Proponha uma correção, faça uma sugestão
PCs Lenovo trazem software que espia até ligações seguras
A Lenovo está a vender computadores que trazem já pré-instalado um software que sequestra as sessões criptografadas do browser colocando o utilizador vulnerável a ataques man-in-the-middle (via HTTP).
Este ataque pode, por exemplo, obter as credenciais do utilizador num acesso ao banco online, mesmo sendo a sessão cifrada via HTTPS.
A empresa chinesa colocou nos seus computadores um software que serviria para "disparar" no browser de qualquer utilizador uma página publicitária. Contudo, esta decisão mostrou-se uma ameaça a qualquer PC.
Os PCs Lenovo têm instalado adware de uma empresa chamada Superfish. Este tipo de publicidade é desagradável para qualquer utilizador, pois injecta publicidade em páginas da Web que aborrecem o utilizador. Mas, o pior é que o Superfish instala também um certificado de raiz HTTPS auto-assinado, permitindo que todo o tráfego do browser, incluindo o que vem criptografado, como por exemplo o acesso ao seu banco, possa ficar refém do software. &nbps;
Como funciona a técnica?
Quando um utilizador visita um site HTTPS, o certificado do site é assinado e controlado pelo Superfish, fazendo assim passar-se como sendo o certificado do site oficial.
Mas, mais grave ainda, é o facto da chave privada que acompanha o certificado assinado Superfish Transport Layer Security parecer ser sempre o mesmo em cada máquina Lenovo.
Desta forma, os atacantes podem usar essa chave certificada para se mascararem de Google, do seu Banco ou qualquer outro destino seguro na Internet.
Dentro deste cenário, os computadores que tenham o certificado de raiz Superfish instalado terão um "buraco de segurança" que compromete toda a existência do protocolo seguro HTTPS.
É novo este adware?
Pelo que parece, esta ameaça já tem muito tempo. O assunto adware e o seu efeito sobre a criptografia Web tem vindo já a ser discutido em vários tópicos relacionados com a Lenovo. Desde Setembro passado que no fórum Lenovo há já reclamações como podemos ver aqui e aqui.
No último post, datado de 21 de Janeiro, um utilizador mostrou um certificado de raiz com o nome Superfish que estava instalado:
Depois de instalado, o certificado passou a mostrar-se como sendo ele próprio um certificado adulterado à ligação HTTPS, transfigurado-se num site bancário, comportamento que permitiu ao Superfish recolher todos os dados não criptografados.
Surpreendentemente, o comportamento escapou ao olhar atento dos defensores de privacidade e segurança, pelo menos até agora. Na quarta-feira à noite, após vários Twitter de longas discussões sobre este comportamento, o investigador de segurança Chris Palmer comprou um Lenovo Yoga 2 Pro por $600 numa loja Best Buy de San Francisco Bay. Rapidamente, confirmou que o modelo foi pré-instalado com o software Superfish e a com uma chave auto-assinada.
Quando Palmer visitou o site https://www.bankofamerica.com/, ele descobriu que o certificado apresentado no seu navegador não foi assinado pela autoridade de certificados VeriSign, como seria de esperar, mas sim por Superfish.
Ele viu o mesmo certificado assinado Superfish adulterado quando visitou outros sites protegidos por HTTPS. Na verdade, não houve um único site protegido por TLS que não fosse afectado.
A empresa já reagiu, através de um tópico no seu fórum onde se pode ler que devido a algumas queixas face ao comportamento do browser, a empresa decidiu remover o add-on Superfish. Assim, as novas máquinas que vão sair para o mercado já não trarão este software de adware, contudo, para as máquinas que já estão no mercado com este software, a Lenovo solicitou à Superfish que lance um update. Desta forma, o problema ficará resolvido e o add-on desactivado.
Embora a empresa insista que o Superfish seja um software para encontrar e descobrir produtos, a verdade é que há uma engenharia pelo meio que infringe as regras de segurança, colocando em causa a própria protecção do utilizador num aspecto muito sensível, na navegação segura na Internet.
Após esta posição, a empresa disponibilizou um documento com todas as instruções para remover o Superfish das máquinas já no mercado. Além disso, esta ferramenta remove também o certificado usado para enganar o protocolo de segurança https.
Existem várias máquinas afectadas por este sistema de adware que foram colocadas no mercado entre Setembro e Dezembro de 2014:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30
Este artigo tem mais de um ano
Loading ...
Parece que foi desactivado. Mas isto é o que eles dizem…
http://www.technobuffalo.com/2015/02/19/lenovo-responds-to-superfish-report-says-malware-is-no-longer-active/
Nada como uma instalação limpa quando se compra um portatil/PC novo.
+1
Bingo.
Isto é gravíssimo ao MAIS alto nível!
Estupefacto!
A maioria das pessoas não sabe, mas a partir que entra para o sistema um certificado desses???
Acaba a segurança toda! Mas toda mesmo!
Sem palavras…
O problema é que ‘GRAVÍSSIMO’ está na ordem do dia; banal, até. São quase diárias as notícias deste género.
Não há escrúpulos nem qualquer tipo de integridade no que a vendas e lucros diz respeito (e já nem sequer falo em NSA’s e afins).
Quando vamos ao nosso banco online, por exemplo, seja com o Chrome, IE – ou outro browser qualquer – não temos qualquer garantia de que não estamos a mostrar os nossos movimentos bancários aos criadores e/ou a terceiros.
O micro do nosso smartphone pode ser activado mesmo com ele desligado – só precisa de ter a bateria encaixada. Enfim… se começarmos a pensar nestas coisas mesmo a sério acabamos a viver numa caverna na montanha.
The brave new world!
A diferença é que 45% dessas notícias, são tempestades num copo de água. Outros 45% (NSA e afins), maioria são teorias da conspiração sem fundamento nenhum para vender jornais (como a dos discos rígidos)…
Quando vais ao teu banco online, tens garantia que NÃO estás a mostrar os teus movimentos a terceiros, meu caro!
Tens garantia da Microsoft, da Apple, ou de quem fizer o teu SO, dependendo da EULA (é só ler os teus direitos e deveres), de que não meteu para lá entidades certificadoras falsas, e só meteu entidades de confiança, e responsáveis.
Caso contrário, tens direito a processar o fabricante do teu SO por burla, o teu fabricante de SO, assinou contratos com essas entidades certificadoras, por isso, processaria essas entidades por burla, e essas entidades, caso fossem burladas, processariam quem comprou o certificado digital por serem burladas por estes!
Neste caso, a Lenovo, decidiu introduzir software que introduz uma entidade certificadora sem integridade, e claramente com maus intuitos.
Estraga toda a segurança e responsabilidade.
A Internet não é uma coisa tão simples como você pensa.
Engraçado…
Se fosse Linux (ou Android) caia o carmo e a trindade…
Só tenho uma coisa a dizer
&nbps;
😛
(Na Brinca)
Aquela pausa tranquila para respirar.
Acho que querias dizer: 🙂
Depois dizem que são tão bons ou quase tão bons como os Mac…
É porque… Metem no disco dos clientes o que for, desde que lhes paguem, depois é isto…
se és tao entendido na materia deves saber que a Lenovo tem duas gamas certo?
os Thinkpad – para empresas e que sao os realmente bons
e os Ideapad – para uso pessoal que, na minha opiniao esta uns furos a baixo do ThinkPad.
Quanto aos mac, ja que vens para aqui falar, nao faz sentido nenhum comparar as coisas, Ainda no outro dia um colega meu quis comparar o mackbook air dele com o meu lenovo u430.
mas comparar o que? eu ponho-me a jogar uns jogos no pc…. ele fica a fazer scroll down nos sites……
o mac é muito bonito e tal, dura mt a bateria (pk nao tem nada que a gaste – se eu passar o tempo a fazer o mesmo que ele faz a diferenca nao ha de ser nenhuma.), o SO é para mim parecido com qualquer outra distribuicao linux…. mas man! sao gostos!, Gostos e preferencias.
Acho engraçado como pensas que os Macs são infalíveis. No final do dia, estás a confiar em empresas como a Apple a tua segurança. Só porque o PC deles é mais caro não quer dizer que seja melhor, apenas é esteticamente mais bonito.
http://www.theregister.co.uk/2014/10/20/apple_spotlight_privacy_qualms/
É cada comparação…
Apenas utilizo mac desde 2008, e se achas que é por ser mais bonito, então é porque não sabes do que falas.
e ainda por cima vens com um artigo de tablóide…
Uma coisa é certa, não vem com certificados autoridade de empresas falsas, a lenovo o que fez foi aceitar uma burla! Pura e simplesmente. Por isso podes escrever o que quiseres, a realidade não muda.
Btw, esse bug pequeno não afecta nada a tua privacidade, não tem acesso aos teus ficheiros ou às tuas comunicações, ao contrário desse sensacionalismo todo, e já foi corrigido.
“No final do dia, estás a confiar em empresas como a Apple a tua segurança”
E tu?
Estás a confiar na Microsoft. Ou qualquer distro Linux que ande por aí, que te instala os certificados de raiz.
O pior é que compras, como é o caso, um PC á com malware inside, como se vê, porque estás a confiar na Microsoft, e depois na Lenovo, que não quer saber dos utilizadores.
O Spotlight permite pesquisas na internet, que qualquer um vê que ocorrem e que se quiser pode desactivar!
Como é que queres que faça pesquisas na internet sem ligar à internet!?
E se o teu problema é por passar por servidores da Apple, explica como é que seria melhor ligar directamente ao motor de busca? Ao usar os servidores da Apple a Apple responsabiliza-se em manter todas as pesquisas anónimas, sem qualquer possibilidade de serem seguidas, coisa que dificilmente acontece ao usar os motores de busca directamente
Mas o que é que isto tem a ver com Windows ou OS X ?
Não se trata do Sistema Operativo… isto é uma “manobra”/programa que a empresa chinesa instala.
Não tem a ver OS X com Windows.
Tem a ver entre comprar um Mac, que vem limpinho, só com software Apple. E comprar um PC dessas marcas todas que vêm com spyware, adware, porcarias, e até malware gravíssimo como este… Não há-de ser só a lenovo que tem este problema…
As pessoas não sabem que o software trial e esse lixo que vem com os PCs, está lá, para os fabricantes ganharem 1€ ou 2€ por máquina… e está visto como esses software ganham dinheiro para pagar ás marcas…
Ou seja… o generalizares isto do crapware/adware a máquinas com SO Windows para acicatar a guerra Microsoft/Apple com o “de ser bons ou menos bons”.. não é por aqui e não é apropriado
A chinesa Lenovo fez malandrice em equipamentos com o Superfish, entre Set e Dez de 2014, e “zásss”.. já são todos iguais.
Razão dou-te no “bundled software”, ou o que lhe queiras chamar, que a maioria das marcas colocam para “personalizar”… mas o SO ser líder de mercado é um apetite para o lixo, para vírus, ou para fraudes como a que anda agora aí
https://pplware.sapo.pt/windows/software/seguranca-2/pj-alerta-para-telefonemas-fraudulentos-em-nome-da-microsoft/
Bundlware, há quem ache útil, outros que não acham… cada um que desinstale o que não queira, considere despropositado ou “pesado” para o SO.
E como o tiro lhes saiu pela culatra, e só lhes prejudicou a reputação, agora andam a tapar buracos:
http://forums.lenovo.com/t5/Lenovo-P-Y-and-Z-series/Removal-Instructions-for-VisualDiscovery-Superfish-application/ta-p/2029206
e andam tão atrapalhados que até se esqueceram do Step 2 na parte de remover o Certificado.
A Microsoft sabe disso, tanto que tem uma linha que ela vende, que é 100% séria e só vem com o Windows e mais nada, chama-se Microsoft signature… mas aí o preço dispara face à versão de “supermercado”…
Depois as pessoas vêm um Mac, e vêm um Windows, e olham para a diferença de preço e dizem cobras e lagartos da Apple e dos seus utilizadores…
Nada nelhor do que ter uma copia original do windows e formatar o pc de raiz…
Tens razão.Um abraço,Bob.https://www.facebook.com/bobsoares76 🙂
primeira coisa a fazer quando se compra pc/portátil que venha com windows instalado -> FORMATAR/INSTALAR tudo de raiz, e sem ser com reposição de sistema porque essa partição normalmente elimino 😀
Tudo certinho com cópia limpa.
– Ficamos com mais espaço em disco
– Grande parte do “lixo” desaparece
– Evita este tipo de situações de adware
E o licenciamento?
desde que tenhas a chave e coloques qual o problema?
Aí não há problemas. A chave é a que vem lá.
O facto de formatar de raiz não implica que mexa com o licenciamento, a pessoa pode ter um windows original e usar a chave que tem numa instalação limpa.
Facilmente fazivel e de forma legal!
so precisas de ter a versao correcta de windows, pk a chave do Windows em mts pc (como no meu) está embutido na BIOS.
assim, depois da instalacao do novo windows tudo está legal e operacional
@NSA_PR: We are disappointed and alarmed that Lenovo and Superfish would install such invasive and poorly implemented software without telling us
/S
É por isso, que quando compro um novo computador, a primeira coisa que faço é reinstalá-lo de raiz sem o crapware dos fabricantes!
A Motorola não foi comprada pela Lenovo?
Foi. E a marca (SONY) VAIO também.
Agora quero o que vão descobrir no Nexus 6 e nos novos VAIO.
Também há uns smartphones Chineses que já trazem um spyware embutido.
De modos que não há NADA de confiança; NADA.
Pois, pelos vistos já deixaram de cumprir com o GPL. Enquanto eram da Google saía tudo a tempo e horas. Agora com as novas atualizações para o LP, nada… Parece que não querem mostrar o kernel, porque será…
Qual é a empresa hoje em dia que não formata automaticamente o laptop com a imagem standard da própria empresa?
e a apple que vai concertar os macbooks pro com problemas de vídeo. lol
Lol, e as outras que usaram as mesmas placas gráficas ?
Se calhar convinha esclarecer que são só os Lenovo da linha doméstica, os IdeaPad, os da linha profissional, os TouchPad, nunca trouxeram o Superfish.
Não que seja importante agora, porque a Microsoft lançou há umas poucas horas uma atualização para o Windows Defender que apaga o Superfish e repõe os certificados raiz de origem do Windows.
…e por falar em marcas…. pesquisando um pouco há marcas que à partida devem ser evitadas… e a Lenovo é uma delas.
Já no Verão a Lenovo foi banida de muito lado por problemas de segurança, apesar de negar as “acusações”.. e com esta do Superfish, a reputação da marca vai levar mas um rombo:
Spy agencies ban Lenovo PCs on security concerns
http://www.afr.com/p/technology/spy_agencies_ban_lenovo_pcs_on_security_HVgcKTHp4bIA4ulCPqC7SL
as televisões samsung também espiavam dados dos utilizadores e ninguém corrigiu isso.