Lazy fish

Durante varios meses, muchos portátiles de consumo se entregaron con el adware Superfish Visual Discovery. No sólo muestra anuncios no deseados en los sitios web, sino que también abre un peligroso agujero de seguridad.

Muchos fabricantes de PC entregan sus dispositivos con versiones de prueba de software para obtener algo de dinero de sus fabricantes y compensar así los estrechos márgenes de los dispositivos. Lenovo ha dado un paso decisivo con toda una serie de portátiles de consumo: Durante varios meses, hasta principios de enero, se preinstaló un software llamado Superfish Visual Discovery. Una lista de los ordenadores Lenovo afectados puede encontrarse aquí.

Adware con agujero de seguridad

El software Superfish examina las imágenes que se muestran en los sitios web e inserta anuncios coincidentes. Esto por sí solo categoriza el software como adware y debe ser criticado. Pero mucho peor es que el software socava la seguridad de las conexiones HTTPS. Para poder modificar los sitios web cifrados con HTTPS, el software instala su propio certificado raíz en el almacén de certificados de todo el sistema de Windows, que utilizan Internet Explorer y Google Chrome. Firefox, que funciona con su propia infraestructura de certificados, también se ve afectado, ya que Superfish también instala un certificado aquí. Superfish no escribió el código para interceptar las conexiones SSL, sino que lo compró al fabricante de software israelí Komodia. Este código abre la puerta a los llamados ataques man-in-the-middle: Como ha descubierto el experto en seguridad Filippo Valsorda, el código Komodia contenido en Superfish también sustituye los certificados no válidos por los suyos propios, que son identificados como válidos por el navegador. Esto permite a los atacantes crear sitios web HTTPS falsos que no son reconocidos como falsos por los navegadores en las máquinas de Lenovo.

Lenovo, mientras tanto, proporciona una herramienta e instrucciones para la eliminación manual del software y el certificado Superfish. Se pueden encontrar aquí.

El CTO de Lenovo, Peter Hortensius, ha emitido desde entonces una disculpa oficial por el incidente de Superfish y espera que Lenovo pueda recuperar la confianza perdida de sus clientes. Según Hortensius, Microsoft, McAfee y Symantec han proporcionado desde entonces a sus programas antimalware una actualización que elimina el software Superfish. Así, todos los portátiles de Lenovo que cuenten con estos programas antimalware quedarán automáticamente protegidos y Superfish también se eliminará si en el futuro se reinstala el sistema operativo del ordenador desde la partición de recuperación.

No sólo Superfish está afectado

El problema de las conexiones HTTPS inseguras no sólo afecta a Lenovo con Superfish, sino probablemente también a algunos proveedores de software. Esto se debe a que toda una serie de programas contienen la tecnología defectuosa de Komodia. Entre ellos se encuentra el programa anti-adware Ad-Aware Web Companion de Lavasoft. Puede encontrar una lista del software afectado en US-CERT.


Deja un comentario