Lenovo: chiave privata e password di Superfish

Non accennano a placarsi le polemiche intorno alla decisione di Lenovo di includere un adware nei computer “consumer” venduti fino allo scorso mese di gennaio. Nonostante i chiarimenti fatti pervenire dalla società (che abbiamo pubblicato nell’articolo Fa discutere l’adware scoperto sui PC Lenovo), dell’adware Superfish si parla ancora molto.
Sebbene Lenovo abbia provato a gettare acqua sul fuoco, a destare particolare preoccupazione è il certificato root installato dall’adware sul personal computer.

Robert David Graham, ricercatore di Errata Security, ha spiegato di aver estratto il certificato digitale utilizzato da Superfish e ne ha pubblicato anche la chiave privata e la password utilizzata a protezione (vedere questo post).

Cosa significa? Che gli utenti che ancora hanno installato sul proprio sistema il certificato digitale di Superfish (Certificato di protezione del sito web: cosa fare quando c’è un problema) diventano di fatto direttamente esposti a rischi di attacco “man-in-the-middle“. Un aggressore, cioè, avendo a disposizione “le chiavi” per decodificare le comunicazioni cifrate (bastano le informazioni pubblicate da Graham), può leggere tutte le comunicazioni veicolate sul web dall’utente utilizzando il protocollo HTTPS.

La password utilizzata a protezione del certificato digitale “auto-emesso” da Superfish è banale ed allo stesso tempo interessante: “komodia“.
Graham evidenzia come Komodia sia una società che produce e distribuisce un “redirector SSL” che si comporta esattamente come l’adware Superfish. Il prodotto viene presentato come uno strumento per la sicurezza, utile per spiare ad esempio le attività online dei propri figli. Il sito web di Komodia, al momento irraggiungibile per l’elevato traffico ingenatosi tra gli utenti in seguito alle indagini di Graham e degli altri ricercatori, spiega bene ciò che lo stesso Superfish potrebbe essere in grado di fare.

Controllare che il certificato digitale di Superfish non sia presente sul sistema

L’italiano Filippo Valsorda ha appena pubblicato un test online per verificare l’eventuale presenza, sul proprio sistema, del certificato digitale root caricato da Superfish.

Per rimuovere il certificato digitale di Superfish si dovrà premere la combinazione di tasti Windows+R quindi scrivere certmgr.msc nella finestra Esegui.
Selezionando Autorità di certificazione radice attendibili si dovrà poi cliccare con il tasto destro del mouse sul certificato root di Superfish e rimuoverlo manualmente.

L’ulteriore chiarimento di Lenovo

Lenovo ci ha nuovamente contattato per informarci circa la pubblicazione di una guida passo-passo per l’eliminazione di Superfish.
Le istruzioni preparate da Lenovo sono pubblicate a questo indirizzo.

L’azienda cinese ricorda poi l’elenco dei prodotti sui quali potrebbe essere stato inserito l’adware Superfish:

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Lenovo ha poi voluto precisare che il software Superfish non è mai stato installato su qualsiasi notebook ThinkPad, né sui desktop Lenovo né sugli smartphone né su qualsivoglia prodotto Lenovo di tipo enterprise – server o storage -. In ogni caso l’azienda conferma di aver abbandonato completamente Superfish.

[Aggiornamento]: Microsoft ha fatto presente di aver aggiornato il suo Windows Defender in modo tale da riconoscere ed eliminare Superfish.

[Aggiornamento del 21/02]: Lenovo ha appena rilasciato uno strumento software per l’eliminazione automatica di Superfish.