Famosi siti di download usano adware come Superfish

L’incresciosa vicenda che ha visto coinvolta Lenovo (Fa discutere l’adware scoperto sui PC Lenovo) ha comunque permesso di accendere i riflettori su una tematica di cui, almeno sino ad oggi, si è parlato ben poco.
Com’è noto, su alcuni modelli di personal computer “consumer”, Lenovo (fino allo scorso gennaio) ha inserito Superfish, un adware presentato come uno strumento che dovrebbe migliorare l’esperienza sul web degli utenti ma che in realtà si rivela potenzialmente pericoloso. Superfish, infatti, installa sul sistema un certificato digitale root “autofirmato” che di fatto si sostituisce a quelli utilizzati sui vari siti HTTPS.

Gli sviluppatori di Superfish, anche se hanno dichiarato di non farlo, possono spiare tutte le comunicazioni crittografate sui siti web HTTPS rilevando e facendo proprie informazioni personali degli utenti. Si pensi alle credenziali per l’accesso ai siti di online banking, al sito web della carta di credito, a quelli dell’Agenzia delle Entrate, ai social network e così via. Installando un server proxy in locale ed il certificato digitale root, componenti come Superfish possono di fatto raccogliere una vastissima molte di dati sensibili.

Il problema, nel caso di Superfish, è che il certificato root usato dall’adware è stato addirittura “aperto”: se ne conosce la chiave privata e la password utilizzata a protezione: Lenovo: chiave privata e password di Superfish.
E questo è un gravissimo problema perché qualunque malintenzionato può a questo punto sferrare, molto semplicemente un attacco “man-in-the-middle” (MITM) e recuperare, in chiaro, le informazioni personali degli utenti che visitino qualunque pagina HTTPS.

Come se non bastasse, la situazione è ancora più complicata dal fatto che lo stesso identico certificato digitale root non è utilizzato solamente da Superfish ma anche da almeno una dozzina di programmi, alcuni dei quali abbastanza popolari: Superfish e Komodia: a rischio anche altri programmi.

Scandaloso: anche Download.com propone programmi che si comportano come Superfish

Nel nostro articolo Come scaricare programmi gratuiti senza virus e malware abbiamo visto come molti siti che propongono il download di software, distribuiscano tali programmi includendo componenti inutili che spesso si comportano quasi come spyware.

Nel caso di Download.com, ad esempio, allo stato attuale, almeno due dei dieci download più popolari (che hanno quindi fatto registrare il maggior numero di download) includono adware che si comportano come Superfish. Essi istallano cioè un certificato digitale che, insieme con un proxy attivato sul sistema dell’utente, permette di intercettare e leggere i dati veicolati attraverso l’utilizzo del protocollo HTTPS, su qualunque sito web.

Adware come Wajam, Geniusbox e Content Explorer, ad esempio, si comportano esattamente come Superfish. Qualora aveste scaricato alcuni software da Download.com, potreste avere inconsapevolmente installato, sul vostro sistema, anche dei componenti assolutamente superflui e potenzialmente pericolosi. Soprattutto se, durante l’installazione, si è fatto clic sui pulsante Avanti, Next, Accetto, I accept senza verificare quanto proposto a video.

Dopo aver installato adware che fanno uso di certificati digitali propri e di un proxy server locale, tutto il traffico dati HTTP e HTTPS passerà attraverso tale proxy locale. Col risultato che tutte le comunicazioni web sono automaticamente intercettate e spiate.

Come si vede nell’immagine, ad esempio, già nel caso dei siti di Google, cliccando sull’icona raffigurante il lucchetto verde, apparirà un certificato digitale che non è quello di Google. La connessione con i server Google viene infatti negoziata dal proxy server locale dell’adware che può così intercettare tutte le comunicazioni in atto.

Attenzione quindi a che cosa si scarica dalla Rete e da dove lo si preleva. Come ricordato nell’articolo Come scaricare programmi gratuiti senza virus e malware, IlSoftware.it rigetta le pratiche utilizzate da molti e famosi siti web che propongono il download gratuito di software (anche italiani) ed assicura che tutti i programmi presenti in area download vengono distribuiti come previsto dai singoli sviluppatori, senza l’aggiunta di installer di terze parti o componenti superflui.

Come controllare la presenza di certificati potenzialmente pericolosi

Oltre ad eseguire il test di Filippo Valsorda (vedere questa pagina), suggeriamo di effettuare una scansione con AdwCleaner e Malwarebytes Anti-Malware rimuovendo tutte le minacce eventualmente rilevate (Computer lento in seguito a virus e malware. Come scoprirlo e come risolvere).

Consigliamo poi di premere la combinazione di tasti Windows+R quindi scrivere certmgr.msc nella finestra Esegui.
Selezionando Autorità di certificazione radice attendibili si dovrà poi verificare l’eventuale presenza dei seguenti certificati (che dovranno essere immediatamente rimossi cliccandovi con il tasto destro del mouse quindi su Elimina):

- Superfish
- System Alerts, LLC
- Wajam
- WajaNEnhance
- Sendori
- Purelead
- Rocket Tab
- Lookthisup
- Pando
- WajaNEnhance
- DO_NOT_TRUSTFiddler_root
- CE_UmbrellaCert

Chissà, a questo punto, quali provvedimenti Google prenderà realmente nei confronti di quei siti che distribuiscono componenti potenzialmente dannosi, comunque irrispettosi dell’utente e della riservatezza delle connessioni HTTPS: Google blocca il download dei programmi inutili o dannosi.