Lenovo è un marchio che in ambito PC in qualche modo ha sempre fatto parlare di sé, tuttavia il chiacchiericcio che circonda il produttore cinese negli ultimi giorni è tutt’altro che positivo. E, come spesso succede, è tutta una questione di bloatware – il software “inutile” preinstallato dai produttori sui propri sistemi operativi -, anche se nel caso di Lenovo la faccenda è giusto un pochetto più seria.
AGGIORNAMENTO: le scuse di Lenovo e i modelli coinvolti – i dettagli in fondo all’articolo
Andiamo con ordine: da diversi giorni alcuni utenti hanno segnalato sul forum ufficiale dell’azienda che uno dei programmi pre-installati su diversi computer, tale Superfish, si comporta esattamente come uno spyware. Esso è infatti in grado di analizzare il comportamento dell’utente e, tramite l’integrazione nei vari browser web, di alterare i risultati di ricerca al fine di suggerire offerte e pubblicità commerciali (ovviamente sponsorizzate).
Consente di beccare le offerte più convenienti
aveva già dichiarato Mark Hopkins, esecutivo di Lenovo, sottolineando come l’installazione potesse essere impedita durante la fase di prima configurazione del PC. Proprio in mattinata Lenovo ha dichiarato di aver bloccato temporaneamente la pre-installazione del software sui nuovi PC prodotti e di aver “disattivato” le copie già attive di Superfish, lasciando però irrisolto il quesito più importante: l’installazione di un certificato root nel browser.
Senza scendere nei dettagli, basta sapere che disporre di un certificato root autorizzato in un browser equivale ad essere potenzialmente in grado di raccogliere informazioni sull’utente durante la navigazione web, in maniera completamente silenziosa anche durante sessioni di navigazione HTTPS.
E Superfish di Lenovo, oltre che fungere da spyware, aggiunge anche un certificato root auto-firmato e totalmente valido che dà possibilità allo spyware di prelevare informazioni personali con e senza HTTPS. Ma il peggio deve ancora venire: se l’adware Superfish può essere tranquillamente eliminato tramite un antimalware (potrete trovare una valida guida ai migliori in questo articolo), il certificato resterà lì indisturbato, il che comunque può mettere l’utente in potenziale pericolo.
Come eliminare il certificato Superfish
Per eliminare anche il certificato root che Superfish inietta nel sistema è possibile risolvere tramite il gestore certificati di Windows: la prima cosa da fare è premere la combinazione di tasti WIN+R per accedere alla finestra Esegui programma, e digitare al suo interno
certmgr.msc
seguito da invio. Apparirà una finestra simile a quella che segue:
Rechiamoci come da immagine in Certificati – Utente Corrente > Autorità di certificazione radice attendibile > Certificati, cercate nel pannello di destra il certificato “Emesso da” Superfish ed eliminatelo tramite click destro > Elimina. Una volta riavviato il computer vi sarete così liberati dal certificato insicuro e Superfish può diventare soltanto un ricordo.
Nonostante la procedura di rimozione non sia nulla di trascendentale, è notevole l’attitudine di Lenovo ad anteporre i propri introiti alla sicurezza dei propri utenti. Peccato, perché questa bella macchia nera difficilmente sparirà dalla reputazione di questo produttore, che stava riuscendo ad avere sempre più successo anche in occidente.
Aggiornamento – Le scuse di Lenovo e i modelli coinvolti
Con un post sulla newsroom ufficiale, Lenovo ha tenuto ancora una volta a scusarsi con i suoi utenti per l’inconveniente causato da Superfish:
In Lenovo, cerchiamo sempre di dare la migliore esperienza d’utilizzo ai nostri clienti. Sappiamo che milioni di persone si affidano ai nostri dispositivi ogni giorno, ed è nostra responsabilità offrire qualità, affidabilità, innovazione e sicurezza a ogni nostro cliente. Proprio con l’obiettivo di migliorare l’esperienza dell’utente, avevamo pre-installato un software di terze parti, Superfish (con sede a Palo Alto, CA), in alcuni dei nostri notebook consumer: ritenevamo che potesse migliorare l’esperienza dello shopping online da parte dei nostri clienti, come previsto da Superfish.
Questo non ha però soddisfatto le nostre aspettative o quelle dei nostri clienti. In realtà, abbiamo ricevuto lamentele da parte dei clienti su questo software. Abbiamo agito rapidamente e con decisione non appena questi problemi sono stati portati alla nostra attenzione. Ci scusiamo per avere causato qualsiasi tipo di preoccupazione agli utenti, e li assicuriamo che ci impegniamo sempre a imparare dall’esperienza e a migliorare ciò che facciamo e come lo facciamo.
Abbiamo smesso di pre-caricare questo software a partire dal mese di gennaio. Abbiamo chiuso le connessioni ai server che davano accesso al software (sempre a gennaio), e stiamo fornendo risorse online per aiutare gli utenti a rimuovere il software. Infine, stiamo lavorando direttamente con Superfish e con altri Partner di settore per essere sicuri di saper affrontare ogni altro eventuale problema di sicurezza ora e in futuro.
Lenovo inoltre assicura che Superfish non è stato mai installato sugli smartphone né sui prodotti di tipo enterprise, server o storage, che non sono affatto coinvolti. Superfish inoltre non è mai stato installato sui computer desktop. Ecco nel dettaglio i prodotti che potrebbero avere il software pre-caricato:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
- Y Series: Y430P, Y40-70, Y50-70
- Z Series: Z40-75, Z50-75, Z40-70, Z50-70
- S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E Series: E10-30
immagine: twitter
