Superfish si muove ancora

Lo scandalo del bloatware installato sui portatili Lenovo si fa sempre più complesso: l'azienda e le autorità riconoscono il problema, l'industria reagisce e gli utenti avviano una class action. Superfish, invece, si scrolla di dosso ogni responsabilità

Roma – Se Lenovo era stata inizialmente restia a parlare di un problema sicurezza in merito a Superfish, l’adware installato su alcuni modelli di laptop consumer venduti dall’azienda, ora arriva lo US-CERT a togliere definitivamente ogni dubbio.

L’organizzazione USA anti-emergenze informatiche ha infatti classificato il bundle Superfish Visual Discovery come software contenente una vera e propria vulnerabilità di sicurezza, una Certificate Authority (CA) compromessa potenzialmente sfruttabile per intercettare tutto il traffico Web cifrato su protocollo HTTPS. Il bug potrebbe in teoria permettere a un malintenzionato di impersonare qualsiasi sito Web, avverte lo US-CERT, e quel che è peggio al momento soluzioni ufficiali al problema non ce ne sono.

Lenovo, nel frattempo, ha aggiornato la propria posizione su Superfish , fornendo un tool per l’eliminazione automatica dell’adware vulnerabile accanto alle istruzioni per la rimozione manuale già fornite nei giorni scorsi. Lenovo ammette finalmente che il bundle Superfish costituisce un rischio di sicurezza concreto per gli utenti, dicendo di essere al lavoro con McAfee e Microsoft per mettere in quarantena il certificato incriminato con le tecnologie migliori a disposizione nell’industria.

Tutto è bene quel che finisce bene? Neanche a parlarne: Windows Defender è stato aggiornato per identificare ed eliminare il rischio Superfish, ma non è detto che l’operazione di pulizia abbia sempre successo. Problematica è in tal senso la scoperta di certificati vulnerabili sui software di rete di Mozilla (Firefox e Thunderbird), che in teoria dovrebbe fare affidamento su un archivio di certificati separato da quello di Windows e che ora sta pensando di invalidare i certificati compromessi .

Superfish, da parte sua, nega le responsabilità nella diffusione della nuova minaccia alla sicurezza dei PC: il software è sicuro e le responsabilità della vulnerabilità sono imputabili a un’azienda di terze parti, dice il CEO della società: si tratta di una tecnologia (un “SSL hijacker” sviluppato da Komodia) che tra l’altro viene correntemente usata in più di una decina di programmi per computer , qualche malware e persino due utility di sicurezza o presunte tali .

Dopo un momento di incertezza iniziale, Lenovo dice ora avere a cuore la sicurezza dei suoi utenti e di aver imparato una lezione importante dal fattaccio di Superfish. C’è però chi potrebbe decidere di partecipare alla class action contro il colosso cinese in via di partenza negli USA .

Alfonso Maruccia

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • bubba scrive:
    addendum VERAMENTE gustoso
    http://motherboard.vice.com/read/everything-about-the-edward-snowden--citizenfour-lawsuit-is-batshit-crazyda sbellicarsi... specie il pezzo che il DVD, in quanto presentato come documento legale, diventa di pubblico dominio (e cryptome ha iniziato a spreadarlo di brutto... nonostante sia una bella provocazione. fosse DAVVERO digerita, farebbe diventare bianco obama e berlu monogamo)
  • Guybrush scrive:
    Per la redazione (post da cancellare)
    Salve, alla 4a riga c'è "fabbo carico", credo sia "fanno carico".GT
    • Passante scrive:
      Re: Per la redazione (post da cancellare)
      - Scritto da: Guybrush
      Salve, alla 4a riga c'è "fabbo carico", credo
      sia "fanno carico".

      GTNon potrebbe essere "fabbro carmico" o "fabbro comico" ?
    • Gaia Bottà scrive:
      Re: Per la redazione (post da cancellare)
      Grazie, sistemato!
  • bubba scrive:
    vai sul sito
    vai sul sito (disney/abc) e trovi subito :Trailers & ClipsClick "Share" to share this content on [Facebook]io li trovo sempre divertenti.... quelli che parlano di nsa,opsec,tecnocontrollo & co e per tentare di far rumore/organizzarsi/diffondere ecc, si fiondano su fakebook, g+, twitter. Poi un po di spam via whatsapp e ovviamente foto su instagram.E via, a guardare il calcio, sino al prossimo "scandalo".
  • bollito scrive:
    gomblotto
    è tutto un gomblotto, Snowden non esiste e soprattutto va bene così tanto io non ho niente da nascondere.
Chiudi i commenti