Lenovo ha preinstallato malware sui suoi PC

Devastata la sicurezza degli utenti.



[ZEUS News - www.zeusnews.it - 21-02-2015]

superfish screenshot

Incredibile. Lenovo ha distribuito intenzionalmente dei PC Windows sui quali aveva preinstallato un software pubblicitario che iniettava pubblicità nei siti Web visitati dagli utenti e devastava la sicurezza della loro navigazione.

Il software, denominato Superfish, installa infatti falsi certificati digitali di sicurezza che gli permettono di intercettare i dati degli utenti anche quando viaggiano su connessioni protette cifrate, per esempio per effettuare transazioni bancarie o immettere password.

C'è di peggio: la chiave di cifratura di questi falsi certificati è la stessa per tutti gli esemplari di computer della Lenovo ed è nota (è basata sul nome dell'azienda che ha creato il software), per cui grazie a Superfish qualunque criminale informatico può creare falsi siti che si autenticano con HTTPS (il lucchetto chiuso, solitamente considerato garanzia di autenticità di un sito). I computer della Lenovo dotati di Superfish accetteranno questi siti come autentici invece di avvisare gli utenti che si tratta di trappole. Rubare le password di questi utenti diventa una passeggiata.

Non è finita: altre marche di computer potrebbero essere vulnerabili allo stesso modo perché altri software, per esempio alcuni sistemi di controllo parentale, usano lo stesso sistema di falsi certificati digitali.

Questo genere di comportamento si chiama in gergo man in the middle ("uomo in mezzo" o "intromissione", per usare una traduzione libera) ed è tipico del peggior malware. Il fatto che lo installi un'azienda molto nota come Lenovo non cambia i fatti: se inietta pubblicità come fa il malware, se falsifica certificati digitali come fa il malware, se intercetta i contenuti delle navigazioni personali come fa il malware, se rende vulnerabili gli utenti come fa il malware, allora è malware, tant'è vero che alcuni antivirus lo segnalano, sia pure chiamandolo "adware" per evitare di accusare Lenovo di crimini informatici e quindi esporsi a liti legali.

Lenovo si è scusata, ha dichiarato di aver smesso di preinstallare Superfish a gennaio 2015 e di aver disabilitato Superfish sui suoi computer in vendita; ha inoltre pubblicato l'elenco dei modelli coinvolti (esclusivamente laptop), ribadendo che l'utente può rifiutare Superfish durante l'attivazione iniziale del computer e offrendo istruzioni per rimuovere Superfish e il suo falso certificato di sicurezza.

Il problema, ovviamente, è che molti acquirenti di computer di questa marca non verranno a sapere che esiste questa vulnerabilità e comunque non saranno in grado di seguire le complesse istruzioni di rimozione (descritte in dettaglio da Ars Technica) o di reinstallare da capo una copia pulita di Windows.

Sondaggio
Pericolosi malware per computer come Uroburos, spyware su smartphone Android e un numero costantemente in crescita di casi di malware con attacchi a dispositivi mobili. Quale di queste previsioni ti sembra più attendibile?
I "Quantified Self Data" sono protetti in modo inadeguato. - 8.8%
Multi-target malware: door-openers nei computer aziendali. - 8.4%
Più dispositivi mobili con malware pre-installato. - 27.7%
Nuovo record per i Trojan bancari. - 17.8%
Adware sempre sulla breccia. - 10.2%
Spyware in aumento. - 27.0%
  Voti totali: 488
 
Leggi i commenti

Alcuni esperti di sicurezza informatica hanno già predisposto siti di test (per esempio Filippo.io o Canibesuperphished) che permettono agli acquirenti di computer Lenovo (e anche di altre marche) di sapere se sono vulnerabili o no a questo problema. Il test vale solo per Internet Explorer o Chrome (non per Firefox) e va effettuato con ciascuno dei browser installati. I primi risultati di questi siti di test indicano che circa il 10% degli utenti che effettuano il test risulta essere affetto da Superfish.

Molti si chiederanno cosa possa spingere una grande marca come Lenovo a installare software che mina alla base la sicurezza dei suoi clienti e rovina la reputazione dell'azienda.

La spiegazione più probabile è puramente economica: i margini di profitto su prodotti generici come i personal computer Windows per uso privato sono bassissimi e la concorrenza è spietata, per cui molti produttori (non solo Lenovo) si fanno pagare da società di marketing per preinstallare software pubblicitario.

Lenovo ha dichiarato che il suo intento era di "aiutare i clienti a scoprire potenzialmente dei prodotti interessanti durante lo shopping" e che "il rapporto con Superfish non è finanziariamente significativo", ma i dati tecnici rendono poco credibili queste giustificazioni.

Ti invitiamo a leggere la pagina successiva di questo articolo:
Superfish, la risposta di Lenovo

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con Zeus News ti consigliamo di iscriverti alla Newsletter gratuita. Inoltre puoi consigliare l'articolo utilizzando uno dei pulsanti qui sotto, inserire un commento (anche anonimo) o segnalare un refuso.
 

Paolo Attivissimo

(C) by Paolo Attivissimo - www.attivissimo.net.
Distribuzione libera, purché sia inclusa la presente dicitura.

Approfondimenti
Malware nei portatili Lenovo, utenti risarciti con 7,3 milioni di dollari

Commenti all'articolo (ultimi 5 di 23)

Dopo essersi fatti beccare con le mani nella marmellata ora stanno facendo arrampicate sugli specchi che neanche le mosche ci riescono... Ok, una class action, forse, non sarà fattibile ma smettere di comprare qualsiasi oggetto marcato lenovo sì e allora cominciamo da questo! :twisted: p.s. no ho mai acquistato nulla marcato lenovo e... Leggi tutto
28-2-2015 15:51

Nel senso che sul mio non c'era nessuna procedura per creare il supporto di ripristino creata dalla Asus, dunque ho semplicemente usato l'utilità di windows 8. Quella che ti crea l'immagine del pc diciamo. Grazie del link, dovesse servire per reistallare da zero lo provo. :wink: Il programmino per recuperare il product key l'ho usato... Leggi tutto
23-2-2015 17:22

Com'è che quando sbagliamo noi paghiamo e quando sbagliano aziende, banche, stati, ecc., se la cavano con un "ci scusiamo"? :twisted: Devi pagare, altro che scusarti! Oppure me lo ripristini senza malware a tue spese e venendo a prenderlo a casa mia! Che mondo di *beeeeep*! :twisted: Leggi tutto
23-2-2015 17:00

@Maary79 Non è proprio esatto cosa?! :? Il supporto di ripristino di Windows serve a ripristinare Windows come quando è stato acquistato, e se c'era software spazzatura continuerà ad esserci anche dopo il ripristino. Diverso è fare un'installazione usando il dvd originale di Microsoft: qui puoi trovare solo le backdoor di Microsoft, non... Leggi tutto
23-2-2015 15:46

{TheGray}
Dire che con linux sei vulnerabile a shellshock ed hearthbleed è un pò come dire che su windows sei vulnerabile a Sasser e Blaster...
23-2-2015 14:31

La liberta' di parola e' un diritto inviolabile, ma nei forum di Zeus News vige un regolamento che impone delle restrizioni e che l'utente e' tenuto a rispettare. I moderatori si riservano il diritto di cancellare o modificare i commenti inseriti dagli utenti, senza dover fornire giustificazione alcuna. Gli utenti non registrati al forum inoltre sono sottoposti a moderazione preventiva. La responsabilita' dei commenti ricade esclusivamente sui rispettivi autori. I principali consigli: rimani sempre in argomento; evita commenti offensivi, volgari, violenti o che inneggiano all'illegalita'; non inserire dati personali, link inutili o spam in generale.
E' VIETATA la riproduzione dei testi e delle immagini senza l'espressa autorizzazione scritta di Zeus News. Tutti i marchi e i marchi registrati citati sono di proprietà delle rispettive società. Informativa sulla privacy. I tuoi suggerimenti sono di vitale importanza per Zeus News. Contatta la redazione e contribuisci anche tu a migliorare il sito: pubblicheremo sui forum le lettere piu' interessanti.
Sondaggio
Una ricerca dell'Università di Lund (Svezia) mostra che avere un bambino costa al Pianeta l'emissione di 58,6 tonnellate di CO2 l'anno. In proporzione, si tenga conto che non avere l'auto fa risparmiare 2,4 tonnellate di CO2, l'essere vegani 0,8 tonnellate ed evitare un viaggio aereo 1,6 tonnellate. Lo studio conclude che una famiglia che sceglie di avere un bambino in meno contribuisce alla riduzione di emissioni di CO2 quanto 684 teenager che decidono di adottare un comportamento ecologista per il resto della vita. Cosa ne pensi?
È corretto. Farò meno figli.
Sono pazzi questi svedesi.

Mostra i risultati (1366 voti)
Dicembre 2021
Perché Intel accumula hardware obsoleto in Costa Rica?
Antitrust, 30 aziende contro Microsoft per colpa di OneDrive
Novembre 2021
L'app va in crash, e la Tesla non parte più
La Rete telefonica italiana agli americani di KKR
Se il furgone di Amazon ti tampona... la colpa è di Amazon!
Il Blue Screen of Death... ritorna blu
MediaWorld sotto attacco ransomware: hacker vogliono 200 milioni in bitcoin
SPID con le Poste, il riconoscimento adesso si paga
Facebook rinuncia ufficialmente al riconoscimento facciale
Ottobre 2021
Il Nobel ad Assange
Windows 11, finalmente si possono eseguire anche le app Android
FreeOffice 2021, la suite gratuita compatibile con Microsoft Office
Apple presenta i MacBook Pro con il notch
UE, addio all'anonimato per i domini Internet
Windows 11 è disponibile. Ecco come installarlo anche senza TPM
Tutti gli Arretrati
Accadde oggi - 6 dicembre


web metrics