Lenovo ha preinstallato su alcuni modelli di notebook un adware che “migliora l’esperienza di shopping”, suggerendo prodotti con i prezzi più bassi durante la navigazione web. Superfish non funziona però come ipotizzato, in quanto visualizza popup nel browser e installa un falso certificato che potrebbero essere sfruttati per eseguire un attacco man-in-the-middle. Il produttore cinese, dopo aver negato l’esistenza di problemi di sicurezza, ha dovuto ammettere le sue colpe e ha pubblicato le istruzioni per eliminare l’adware.
In risposta alle critiche ricevute, Lenovo aveva promesso la rimozione temporanea di Superfish dai nuovi prodotti, in attesa della distribuzione di un fix. I ricercatori di sicurezza hanno però scoperto la password usata per proteggere il certificato. Se l’utente si collega ad un rete WiFi pubblica, qualsiasi malintenzionato con un minimo di competenza può intercettare il traffico web, in quanto non più protetto dalla crittografia. Lenovo è stata quindi costretta ad ammettere l’errore, cosa fatta in modo esplicito e senza mezze parole: un modo meritevole per reagire ad una situazione di oggettiva difficoltà, accettando immediatamente le critiche ed intervenendo per sistemare la situazione.
In Lenovo, cerchiamo sempre di dare la migliore esperienza d’utilizzo ai nostri clienti. Sappiamo che milioni di persone si affidano ai nostri dispositivi ogni giorno, ed è nostra responsabilità offrire qualità, affidabilità, innovazione e sicurezza a ogni nostro cliente. Proprio con l’obiettivo di migliorare l’esperienza dell’utente, avevamo pre-installato un software di terze parti, Superfish (con sede a Palo Alto, CA), in alcuni dei nostri notebook consumer: ritenevamo che potesse migliorare l’esperienza dello shopping online da parte dei nostri clienti, come previsto da Superfish.
Questo non ha però soddisfatto le nostre aspettative o quelle dei nostri clienti. In realtà, abbiamo ricevuto lamentele da parte dei clienti su questo software. Abbiamo agito rapidamente e con decisione non appena questi problemi sono stati portati alla nostra attenzione. Ci scusiamo per avere causato qualsiasi tipo di preoccupazione agli utenti, e li assicuriamo che ci impegnamo sempre a imparare dall’esperienza e a migliorare ciò che facciamo e come lo facciamo.
Superfish è stato preinstallato sui notebook venduti tra settembre 2014 e gennaio 2015. L’adware non è presente sui ThinkPad, sui desktop e sugli smartphone. Il software non verrà più installato e le connessioni server sono state disattivate. Per verificare se il proprio notebook è infetto, basta visitare la pagina creata da Filippo Valsorda. Lenovo ha pubblicato le istruzioni per rimuovere l’adware e il certificato da Windows. A differenza di Internet Explorer e Chrome, Firefox usa un proprio certificate store, per cui è necessario cercare ed eliminare il certificato dall’interno del browser, seguendo queste istruzioni.
Questi sono i modelli di notebook sui quali è stato installato Superfish:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
- Y Series: Y430P, Y40-70, Y50-70
- Z Series: Z40-75, Z50-75, Z40-70, Z50-70
- S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E Series: E10-30
Aggiornamento: Lenovo ha rilasciato un tool che rimuove automaticamente ogni traccia di Supefish.