Lenovo ammette le sue colpe e rilascia un tool per la rimozione automatica di Superfish

Lenovo ha ammesso di aver commesso un errore nel caso Superfish, installando su alcune famiglie dei propri computer portatili quell'ad-ware che poi si è rivelato tracciare dati ed azioni di alcuni degli utenti. Peter Hortensius, CTO del produttore cinese, ha ammesso l'errore, ma ha anche informato i clienti riguardo al rilascio di un tool automatizzato per la rimozione di Superfish e di tutte le tracce che l'ad-ware lascia sul sistema anche dopo la disinstallazione.

Superfish è un caso che ha segnato lo scorso fine settimana: si tratta di un servizio di terze parti pre-installato sui computer Lenovo che monitorava le abitudini degli utenti di un determinato PC al fine di mostrare loro i migliori prezzi sul web riguardo ai prodotti visualizzati recentemente. Lo stesso ad-ware, tuttavia, si configurava come Rooth Certificate Authority, con l'obiettivo di intercettare dati privati provenienti dalle connessioni sicure di banche o altri servizi contenenti informazioni sensibili dell'utente.

È naturale che un servizio di siffatta natura con permessi così capillari potesse rappresentare un serio pericolo per la privacy dell'utente, compromettendo non solo la sicurezza delle password dei vari account utilizzati su internet, ma anche le credenziali di accesso a conti bancari o servizi finanziari online. Hortensius ha ammesso durante un'intervista con Re/code che intorno alla scelta di implementare Superfish vi sono state motivazioni economiche, ma ha specificato anche che l'apporto in termini di fatturato ottenuto da Superfish è stato di scarsa entità.

Il produttore non è riuscito a individuare la grave vulnerabilità di Superfish durante i processi di "engineering review", ma sta cercando di fare il possibile informando gli utenti con tutorial appositi, e rilasciando un nuovo tool per la rimozione automatica attuabile anche dagli utenti meno scafati. Quest'ultimo non solo disinstalla l'applicazione dal sistema "infetto", ma elimina anche ogni traccia dei certificati installati nei browser vulnerabili, ad esempio Chrome e Internet Explorer.

L'eseguibile dell'Automatic Removal Tool ufficiale di Lenovo può essere scaricato a questo indirizzo, mentre tutte le istruzioni per attuare le procedure per la disinstallazione manuale sono in questa pagina.