Il principale produttore di PC al mondo installa malware prima della consegna

Mentre i governi del mondo chiedono aiuto ai “colossi del web” per la sorveglianza e il controllo delle popolazioni nell’ambito della “lotta al terrorismo”, il principale produttore di PC al mondo pre-installa malware sui suoi diffusissimi laptop. I ricercatori di Infosec hanno scoperto che i modelli più recenti di computer Lenovo vengono venduti con un’installazione di Superfish, un programma che ha due funzioni, una più riprovevole dell’altra. La prima è quella di “sabotare” i risultati di ricerca di Google, inserendo propri  annunci pubblicitari sulle pagine visualizzate dagli utenti. La seconda è quella di installare un certificato HTTPS (self-signed root HTTPS certificate) che intercetta le comunicazioni crittografate tra il PC dell’utente e i siti che visita, le controlla, le “firma”, e si presenta al browser dell’utente come se fosse il certificato originale. Il certificato mette a rischio la sicurezza dei computer a prescindere dal browser utilizzato ed espone ad attacchi man-in-the-middle, quelli in cui un hacker connesso alla nostra stessa rete wi-fi si interpone tra noi e il server, monitorando tutto ciò che facciamo online. Nel caso di Superfish, attacchi del genere sono alla portata anche dei profani dell’hacking. La chiave di encryption è infatti uguale per tutti i computer Lenovo, e in poche ore è stata crackata da Rob Graham della Errata Security (la password è “komodia”). Con quella chiave, chiunque sia collegato al nostro stesso hot spot pubblico, può presentare al nostro browser certificati HTTPS fasulli, inducendoci a inserire le credenziali del nostro account bancario (o di Facebook o Gmail) su pagine fittizie.

Lenovo, che inizialmente aveva con cautela evitato di dare spiegazioni pubbliche sulla vicenda, ha dovuto rilasciare un comunicato ufficiale una volta che la notizia è passata dai siti specializzati (come Ars Technica e Wired) a quelli mainstream (come Forbes e CNN). Ma anche in questo caso c’è stata un’assoluta mancanza di trasparenza. Nella prima versione, riportata da Ars Technica, si leggeva che le installazioni di Superfish riguardavano solo computer consegnati tra ottobre e dicembre 2014. La presenza di Superfish però era stata già segnalata il 21 settembre in un post sul forum degli utenti Lenovo (ancora online). Attualmente, la pagina del comunicato non riporta più il riferimento al periodo ottobre-dicembre, e si limita a sostenere che Superfish non è stato più installato a partire dagli inizi del 2015.

I protagonisti.

Lenovo è una transnazionale fondata a Pechino nel 1984 e quotata tra le cosiddette “Red Chips” alla borsa di Hong Kong a partire dal 1988. Ha acquistato IBM nel 2005 e Motorola nel 2014. Dal 2012 è entrata anche nel settore degli smart phone, diventando nei due anni successivi il leader di questo mercato in Cina.

Superfish,  già oggetto di polemiche per diversi adware e spyware diffusi in rete dal 2006 ad oggi, è una società con sede a Palo Alto, in California, fondata e diretta da Adi Pinhas, ex dipendente Intel ed ex collaboratore di una delle più discusse società di intelligence israeliane, la Verint, creata dalla Unit 8200, l’elite dei servizi segreti militari di Tel Aviv (coinvolta anche nel Datagate). La password usata per criptare il certificato di Superfish, komodia, è il nome di una società israeliana specializzata in “iniezioni pubblicitarie” e “intercettazioni globali”, fondata da Barak Weichselbaum, uomo chiave dell’industria della sorveglianza elettronica in Israele e contractor dell’esercito israeliano.