L’azienda cinese Lenovo è diventata nota come il più grande produttore di PC del mondo. Ora sta diventando anche famosa come l’azienda di computer che potrebbe aver commesso la peggiore violazione della privacy e della sicurezza dei propri clienti.
Pensi che sia un’esagerazione? L’esperto di sicurezza Marc Rogers chiama le azioni di Lenovo “incredibilmente ignoranti e sconsiderate” e “probabilmente la cosa peggiore che ho visto fare da un produttore alla sua base di clienti.”
Robert Graham di Errata Security riferisce che il software Lenovo pre-installato sui suoi PC li lascia “aperti agli hacker o alle spie in stile NSA. Per esempio, può spiare le vostre connessioni bancarie private”. Su Slate.com, l’esperto di software David Auerbach raccomanda che i proprietari di computer portatili Lenovo colpiti non facciano “niente di meno che cancellare l’intera macchina e installare Windows vanilla – non il Windows di Lenovo. Poi cambiate tutte le vostre password.”
In questione è un programma di una società chiamata Superfish, che Lenovo ha preinstallato sui suoi computer portatili di consumo a partire da settembre. La linea ThinkPad di computer portatili business, che Lenovo ha acquistato da IBM nel 2005 all’inizio della sua scalata nella quota di mercato dei PC, non è interessata.
Il programma Superfish è propriamente descritto come “adware”, o anche “malware”. Dirotta efficacemente le ricerche web degli utenti per iniettare annunci dai propri partner pubblicitari; un utente che cerca un prodotto da acquistare, per esempio, vedrebbe improvvisamente annunci per un prodotto simile spinto da Superfish. Lenovo tratta questo come una grande manna per i suoi proprietari di PC, progettato “per aiutare i clienti a scoprire prodotti simili a quello che stanno visualizzando.”
Ma come gli esperti di sicurezza hanno iniziato a riconoscere mesi fa, il metodo di Superfish distrugge le protezioni di sicurezza del computer attraverso quello che è noto come un attacco “man in the middle”. (Uno dei primi a lanciare l’allarme è stato un ingegnere di Google che ha notato che interferiva con la pagina del suo account della Bank of America sul suo nuovo portatile Lenovo.)
Come Rogers elenca le violazioni, il programma “controlla l’attività degli utenti. Raccoglie informazioni personali e le carica sui suoi server. Inietta pubblicità in pagine legittime. Visualizza popup con software pubblicitario. Utilizza tecniche di attacco man-in-the-middle per aprire connessioni sicure”.
Parte del problema è che il software utilizza una password interna facilmente craccabile che permette agli hacker di invadere il computer – ed è la stessa password per tutti i computer colpiti. (Se ve lo state chiedendo, è “komodia”.) Come ha osservato Graham, “posso intercettare le comunicazioni criptate delle vittime di SuperFish (persone con computer portatili Lenovo) stando vicino a loro in un hotspot wi-fi di un bar.”
Non c’è molto mistero sul perché Lenovo abbia fatto questo. Come altri produttori di PC fanno con altri partner, ha stretto un accordo con Superfish, una società di software di terze parti, per fornire il suo programma nei nuovi computer. Di solito, gli incauti acquirenti di PC “accettano” il software quando aprono i loro nuovi computer portatili per la prima volta cliccando su una serie di accordi di licenza, quasi sempre senza leggerli. A loro insaputa, il software si insinua nei loro sistemi e nelle loro vite. Chi ne beneficia? Lenovo ottiene una commissione, e Superfish ottiene il business.
L’abitudine delle aziende di consumo di spingere prodotti, servizi o software indesiderati ai loro clienti ha una storia lunga e discutibile. Gli esperti di software paragonano la trovata di Lenovo a un famoso episodio che coinvolse Sony, che nel 2005 installò un programma anti-pirateria sui computer quando i clienti li caricarono con certi CD musicali Sony. Il programma, stupidamente, espose quegli utenti agli hacker.
Vale la pena notare che le persone dietro Superfish stesso sono state considerate con grande sospetto dagli esperti di sicurezza informatica. In una dichiarazione a Forbes, Superfish ha detto che “in nessun momento i consumatori erano vulnerabili”, e ha detto che non c’era “nessun illecito da parte nostra”. Ma sembra ovvio che questa era l’azienda sbagliata con cui Lenovo ha collaborato – in effetti, Lenovo non dovrebbe caricare i suoi computer con programmi di terze parti.
La risposta di Lenovo al clamore è stata lenta e per la maggior parte inadeguata. Dopo che la tempesta è scoppiata la scorsa settimana, l’azienda ha detto che avrebbe smesso di pre-installare il software colpevole sui suoi computer, e “trascorrere le prossime settimane a scavare in questo problema, imparando cosa possiamo fare meglio”. In un’intervista con il Wall Street Journal, il suo direttore tecnico, Peter Hortensius, ha respinto le preoccupazioni dei “ragazzi della sicurezza” come “teoriche”. Ha detto, “non abbiamo intuito che qualcosa di nefasto si sia verificato.”
Ma ha rilasciato istruzioni dettagliate per aiutare i clienti a rimuovere il software perché, ha detto, “il feedback degli utenti non era positivo.” La complessità del processo di rimozione dovrebbe dirvi quanto profondamente il software Superfish si sia insinuato nei computer degli utenti. Uno strumento per determinare se il tuo computer Lenovo è compromesso è qui. Microsoft ha anche rilasciato una patch per ripulire i computer Windows dall’infezione di Superfish.
Per quanto riguarda Lenovo, anche se aveva circa il 18,8% del mercato mondiale dei PC l’anno scorso, ha certamente macchiato il suo futuro nel settore dell’informatica. Se un’azienda così importante può sbagliare così tanto, perché qualcuno dovrebbe fidarsi dei suoi prodotti? La prima causa legale per questo episodio è stata presentata. Ce ne saranno altre, e dovrebbero essercene.
Si tenga aggiornato con l’Economy Hub. Segui @hiltzikm su Twitter, guarda la nostra pagina Facebook, o invia un’email a [email protected].