Falla di sicurezza per Lenovo

0

I nuovi notebook di Lenovo hanno un grosso problema di sicurezza. La falla è localizzata in una programma pubblicitario definito Superfish Visual Discovery, che si occupa di trovare link pubblicitari analizzando il traffico dei siti visitati. Ma nocciolo della questione non è la sconveniente invadenza dei pop-up di un programma pubblicitario che non ci si aspetterebbe di trovare in una apparecchiatura nuova di zecca.

Il problema serio, invece, è che per potere analizzare a scopo pubblicitario anche il traffico sicuro https, questo programma – a tutti gli effetti uno spyware – utilizza una tecnica di hacking nota come man-in-the-middle. In parole povere, fa credere al browser di essere il sito legittimo, esibendo falsi certificati di sicurezza, ed intercettando tutto il traffico, compreso quello sensibile come quello che generiamo quando facciamo attività di pagamento e-commerce o di home banking.

Questo comportamento apre una voragine di sicurezza, dato che sfruttando questa tecnica a scopo malevolo un ignaro utente può essere tranquillamente rendirizzato su un sito tarocco, senza ricevere alcun tipo di segnalazione,  ed essere quindi indotto a ritenerlo affidabile.

Lenovo sino ad ora ha minimizzato la portata del fatto, che da più parti è considerato un grosso autogoal per quella che è, al momento, la più grande azienda produttrice di PC. Ha comunque messo in linea una pagina contenente sia le istruzioni per la rimozione, che un tool di disinstallazione: rimuovere superfish non è infatti una cosa banale.

Se avete acquistato un PC di queste famiglie negli ultimi mesi è consigliabile verificare se il SuperFish sia o no installato e, in caso positivo, rimuoverlo tempestivamente.

Ricordo che per verificare l’attendibilità di una connessione https è generalmente possibile cliccare sull’icona con il lucchetto, vicino all’indirizzo del sito, per avere tutte le informazioni necessarie. Se dovesse risultare che l’azienda che ha rilasciato il certificato sia ‘Superfish, inc’ significa che il sistema è ancora non sicuro così come la pagina che state visitando.

Ultima nota: dato che firefox utilizza un archivio di certificati autonomi e separati da quelli del sistema operativo, non è detto che sia interessato a questa debolezza. E’ però prudente verificare che nell’archivio delle certificate authority non compaia il certificato incriminato, seguendo le istruzioni presenti sulla pagina dell’azienda cinese.

foto di Kai Hendry

Condividi:

L'autore

Consulente Informatico, blogger, problem solver, radioamatore. Ho iniziato la mia attività nel 1977 sviluppando sistemi di calcolo nell'area energie alternative e rinnovabili e da allora mi sono sempre interressato delle frontiere della tecnologia. Nel 1984 sono stato fra i pionieri delle BBS, i primi servizi telematici pubblici, e l'anno successivo ho portato in Italia Fidonet, la prima rete pubblica mondiale, che ho coordinato sino al 1994. Sono attivamente su Internet agli inizi degli anni 90, Nel 1998 sono stato fra i primi a credere nella convergenza digitale, arricchendo internet con materiale multimediale, come audio e video, anni prima del Web 2.0. Continuo da sempre ad occuparmi di informatica e di tecnologia con un occhio attento al futuro che ci attende. Continuo a lavorare come consulente informatico, con una specifica competenza in sicurezza, reti di comunicazione, sistemi operativi e tecnologie di virtualizzazione.

Lascia un commento