Uma vulnerabilidade foi descoberta em um programa pré-instalado em computadores da Lenovo que pode permitir aos hackers o acesso de informação confidencial de navegação do usuário. A falha no software pode permitir a terceiros coletarem senhas, detalhes de contas bancárias e outras informações sensíveis.
Nomeado Superfish, a falha se encontrava em um programa de adware que a Lenovo incluiu como padrão em seus PCs a partir de janeiro, funcionando como um coletor de informações pessoais para propósitos publicitários. O adware cria para si mesmo um certificado root de autoridade irrestrita, instalando um proxy capaz de produzir certificados SSL sempre que uma conexão segura é solicitada. Certificados SSL são arquivos pequenos, usados por bancos, redes sociais e lojas como Amazon para provar que os sites são legítimos. Ao criar seus próprios certificados, o Superfish pode fazer suas tarefas publicitárias até mesmo em conexões seguras, inserindo propagandas e lendo arquivos que deveriam ser de páginas privadas.
O especialista em segurança Kenn White mostrou os certificados de segurança do Superfish hoje em uma publicação no Twitter. A foto de White demonstra um certificado emitido para o Bank of America, mas emitido pelo Superfish, ao invés de um certificado confiável como o do VeriSign. Pela natureza deste programa, capaz de checar o tráfego virtual e enviar tais arquivos para propósitos publicitários, significa que hackers podem acessar informações em potencial transmitidas por conexões supostamente seguras – por exemplo, lojas virtuais e sites de bancos que tem o código “https://” em suas URLs e exibem um cadeado nos browsers.
Um dos principais perigos do Superfish é que ele utiliza a mesma chave privada em seu certificado de raiz em cada máquina. Segundo Eric Rand, pesquisador na Brown Hat Security, se alguém fosse capaz de quebrar o código, indivíduos poderiam criar certificados que todas as máquinas Lenovo acreditariam, ou criar malwares que se passariam por programas confiáveis.
A Lenovo removeu o Superfish em janeiro, mas defendeu o uso do software, argumentando que não obteria o perfil ou monitorava o comportamento do usuário, nem guardava informações. A empresa apontou que os usuários concordaram com os termos de uso e privacidade para o produto na primeira vez que utilizaram, mas os clientes descobriram que desinstalar o programa não remove o certificado root.
Em defesa, a Lenovo diz que “está investigando todas as preocupações levantadas sobre o Superfish” e também confirmou que o aplicativo nas máquinas de antes já foram desabilitados, além de removê-los dos novos PCs.
via Adrenaline