Lenovo è senza ombra di dubbio una tra le principali aziende impegnate nella produzione di computer portatili. al fine di semplificare ulteriormente la vita dei suoi utenti e dunque con l’obiettivo di guadagnare ulteriore market share Lenovo ha provveduto ad installare su alcuni modelli dei suoi notebook (quelli venduti tra settembre 2014 e gennaio 2015) Superfish, un adware che dovrebbe essere utile a migliorare l’esperienza di shopping suggerendo i prodotti con i prezzi più bassi durante la navigazione online.
Stando tuttavia a quanto emerso nel corso delle ultime ore Superfish non funziona esattamente come dovrebbe. L’adware agisce infatti andando a mostrare popup nel browser e installando un falso certificato che potrebbe essere sfruttato per eseguire un attacco man-in-the-middle.
I ricercatori di sicurezza hanno infatti scoperto la password usata per proteggere il certificato ragion per cui se l’utente si collega ad un rete Wi-Fi pubblica qualsiasi malintenzionato con un minimo di competenza è potenzialmente in grado di intercettare il traffico web in quanto non più protetto dalla crittografia.
Essendo la faccenda tutt’altro che di poco conto in rete hanno cominciato a scatenarsi una pioggia di critiche nei confronti di Lenovo che dal canto suo ha dovuto ammettere le sue colpe provvedendo inoltre a scusarsi senza mezzi termini e a pubblicare le istruzioni per la rimozione dell’adware.
In Lenovo, cerchiamo sempre di dare la migliore esperienza d’utilizzo ai nostri clienti. Sappiamo che milioni di persone si affidano ai nostri dispositivi ogni giorno, ed è nostra responsabilità offrire qualità, affidabilità, innovazione e sicurezza a ogni nostro cliente. Proprio con l’obiettivo di migliorare l’esperienza dell’utente, avevamo pre-installato un software di terze parti, Superfish (con sede a Palo Alto, CA), in alcuni dei nostri notebook consumer: ritenevamo che potesse migliorare l’esperienza dello shopping online da parte dei nostri clienti, come previsto da Superfish. Questo non ha però soddisfatto le nostre aspettative o quelle dei nostri clienti. In realtà, abbiamo ricevuto lamentele da parte dei clienti su questo software. Abbiamo agito rapidamente e con decisione non appena questi problemi sono stati portati alla nostra attenzione. Ci scusiamo per avere causato qualsiasi tipo di preoccupazione agli utenti, e li assicuriamo che ci impegnamo sempre a imparare dall’esperienza e a migliorare ciò che facciamo e come lo facciamo.
Per verificare se il proprio notebook è infetto basta visitare la pagina creata da Filippo Valsorda. Per provvedere alla rimozione dell’adware e del certificato da Windows è sufficiente attenersi alle istruzioni pubblicate da Lenovo. Da notare che Mozilla Firefox, a differenza di Internet Explorer e Google Chrome, usa un proprio certificate store per cui è necessario cercare ed eliminare il certificato dall’interno del browser seguendo le apposite indicazioni.
[Photo Credits | 360b / Shutterstock.com]
Via | The Verge
