Superfish si muove ancora

Lo scandalo del bloatware installato sui portatili Lenovo si fa sempre più complesso: l'azienda e le autorità riconoscono il problema, l'industria reagisce e gli utenti avviano una class action. Superfish, invece, si scrolla di dosso ogni responsabilità
Lo scandalo del bloatware installato sui portatili Lenovo si fa sempre più complesso: l'azienda e le autorità riconoscono il problema, l'industria reagisce e gli utenti avviano una class action. Superfish, invece, si scrolla di dosso ogni responsabilità

Se Lenovo era stata inizialmente restia a parlare di un problema sicurezza in merito a Superfish, l’adware installato su alcuni modelli di laptop consumer venduti dall’azienda, ora arriva lo US-CERT a togliere definitivamente ogni dubbio.

L’organizzazione USA anti-emergenze informatiche ha infatti classificato il bundle Superfish Visual Discovery come software contenente una vera e propria vulnerabilità di sicurezza, una Certificate Authority (CA) compromessa potenzialmente sfruttabile per intercettare tutto il traffico Web cifrato su protocollo HTTPS. Il bug potrebbe in teoria permettere a un malintenzionato di impersonare qualsiasi sito Web, avverte lo US-CERT, e quel che è peggio al momento soluzioni ufficiali al problema non ce ne sono.

Lenovo, nel frattempo, ha aggiornato la propria posizione su Superfish , fornendo un tool per l’eliminazione automatica dell’adware vulnerabile accanto alle istruzioni per la rimozione manuale già fornite nei giorni scorsi. Lenovo ammette finalmente che il bundle Superfish costituisce un rischio di sicurezza concreto per gli utenti, dicendo di essere al lavoro con McAfee e Microsoft per mettere in quarantena il certificato incriminato con le tecnologie migliori a disposizione nell’industria.

Tutto è bene quel che finisce bene? Neanche a parlarne: Windows Defender è stato aggiornato per identificare ed eliminare il rischio Superfish, ma non è detto che l’operazione di pulizia abbia sempre successo. Problematica è in tal senso la scoperta di certificati vulnerabili sui software di rete di Mozilla (Firefox e Thunderbird), che in teoria dovrebbe fare affidamento su un archivio di certificati separato da quello di Windows e che ora sta pensando di invalidare i certificati compromessi .

Superfish, da parte sua, nega le responsabilità nella diffusione della nuova minaccia alla sicurezza dei PC: il software è sicuro e le responsabilità della vulnerabilità sono imputabili a un’azienda di terze parti, dice il CEO della società: si tratta di una tecnologia (un “SSL hijacker” sviluppato da Komodia) che tra l’altro viene correntemente usata in più di una decina di programmi per computer , qualche malware e persino due utility di sicurezza o presunte tali .

Dopo un momento di incertezza iniziale, Lenovo dice ora avere a cuore la sicurezza dei suoi utenti e di aver imparato una lezione importante dal fattaccio di Superfish. C’è però chi potrebbe decidere di partecipare alla class action contro il colosso cinese in via di partenza negli USA .

Alfonso Maruccia

Link copiato negli appunti

Ti potrebbe interessare

23 02 2015
Link copiato negli appunti