Superfish: l'adware dei computer Lenovo che rende vulnerabili i dati privati dell'utente

All'interno di un software installato nativamente su alcuni computer di Lenovo risiede una grave vulnerabilità di sistema che potrebbe consegnare a terzi il pieno accesso ai dati di navigazione, anche privati, dell'utente. Ad essere esposte password ed altre informazioni, appartenenti non solo ai social network o servizi del web, ma anche a conti bancari.

Superfish è un adware che Lenovo propone nativamente sui suoi più recenti computer, un add-on per browser che consente di analizzare automaticamente le immagini e mostrare prodotti simili proposti a prezzi più vantaggiosi. Un adware è un software che si auto-promuove attraverso l'uso di proposte pubblicitarie. È notoriamente un tipo di software invasivo ma non per forza nocivo, ma può essere drasticamente nociva la sua implementazione.

Ed è purtroppo questo il caso di Superfish: nei più recenti sistemi di Lenovo, primo produttore al mondo in termini di quote di mercato, Superfish ha accesso ai dati privati dell'utente per fini pubblicitari. L'adware si configura come "Root Certificate Authority" su Windows, ovvero ha gli stessi permessi del software nativo di Microsoft all'interno del sistema operativo. Creando dei certificati SSL ad-hoc, Superfish può infatti intercettare elementi anche all'interno delle connessioni sicure, analizzando anche i dati sensibili di quelle pagine che in realtà dovrebbero essere private.

L'esperto di sicurezza Kenn White ha mostrato un esempio di interazione di Superfish, con un certificato emesso da Superfish a Bank of America, in cui Superfish si palesa come una Root Certificate Authority quando in realtà non dovrebbe esserlo. E non dovrebbe esserlo proprio per la natura stessa del programma, un adware in grado di analizzare gli elementi di una pagina, tracciare le abitudini degli utenti e inviare i risultati a server terzi. Il tutto, pertanto, avviene anche su pagine sicure, in cui introduciamo password e dettagli personali della nostra vita privata.

Accedendo ai dati del software, utenti terzi potrebbero ottenere con facilità anche informazioni che vengono gestite da connessioni sicure, come ad esempio le credenziali del nostro conto bancario o dei nostri account sui social. Questo potrebbe avvenire con la realizzazione di certificati sviluppati ad-hoc per essere accettati dai computer Lenovo, o con malware sviluppato appositamente che i sistemi del produttore cinese potrebbe considerare software affidabile.

Lenovo ha rimosso Superfish per alcune settimane nel mese di gennaio, pur difendendo la scelta di averlo introdotto nei propri computer. Secondo il produttore, l'adware non profila l'utente né ne traccia le abitudini e richiede l'abilitazione dell'add-on al primo avvio della macchina. Tuttavia, alcuni utenti hanno scoperto che anche dopo la disinstallazione, sul computer restano ancora i certificati di root installati.

Superfish può rappresentare un problema se si naviga su Chrome o Internet Explorer, mentre gli utenti Firefox possono considerarsi al sicuro. Il browser di Mozilla utilizza infatti un Certificate Store proprietario su cui Superfish non può intervenire. Negli altri casi, è bene disinstallare l'adware ed effettuare una scansione con un anti-virus aggiornato per mantenersi al sicuro da eventuali minacce esterne.