A Lenovo está a vender computadores que trazem já pré-instalado um software que sequestra as sessões criptografadas do browser colocando o utilizador vulnerável a ataques man-in-the-middle (via HTTP).
Este ataque pode, por exemplo, obter as credenciais do utilizador num acesso ao banco online, mesmo sendo a sessão cifrada via HTTPS.
A empresa chinesa colocou nos seus computadores um software que serviria para “disparar” no browser de qualquer utilizador uma página publicitária. Contudo, esta decisão mostrou-se uma ameaça a qualquer PC.
Os PCs Lenovo têm instalado adware de uma empresa chamada Superfish. Este tipo de publicidade é desagradável para qualquer utilizador, pois injecta publicidade em páginas da Web que aborrecem o utilizador. Mas, o pior é que o Superfish instala também um certificado de raiz HTTPS auto-assinado, permitindo que todo o tráfego do browser, incluindo o que vem criptografado, como por exemplo o acesso ao seu banco, possa ficar refém do software. &nbps;
Como funciona a técnica?
Quando um utilizador visita um site HTTPS, o certificado do site é assinado e controlado pelo Superfish, fazendo assim passar-se como sendo o certificado do site oficial.
Mas, mais grave ainda, é o facto da chave privada que acompanha o certificado assinado Superfish Transport Layer Security parecer ser sempre o mesmo em cada máquina Lenovo.
Desta forma, os atacantes podem usar essa chave certificada para se mascararem de Google, do seu Banco ou qualquer outro destino seguro na Internet.
Dentro deste cenário, os computadores que tenham o certificado de raiz Superfish instalado terão um “buraco de segurança” que compromete toda a existência do protocolo seguro HTTPS.
É novo este adware?
Pelo que parece, esta ameaça já tem muito tempo. O assunto adware e o seu efeito sobre a criptografia Web tem vindo já a ser discutido em vários tópicos relacionados com a Lenovo. Desde Setembro passado que no fórum Lenovo há já reclamações como podemos ver aqui e aqui.
No último post, datado de 21 de Janeiro, um utilizador mostrou um certificado de raiz com o nome Superfish que estava instalado:
Depois de instalado, o certificado passou a mostrar-se como sendo ele próprio um certificado adulterado à ligação HTTPS, transfigurado-se num site bancário, comportamento que permitiu ao Superfish recolher todos os dados não criptografados.
Surpreendentemente, o comportamento escapou ao olhar atento dos defensores de privacidade e segurança, pelo menos até agora. Na quarta-feira à noite, após vários Twitter de longas discussões sobre este comportamento, o investigador de segurança Chris Palmer comprou um Lenovo Yoga 2 Pro por $600 numa loja Best Buy de San Francisco Bay. Rapidamente, confirmou que o modelo foi pré-instalado com o software Superfish e a com uma chave auto-assinada.
Quando Palmer visitou o site https://www.bankofamerica.com/, ele descobriu que o certificado apresentado no seu navegador não foi assinado pela autoridade de certificados VeriSign, como seria de esperar, mas sim por Superfish.
Ele viu o mesmo certificado assinado Superfish adulterado quando visitou outros sites protegidos por HTTPS. Na verdade, não houve um único site protegido por TLS que não fosse afectado.
A empresa já reagiu, através de um tópico no seu fórum onde se pode ler que devido a algumas queixas face ao comportamento do browser, a empresa decidiu remover o add-on Superfish. Assim, as novas máquinas que vão sair para o mercado já não trarão este software de adware, contudo, para as máquinas que já estão no mercado com este software, a Lenovo solicitou à Superfish que lance um update. Desta forma, o problema ficará resolvido e o add-on desactivado.
Embora a empresa insista que o Superfish seja um software para encontrar e descobrir produtos, a verdade é que há uma engenharia pelo meio que infringe as regras de segurança, colocando em causa a própria protecção do utilizador num aspecto muito sensível, na navegação segura na Internet.
Após esta posição, a empresa disponibilizou um documento com todas as instruções para remover o Superfish das máquinas já no mercado. Além disso, esta ferramenta remove também o certificado usado para enganar o protocolo de segurança https.
Existem várias máquinas afectadas por este sistema de adware que foram colocadas no mercado entre Setembro e Dezembro de 2014:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30