Lenovo envolvida em polêmica por perigoso software pré-instalado

por

A Lenovo reconheceu que certos laptops vem pré-instalados com um adware que coloca em risco os usuários. Veja como testar seu laptop e como remediar o problema.

[Atualização em 20/02/15]

Que laptops de consumidor vem recheados de software indesejável, não é novidade nem exclusividade da Lenovo. O que se destaca no caso da Lenovo é a dimensão dos problemas potenciais causados pelo Superfish, um polêmico adware (software para entregar anúncios no PC do usuário). O software teria começado a ser distribuído em laptops vendidos a partir da metade do ano passado.

Este software se propõe a ser uma “ferramenta visual de busca”, entregando anúncios de produtos similares aos que o usuário está visualizando na internet via reconhecimento de imagem. Para o Superfish poder ter acesso ao conteúdo que o usuário está vendo, a Lenovo permitiu que estes laptops viessem de fábrica com um certificado SSL raiz assinado pelo Superfish.

Com isto, o Superfih pode atuar como proxy ou Man-in-the-Middle, interceptando e monitorando toda a navegação do usuário, mesmo em sites que deveriam ser supostamente protegidos como sites de banco, webmail corporativo, etc. Além disso, um usuário malicioso pode obter o certificado a partir de qualquer equipamento que tenha o Superfish, e criar um falso access point em local público para também poder monitorar tudo o que usuários dos laptops afetados fazem (inclusive as senhas digitadas), sem que o usuário perceba que há algo de errado.

Certificado falso apresentado no acesso ao site do Bank of America. Créditos: Chris Palmer (https://twitter.com/fugueish/status/568253665095450625)

Certificado falso apresentado no acesso ao site do Bank of America. Créditos: Chris Palmer (https://twitter.com/fugueish/status/568253665095450625)

O que impressiona é que é impossível que a Lenovo não tivesse conhecimento do comportamento desse software e mesmo assim permitiu a sua instalação. Vale lembrar que empresas como a do Superfish pagam para os fabricantes para poder inserir seu software nos produtos dos grandes fabricantes. Um outro (e lamentável) exemplo é a inclusão da Ask Toolbar como padrão durante a instalação ou upgrade do Java da Oracle.

O que fazer

Segundo a Lenovo, no primeiro boot o usuário tem a opção de não concordar com os termos de licença do Superfish, que ficará desabilitado, mas isto não endereça o problema do certificado. E mesmo que o usuário desinstale completamente o Superfish, o certificado permanece.

Para testar se o seu laptop possui o certificado raiz do Superfish, acesse este site. Lá você também encontra instruções para remoção do certificado do Windows e do Firefox (que possui seu próprio armazenamento de certificados).

Atenção, se você fizer o teste a partir da rede corporativa E SE sua organização usa proxy que monitore SSL, é possível que a página aponte que você está vulnerável. Neste caso é importante inspecionar o certificado apresentado para ver se é o interno ou o do Superfish, e repetir o teste a partir de uma conexão direta com a internet.

[Atualização em 22/12] A Lenovo também disponibilizou uma ferramenta para remoção automática do Superfish. A ferramenta pode ser obtida aqui.

Empresas, como regra geral, deveriam optar por laptops das linhas corporativas e não de consumidor. Laptops pessoais que venham a ser usados para trabalho devem passar por inspeção antes da sua autorização de uso, mesmo que sejam usados somente para conexão remota. E efetuar periodicamente avaliações de risco à segurança da informação para detectar estas fontes de risco que podem estar despercebidas. E aproveite também para rever algumas dicas que passamos sobre BYOD nas empresas.

 

Foto no destaque: Intel in Deutschland – Alguns direitos reservados

Categoria : BYOD, Laptops, Other News
Tags : , , , ,