Em 19 de fevereiro de 2015, soube-se que os laptops da Lenovo foram enviados com um adware chamado Superfish pré-instalado. Existem dois problemas principais com este problema.
O primeiro é que o fabricante do hardware vinha enviando laptops para consumidores com um adware pré-instalado por vários meses – de setembro de 2014 até fevereiro de 2015.
Outro problema está relacionado ao comportamento do Superfish. Sua capacidade de produzir certificados autoassinados possivelmente permite que uma terceira pessoa mal-intencionada intercepte conexões SSL / TLS ou, para simplificar, sessões de navegador da web para links “https” .
Agora, vamos dar uma olhada no último problema observando o comportamento real do Superfish.
Abaixo está uma captura de tela de um site de banco online, acessado via Internet Explorer, de um PC limpo sem o adware. Ao clicar no ícone de cadeado, são apresentadas as informações do certificado SSL:
O certificado SSL é emitido pela Autoridade de Certificação (CA) para garantir a propriedade do site. Nesse caso, a VeriSign é o emissor do certificado que garante a identidade de “Japan xxxx BANK Co, Ltd.” O certificado também é usado para criptografar um ID de usuário ou uma senha em uma sessão criptografada. A segurança de uma conexão é garantida desta forma.
A próxima imagem é do mesmo site. Mas desta vez ele é acessado via Internet Explorer de um PC infectado com Superfish. Seu certificado SSL agora mostra “Superfish” como emissor em vez de “VeriSign”.
Qual é a causa dessa mudança? Superfish tem seu próprio CA em seu software. Isso torna possível sequestrar a sessão da web de um usuário, gerar um certificado autoassinado e estabelecer uma conexão SSL usando-o. Infelizmente, os navegadores da web tratam o certificado gerado pelo Superfish como legítimo. Portanto, o CA agora é Superfish, não VeriSign.
Além disso, uma chave privada para gerar um certificado está incluída no software e disponível para quem quiser. A senha da chave também foi revelada na internet . Com o par chave-senha, alguém com intenções maliciosas poderia interceptar os dados transmitidos por meio da conexão criptografada ou injetar código malicioso nela. O pior cenário possível neste caso é o roubo de dados de uma sessão da web com um site de banco online.
Os usuários de laptops Lenovo com Superfish são fortemente encorajados a excluir o software denominado “Superfish Inc. Visual Discovery” (do Painel de Controle do Windows) e o certificado do Superfish (da lista de Autoridades de Certificação de Raiz Confiável).
A Lenovo está oferecendo a Ferramenta de Remoção Automática para Superfish em seu Aviso de Segurança (LEN-2015-101).
