspersky). Inoltre è necessario che sia permesso accettare i cookie da terze parti (informativa sulla privacy a riguardo).
Commenti
Commenti (19)
Grazie dell'articolo, abbiamo comprato un laptop Lenovo proprio qualche mese fa. A quanto pare non siamo infetti, meglio così.
Nel dubbio, non si dovrebbe mai più prendere in considerazione l'acquisto di un dispositivo di questa marca.
Questo si aggiunge ai motivi per i quali odio i computer preinstallati...
Speriamo che perda almeno il 30% del fatturato...altrimenti alla fine finanziariamente avrà fatto bene e altri verranno incentivati a fare operazioni analoghe
E' una cosa terribile, ma sono matti questi? Tra samsung che manda in giro roba in chiaro e Lenovo che installa malware, io non lo so... ma che cavolo di ingegneri hanno ste aziende?
Ricevo da un portavoce aziendale di Lenovo e pubblico qui sotto la traduzione della loro pagina informativa in inglese:


In Lenovo, cerchiamo sempre di dare la migliore esperienza d’utilizzo ai nostri clienti. Sappiamo che milioni di persone si affidano ai nostri dispositivi ogni giorno, ed è nostra responsabilità offrire qualità, affidabilità, innovazione e sicurezza a ogni nostro cliente. Proprio con l’obiettivo di migliorare l’esperienza dell’utente, avevamo pre-installato un software di terze parti, Superfish (con sede a Palo Alto, CA), in alcuni dei nostri notebook consumer: ritenevamo che potesse migliorare l’esperienza dello shopping online da parte dei nostri clienti, come previsto da Superfish.

Questo non ha però soddisfatto le nostre aspettative o quelle dei nostri clienti. In realtà, abbiamo ricevuto lamentele da parte dei clienti su questo software. Abbiamo agito rapidamente e con decisione non appena questi problemi sono stati portati alla nostra attenzione. Ci scusiamo per avere causato qualsiasi tipo di preoccupazione agli utenti, e li assicuriamo che ci impegnamo sempre a imparare dall'esperienza e a migliorare ciò che facciamo e come lo facciamo.

Abbiamo smesso di pre-caricare questo software a partire dal mese di gennaio. Abbiamo chiuso le connessioni ai server che davano accesso al software (sempre a gennaio), e stiamo fornendo risorse online per aiutare gli utenti a rimuovere il software. Infine, stiamo lavorando direttamente con Superfish e con altri Partner di settore per essere sicuri di saper affrontare ogni altro eventuale problema di sicurezza ora . e in futuro.

Le informazioni dettagliate su queste attività e gli strumenti per la rimozione del software sono disponibili qui:

http://support.lenovo.com/us/en/product_security/superfish

http://support.lenovo.com/us/en/product_security/superfish_uninstall

Un ulteriore chiarimento: Lenovo non ha mai installato questo software su qualsiasi notebook ThinkPad, nè sui desktop Lenovo né sugli smartphone. Questo software non è mai stato installato su qualsiasi prodotto Lenovo di tipo enterprise - server o storage - e questi prodotti non sono stati in alcun modo iimpattati. Inoltre, Superfish non viene più installato su qualsiasi dispositivo Lenovo. Nelle prossime settimane sarà nostra cura andare ancora più a fondo su questo tema, per imparare quello che possiamo fare meglio. Parleremo con i partner, esperti del settore e gli utenti, e ci faremo dare un loro feedback.

Entro la fine di questo mese, annunceremo un piano per aiutare Lenovo e tutto il settore a progredire nella conoscenza, comprensione e attenzione a tutte le questioni che concernono adware, pre-installazioni e la sicurezza. Vogliamo essere considerati responsabili dei nostri prodotti, della vostra esperienza e dei risultati di questo nostro nuovo impegno.

Superfish può essere su alcuni di questi modelli:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
che cavolo di ingegneri hanno ste aziende?

Se la mia esperienza non m'inganna, mi sa che non è colpa degli ingegneri, ma di qualche contabile del marketing.
Se la mia esperienza non m'inganna, mi sa che non è colpa degli ingegneri, ma di qualche contabile del marketing.

O, come direbbe qualcuno, dei soliti SL, approvati dal SUSL, che non sanno nulla di ciò che dirigono ;-)
Per me la questione è un'altra: com'è possibile installare un falso certificato? Cioè se io creo un mio certificato e cerco di installarlo il sistema si dovrebbe rifiutare perché non è a sua volta certificato da un ente certificatore tipo verisign.
"Questo non ha però soddisfatto le nostre aspettative o quelle dei nostri clienti."

Bisognerebbe aver vissuto sotto un sasso per non aver visto il casino della "X-box Juan".

Cosa abbia fatto pensare al J.J. di Lenovo che avrebbe avuto un impatto differente proprio non lo so.

Se stesse a me la risposta sarebbe: "Stronzate. Queste scuse son come mezza fragola su una cacca di cavallo. sappiamo tutti che il computer aggiusta registri e librerie mentre lavoriamo, ma che sia chi lo ha costruito ad impostarlo in modo che tradisca sistematicamente i nostri segreti e non qualche malintenzionato è qualcosa che non ci aspettavamo, e di certo un costruttore lo sa che l'utente lo troverà seccante se si venisse a sapere."
Cone hai ragione... sapessi quante volte sono costretto a fare una modifica tecnicamente idiota per colpa del marketing...
Ho un Lenovo preso l'anno scorso e non vedo quei malware...
In compenso avevo del software lenovo malfunzionante con la nvidia, disinstallato per rendere stabile il PC

China + IBM ed OS Microsoft... ovvio che hanno problemi ^_^'''
Vorrei fare una puntualizzazione un po' pignola: non ha senso parlare di "falsi certificati". Questi certificati non hanno nulla di "falso". Capisco che per rendere fruibile l'argomento, bisogna fare delle semplificazioni, ma parlare di "falsi" certificati non è corretto. Il problema non sta nei certificati in sè, ma nel software Superfish, che intercetta tutte le sessioni di navigazione, e lo fa tramite SSL, utilizzando, ovviamente, il proprio certificato.
Prima di additare Lenovo come il male assoluto, vale inoltre la pena notare che Google fa da tempo una cosa analoga su Android (a fini di "ottimizzazione della navigazione"), e nessuno ha avuto niente da ridire: https://developer.chrome.com/multidevice/data-compression "The proxy server" (cioè google) "receives the request initiated on the mobile device, initiates a request for the required resource on your behalf, and then optimizes each response before delivering it back to the client."
Sul lavoro io passo metà del tempo dedicato ai nuovi pc a disinstallare fuffaware. Da anni.
Questa cosa è terribile. Avere un certificato non trusted tra l'elenco dei certificati attendibili è la peggiore falla di sicurezza a cui si possa essere sottoposti.
Ogni precauzione contro questo attacco è vana. E per l'utente distratto il certificato è difficilissimo da individuare... chi di voi si è mai messo a controllare i dettagli dei certificati cliccando sul lucchetto del browser quando si naviga in HTTPS?
«[...] chi di voi si è mai messo a controllare i dettagli dei certificati cliccando sul lucchetto del browser quando si naviga in HTTPS?»

IO! ;)
Il mio consiglio da 200 lire. Se avete bisogno di un portatile rivolgetevi ad aziende specializzate nell'assemblare laptop. Online ne trovate parecchie, soprattutto in Inghilterra. A parita' di prezzo otterrete prestazioni nettamente superiori e soprattutto non avrete problemi nel trovarvi schifezze di questo tipo all'interno. Sceglierete voi non solo tutti i componenti del computer in base alle vostre esigenze, ma anche il software a corredo. Adios.
La vera domanda è come abbiano potuto pensare che questa cosa non sarebbe mai saltata fuori, per il resto non sono affatto stupito.
Ho appena comperato un Lenovo e purtroppo il malware c'e! Sarà la prima e l'ultima volta. Grazie per la segnalazione.
Sono indignato.