I computer Lenovo hanno un guaio

Un software preinstallato su decine di modelli a scopo pubblicitario ha messo a rischio la riservatezza delle comunicazioni di milioni di persone, ma l'azienda minimizza

Lenovo, il più grande produttore di computer al mondo, negli ultimi giorni è stato accusato da diversi esperti di sicurezza informatica di avere preinstallato nei propri PC il software “Superfish” per la pubblicità, il cui funzionamento ha esposto i dati privati dei milioni di persone che utilizzano i suoi computer per navigare online. Il programma è stato distribuito su buona parte dei computer venduti da Lenovo tra settembre 2014 e gennaio 2015 ma l’azienda sostiene di non averlo inserito sui ThinkPad, la serie più conosciuta dei suoi portatili, molto diffusa soprattutto in ambito aziendale. Lenovo ha inoltre respinto buona parte delle accuse, dicendo di non avere riscontrato problemi particolari con “Superfish”, ma che per precauzione il software sarà comunque disattivato: ma ancora non è ancora chiaro come.

Superfish
Il software in questione è un “adware”, cioè un programma che contiene al suo interno pubblicità per indurre l’utente a fare acquisti. In pratica, quando si naviga online e il browser carica alcune immagini in un sito, Superfish si attiva e prova a identificare il contenuto delle immagini alla ricerca di eventuali prodotti al loro interno e creando infine un elenco di siti dove possono essere acquistati ottenendo sconti o promozioni di qualche tipo.

Il problema, dicono gli esperti di sicurezza che hanno analizzato il funzionamento di Superfish, è che il software in alcuni casi forza le connessioni criptate (con certificati SSL, quelle riconoscibili da “https” e l’icona di un lucchetto) di solito utilizzate per email, account dei social network e per l’accesso al proprio conto corrente online in modo da riuscire ad analizzare le immagini anche su quel tipo di collegamenti. Semplificando, il software identificava il sito con SSL su cui stava navigando l’utente, fingeva di essere quel sito ottenendo quindi informazioni non criptate dall’utente, ci aggiungeva la pubblicità e infine inviava tutto in forma criptata al vero sito con SSL. Questa pratica, teoricamente, consentiva però a utenti malintenzionati di ottenere informazioni riservate, come dati di accesso, password.

Computer
Nel suo comunicato stampa Lenovo ha diffuso un elenco dei computer su cui è installato Superfish.

G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30

Il software è stato distribuito in modo più diffuso a partire da settembre, quindi chi ha un computer Lenovo acquistato dallo scorso autunno a fine dicembre dovrebbe verificare la presenza di Superfish. C’è anche un sito che permette di controllare se Superfish è installato, mentre online si trovano diverse guide per rimuovere il programma.

Critiche
Lenovo sostiene che al momento del primo avvio dei suoi computer, all’utente veniva proposto se attivare o meno le funzioni di Superfish. La società sostiene anche di non avere mai ricevuto notizie di violazioni della sicurezza in seguito all’utilizzo di quel software. Lenovo dice anche di star lavorando a un aggiornamento che permetterà di rimuovere più facilmente Superfish dai computer, senza seguire istruzioni passo passo che richiedono comunque un minimo di conoscenze informatiche.

L’Electronic Frontier Foundation, una delle organizzazioni più grandi al mondo a difesa dei dati e della privacy di chi naviga online, ha definito “catastrofica” la scelta di Lenovo di distribuire Superfish sui suoi computer. Secondo EFF si è trattato di una pratica “irresponsabile e di totale abuso della fiducia degli utenti”.

Conseguenze
Per ora non è possibile dire con certezza se qualche proprietario di un computer Lenovo possa essere stato danneggiato direttamente dalla presenza di Superifsh. ll software sfruttava soprattutto i browser Internet Explorer di Microsoft e Chrome di Google, tra i più diffusi e utilizzati online. Il sistema SSL è ampiamente utilizzato per criptare lo scambio di dati sensibili su Internet e qualsiasi cosa che prova a comprometterlo può esporre gli utenti alla possibilità che le loro informazioni siano viste da altri, spesso con intenzioni non da filantropi.