Lenovo vendeu laptops com adware pré-instalado

26 fev 2015

Em 19 de fevereiro de 2015, descobriu-se que centenas de laptops da Lenovo foram lançados com o adware Superfish pré-instalado. Existem dois grandes problemas com relação a isto.

superfish

O primeiro deles é o fato de que a fabricante de hardware de alcance internacional tenha enviado durante vários meses carregamentos de laptops infectados com adware. Segundo as investigações, os laptops estavam à venda desde setembro de 2014 até fevereiro deste ano.

Outro problema está relacionado à forma como se comporta o adware Superfish. Sua capacidade de produzir certificado auto-assinado, possivelmente pode permite que uma terceira pessoa maliciosa intercepte as conexões SSL/TLS, ou seja, as sessões do navegador web.

Agora, vamos dar uma olhada mais de perto como atua o Superfish com relação ao último problema.

Abaixo está uma imagem de um site de banco online, acessado via Internet Explorer a partir de um PC limpo, sem o adware. Ao clicar no ícone do cadeado, podemos ver as informações do certificado SSL:

superfish-scr-1

Acessando site de operações bancárias online a partir de um laptop limpo

O certificado SSL é emitido por uma Autoridade Certificadora (CA) e garante a propriedade de um site. Neste caso, a VeriSign é o emissor do certificado que garante a identidade de “Japão xxxx BANK Co, Ltd.”. O certificado de segurança também é usado para criptografar uma ID de usuário ou uma senha em uma sessão criptografada. Esta é a forma clássica de que um site garante uma conexão segura.

A próxima tela é do mesmo site. Mas desta vez ele é acessado via Internet Explorer a partir de um PC infectado com o adware Superfish. O seu certificado SSL agora mostra “Superfish” como seu emissor em vez de “VeriSign”.

 

Acessando o site do banco online a partir de um laptop infectado com o Superfish

Acessando o site do banco online a partir de um laptop infectado com o Superfish

Qual é a causa dessa mudança, então? O Superfish conta com a capacidade de autorizar certificados a partir do seu próprio software. Isso torna possível sequestrar a sessão web do usuário, gerar um certificado auto-assinado, e estabelecer uma conexão SSL. Infelizmente, os navegadores web usam o certificado gerado pelo Superfish como legítimo. Assim, o Superfish assume a posição de CA e não a VeriSign.

O pior cenário possível é um roubo de dados de uma sessão de web com um site de banco online

Assim mesmo, a chave privada para gerar um certificado está incluído no software e disponível para qualquer um que queira. De fato, a senha da chave foi revelada na Internet. Isto quer dizer que, ao contar com o par de chaves por senha, um cibercriminoso poderia espiar as informações transmitidas através de uma conexão criptografada ou injetar códigos maliciosos nele. O pior cenário possível, neste caso, é um roubo de dados de uma sessão de um site de banco online.

Neste sentido, recomendamos a todos os usuários de laptop Lenovo que eliminem o software “Superfish Inc. Visual Discovery” a partir do painel de controle do Windows, no caso de que o tenham instalado. Assim mesmo, deverão eliminar o certificado do Superfish da lista de autoridade de certificados de confiança.

Os produtos da Kaspersky Lab pode ajudá-lo a determinar se o seu PC está infectado com este adware. Nossos produtos detectam esta ameaça como um “não vírus”: AdWare.Win32.Superfish.b.

Atualmente, a Lenovo está oferecendo uma Ferramenta de Remoção Automática do Superfish, através do seu Assistente de Segurança (LEN-2015-101).

Tradução: Juliana Costa Santos Dias