5917 Letture

Lenovo: chiave privata e password di Superfish

Non accennano a placarsi le polemiche intorno alla decisione di Lenovo di includere un adware nei computer "consumer" venduti fino allo scorso mese di gennaio. Nonostante i chiarimenti fatti pervenire dalla società (che abbiamo pubblicato nell'articolo Fa discutere l'adware scoperto sui PC Lenovo), dell'adware Superfish si parla ancora molto.
Sebbene Lenovo abbia provato a gettare acqua sul fuoco, a destare particolare preoccupazione è il certificato root installato dall'adware sul personal computer.

Robert David Graham, ricercatore di Errata Security, ha spiegato di aver estratto il certificato digitale utilizzato da Superfish e ne ha pubblicato anche la chiave privata e la password utilizzata a protezione (vedere questo post).


Cosa significa? Che gli utenti che ancora hanno installato sul proprio sistema il certificato digitale di Superfish (Certificato di protezione del sito web: cosa fare quando c'è un problema) diventano di fatto direttamente esposti a rischi di attacco "man-in-the-middle". Un aggressore, cioè, avendo a disposizione "le chiavi" per decodificare le comunicazioni cifrate (bastano le informazioni pubblicate da Graham), può leggere tutte le comunicazioni veicolate sul web dall'utente utilizzando il protocollo HTTPS.

La password utilizzata a protezione del certificato digitale "auto-emesso" da Superfish è banale ed allo stesso tempo interessante: "komodia".
Graham evidenzia come Komodia sia una società che produce e distribuisce un "redirector SSL" che si comporta esattamente come l'adware Superfish. Il prodotto viene presentato come uno strumento per la sicurezza, utile per spiare ad esempio le attività online dei propri figli. Il sito web di Komodia, al momento irraggiungibile per l'elevato traffico ingenatosi tra gli utenti in seguito alle indagini di Graham e degli altri ricercatori, spiega bene ciò che lo stesso Superfish potrebbe essere in grado di fare.


Controllare che il certificato digitale di Superfish non sia presente sul sistema

L'italiano Filippo Valsorda ha appena pubblicato un test online per verificare l'eventuale presenza, sul proprio sistema, del certificato digitale root caricato da Superfish.

Per rimuovere il certificato digitale di Superfish si dovrà premere la combinazione di tasti Windows+R quindi scrivere certmgr.msc nella finestra Esegui.
Selezionando Autorità di certificazione radice attendibili si dovrà poi cliccare con il tasto destro del mouse sul certificato root di Superfish e rimuoverlo manualmente.

L'ulteriore chiarimento di Lenovo

Lenovo ci ha nuovamente contattato per informarci circa la pubblicazione di una guida passo-passo per l'eliminazione di Superfish.
Le istruzioni preparate da Lenovo sono pubblicate a questo indirizzo.

L'azienda cinese ricorda poi l'elenco dei prodotti sui quali potrebbe essere stato inserito l'adware Superfish:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30


Lenovo ha poi voluto precisare che il software Superfish non è mai stato installato su qualsiasi notebook ThinkPad, né sui desktop Lenovo né sugli smartphone né su qualsivoglia prodotto Lenovo di tipo enterprise - server o storage -. In ogni caso l'azienda conferma di aver abbandonato completamente Superfish.


[Aggiornamento]: Microsoft ha fatto presente di aver aggiornato il suo Windows Defender in modo tale da riconoscere ed eliminare Superfish.

[Aggiornamento del 21/02]: Lenovo ha appena rilasciato uno strumento software per l'eliminazione automatica di Superfish.

  1. Avatar
    Michele Nasi
    21/02/2015 22:55:10
    Ho appena aggiunto anche il link al tool di rimozione appena pubblicato online da Lenovo.
  2. Avatar
    Michele Nasi
    21/02/2015 16:26:58
    Claudio scusami ma è scritto nell'articolo :wink: La news che hai commentato è già un aggiornamento rispetto a quella inizialmente pubblicata... Per quanto riguarda il tuo primo intervento, ancora, leggi le dichiarazioni di Lenovo in questo articolo e nel precedente. Credo proprio che l'azienda, dopo il putiferio ingeneratosi, si asterrà dal replicare iniziative similari...
  3. Avatar
    [Claudio]
    21/02/2015 15:48:14
    Comunque, alla "questione Lenovo" si aggiunge un nuovo interessante capitolo:
    Citazione: It turns out the vulnerability is easier to exploit than previously known. A security researcher published new findings showing that a malicious hacker doesn't need the easily-extracted Superfish private key to perform a man-in-the-middle attack on PCs that have the Komodia proxy installed. That's because the proxy will re-sign invalid certs and make them appear valid to the browser.
    VEDI QUI e VEDI QUI.
  4. Avatar
    [Claudio]
    21/02/2015 12:53:44
    Una banale domanda (a parte il fatto che, anche se questo problema è ora ampiamente pubblicizzato, molti utenti consumer non ne verranno a conoscenza): cosa accade all'utente che oggi bonifica, rimuovendo Superfish, il proprio computer e, domani reinstalla dalla partizione dedicata, il sistema alle condizioni di fabbrica?. Per il resto, Lenovo può dire (e giustificarsi) ciò che gli pare: non ne esce bene (c'è solo da augurarsi l'attivazione di una class action e richiesta di risarcimento danni da parte di tutti gli utenti coinvolti). Resterebbe in sospeso una questione: il problema (attualmente) riguarderebbe esclusivamente i prodotti PC .... chi garantisce che, anche su prodotti smartphone e tablet, Lenovo non abbia, furbescamente, installato adware?.
Lenovo: chiave privata e password di Superfish - IlSoftware.it