Lenovo, bloatware con vulnerabilità

La corporation cinese colta a distribuire laptop con un controverso software installato di default. Quel che è peggio, potenzialmente pericoloso per la sicurezza del sistema. Proprio mentre BSA dimostra la correlazione tra software pirata e rischi per l'utente

Roma – I laptop Lenovo venduti nei mesi passati includono un bloatware potenzialmente pericoloso, dicono alcuni report, un software pensato per scopi pubblicitari che però “infetta” il sistema con un meccanismo di firma digitale dei certificati sfruttabile per compiere azioni malevole. Una prospettiva esclusa da Lenovo stessa in un comunicato .

Superfish, questo il nome del software installato da Lenovo sui propri computer portatili, è un noto adware che interagisce con le ricerche Web dell’utente mostrando su schermo messaggi pubblicitari contestuali. Una soluzione con cui il maggior produttore di PC al mondo “monetizza” i laptop consumer, senza richiedere alcuna autorizzazione all’utente prima di mostrare pop-up pubblicitari sullo schermo.

La presenza di Superfish sui laptop Lenovo è emersa nei mesi scorsi, con gli acquirenti che hanno usato i forum ufficiali della corporation per lamentarsi dell’advertising non richiesto su PC nuovi di fabbrica. Lenovo ha risposto sostenendo di aver cessato l’installazione di Superfish dai propri sistemi fin dal mese di gennaio, e di aver di fatto sospeso il suo funzionamento sui sistemi precedentemente venduti: non si sarebbero rilevati problemi si sicurezza, ma si sarebbe semplicemente reagito alle apprensioni mostrate dagli utenti rispetto al software di terze parti.

A creare preoccupazioni presso l’utenza è il modo in cui Superfish interagisce con le ricerche Web, vale a dire servendosi di certificati crittografici (SSL) auto-firmati da una “certificate authority” installata sul sistema: si tratta a tutti gli effetti di certificati fasulli non rilasciati da alcuna autorità terza, e il meccanismo è potenzialmente sfruttabile per generare nuovi certificati falsi da usare per azioni malevole.

Il mondo dei computer portatili di marca è da tempo costretto a convivere con bloatware, crapware e backdoor installati nel BIOS/firmware di sistema ( Absolute Computrace ) a volte spiegate come misure di sicurezza, ma per BSA (Business Software Alliance) il problema principale della sicurezza IT continua a essere il software senza licenza: la correlazione tra programmi pirata e le infezioni da malware è “forte e consistente”, sostiene BSA . La correlazione tra il software preinstallato e i rischi a cui è esposto l’utente è ancora da provare.

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Fabrizio scrive:
    Siri server NSA
    Vi scandalizzate per così poco,C'è ben peggio basta pensare Siri delle iphone anche quest'applicazione manda i campioni ai server di Apple scusate dicevo qui della NSA.
  • Uom scrive:
    Smart TV Samsung, è finita
    È finita! :|Portagliela su. :-o
  • prova123 scrive:
    Ma nooooooo....
    chi l'avrebbe mai detto ... spero almeno che chi usa la smartTV di qualsiasi marca l'abbia pagata zero ed abbia ricevuto almeno 100 euro al mese per il suo utilizzo ... ovviamente il costo dei film deve essere zero. In questo caso la situazione si potrebbe considerare ancora tollerabile, io perdo consapevolmente un pò di privacy, ma a fine anno ho guadagnato un migliaio di euro.
  • Jack scrive:
    SSL e spyware
    Secondo me il fatto che la comunicazione sia in chiaro, non criptata, in questo caso, potrebbe non essere così sbagliato: almeno possiamo sapere *COSA* viene inviato e in quale modo; se fosse criptato sapremmo che un blob di dati è stato inviato ma non avremmo la certezza che si tratta solo del pacchetto audio e non, che so io, l'elenco dei file presenti sul disco USB connesso o l'elenco dei programmi TV guardati il giorno precedente.Il vecchio MSN Messenger usava un protocollo in chiaro per tutto tranne l'autenticazione della password: tutti potevano leggere ciò che viene scritto in chat. Skype usa tutti protocolli criptati anche per l'invio di testo: l'NSA sicuramente può decriptare lo stesso i messaggi, così come i sistemisti microsoft (ma probabilmente il mio provider no); ma chi mi garantisce che, un byte a messaggio, non venga inviato anche tutto il contenuto del mio disco C ed io non avrò mai le chiavi per poterlo scoprire?
    • Ethype scrive:
      Re: SSL e spyware
      - Scritto da: Jack
      Secondo me il fatto che la comunicazione sia in
      chiaro, non criptata, in questo caso, potrebbe
      non essere così sbagliato: almeno possiamo sapere
      *COSA* viene inviato e in quale modo; se fosse
      criptato sapremmo che un blob di dati è stato
      inviato ma non avremmo la certezza che si tratta
      solo del pacchetto audio e non, che so io,
      l'elenco dei file presenti sul disco USB connesso
      o l'elenco dei programmi TV guardati il giorno
      precedente.

      Il vecchio MSN Messenger usava un protocollo in
      chiaro per tutto tranne l'autenticazione della
      password: tutti potevano leggere ciò che viene
      scritto in chat. Skype usa tutti protocolli
      criptati anche per l'invio di testo: l'NSA
      sicuramente può decriptare lo stesso i messaggi,
      così come i sistemisti microsoft (ma
      probabilmente il mio provider no); ma chi mi
      garantisce che, un byte a messaggio, non venga
      inviato anche tutto il contenuto del mio disco C
      ed io non avrò mai le chiavi per poterlo
      scoprire?Morale?Meglio dare via tutti i propri dati in chiaro, perché c'è il rischio che li mandino quando sono criptati? Mi pare un volo pindarico...
      • Jack scrive:
        Re: SSL e spyware
        - Scritto da: Ethype
        Morale?
        Meglio dare via tutti i propri dati in chiaro,
        perché c'è il rischio che li mandino quando sono
        criptati? Mi pare un volo pindarico...No, dico solo che in questo caso so per certo *quali* dati sono rubati, mentre se fossero criptati potrebbero essere anche di più.ovviamente se nessun dato venisse "telefonato a casa" sarebbe meglio.Tra l'altro, perché dovrei "trustare" di più samsung (o apple nel caso di siri, o microsoft nel caso di cortana) rispetto al sistemista di telecom, british telecom o level3 che la notte si annoia e legge ciò che viene detto al televisore dalla gente?
        • 777694 scrive:
          Re: SSL e spyware
          - Scritto da: Jack
          - Scritto da: Ethype

          Morale?

          Meglio dare via tutti i propri dati in chiaro,

          perché c'è il rischio che li mandino quando sono

          criptati? Mi pare un volo pindarico...

          No, dico solo che in questo caso so per certo
          *quali* dati sono rubati, mentre se fossero
          criptati potrebbero essere anche di
          più.

          ovviamente se nessun dato venisse "telefonato a
          casa" sarebbe meglio.

          Tra l'altro, perché dovrei "trustare" di più
          samsung (o apple nel caso di siri, o microsoft
          nel caso di cortana) rispetto al sistemista di
          telecom, british telecom o level3 che la notte si
          annoia e legge ciò che viene detto al televisore
          dalla gente?Pretendere i sorgenti è l'unica soluzione.
  • bubba scrive:
    crypto e' un false flag
    una volta che 'siamo al sicuro con le sessioni ssl e payload crittografati', il crapware samsung sara' piu' scomodo da individuare e decodificare cosa fa' .... quello di cui ci frega e' proprio quello che fa o non fa' invece... e magari manipolarlo for fun & co o spegnerlo del tutto.
  • ... scrive:
    progettati con particolare attenzione
    "i nostri prodotti sono progettati con particolare attenzione rispetto alla privacy"[IMG]http://i.imgur.com/PqokEtc.jpg[/IMG][IMG]http://i.imgur.com/g3hG7wv.jpg[/IMG][IMG]http://i.imgur.com/Surx3GS.jpg[/IMG][IMG]http://i.imgur.com/poVM2A2.jpg[/IMG][IMG]http://i.imgur.com/tZabz83.jpg[/IMG][IMG]http://i.imgur.com/PUyl9pq.jpg[/IMG]
Chiudi i commenti