Alcuni notebook Lenovo sono venduti con un programma adware preinstallato che espone gli utenti a seri rischi di sicurezza. Il software in questione, Superfish Visual Discovery, è studiato per inserire pubblicità tra i risultati delle ricerche su altri siti, compreso Google.

Sembra impossibile visto che Google e altri motori di ricerca usano il protocollo HTTPS (HTTP Secure), con il risultato che le connessioni tra essi e i browser degli utenti sono cifrate e non possono essere manipolate per inserire contenuti dall’esterno. Proprio per superare questo ostacolo, Superfish installa nel contenitore di certificati di Windows un certificato root autogenerato e agisce come un proxy, firmando tutti i certificati presentati dai siti HTPPS e facendo così credere ai browser che si tratta di certificati autentici.

Questo approccio non è certo nuovo (lo si utilizza anche a livello corporate per intercettare comunicazioni HTPPS), ma secondo Chris Palmer, un responsabile della sicurezza di Google Chrome che ha approfondito la questione, il problema è che Superfish utilizza lo stesso certificato root con la stessa chiave RSA su tutte le installazioni. Per di più la chiave RSA è a 1024 bit, valore considerato oggi insicuro visti i costanti miglioramenti nella potenza di calcolo computazionale.

La dismissione di certificati SSL con chiavi a 1024 bit è cominciata diversi anni fa e il processo si è ulteriormente accelerato in tempi recenti. Nel gennaio del 2011 lo U.S. National Institute of Standards and Technology sosteneva che dopo il 2013 le firme digitali basate su chiavi RSA a 1024 bit sarebbero dovute essere escluse.

Il software preinstallato è sempre fonte di preoccupazione perché è difficile per un acquirente sapere cosa faccia esattamente un determinato programma

Se dei malintenzionati ottengono la chiave RSA per il certificato root, potrebbero lanciare un attacco man in the middle per l’intercettazione del traffico contro qualsiasi utente che ha l’applicazione installata. Un altro problema è che anche disinstallando Superfish, il certificato root creato rimane comunque; questo significa che gli utenti colpiti dovranno cancellarlo manualmente per essere davvero protetti.

Come magra consolazione c’è comunque da precisare che Superfish è stato preinstallato su un numero ridotto di PC Lenovo, ma al momento non si conoscono i modelli esatti, anche se la compagnia sta investigando sull’accaduto e sulle preoccupazioni legate a Superfish. Sembra però che tutto ciò stia andando avanti da tempo, visto che alcuni rapporti riguardanti Superfish sul forum della community di Lenovo risalgono al settembre dello scorso anno.

“Il software preinstallato è sempre fonte di preoccupazione perché è difficile per un acquirente sapere cosa faccia esattamente un determinato programma o se, cancellandolo, si rischi di andare incontro a eventuali problemi” scrive in una email Chris Boyd, analista di intelligence di Malwarebytes.

Boyd consiglia agli utenti che si ritrovano Superfish sul loro PC di disinstallarlo, di digitare certmgr.msc nella barra di ricerca di Windows, di aprire il programma e di rimuovere da lì il certificato root di Superfish.

“Con acquirenti sempre più informati su sicurezza e privacy, i produttori di notebook e smartphone rischiano di farsi del male da soli puntando su strategie di monetizzazione pubblicitaria ormai datate” conclude Ken Westin, analista di sicurezza di Tripwire.