A empresa chinesa Lenovo tornou-se conhecida como a maior fabricante de PCs do mundo. Agora também está a tornar-se famosa como a empresa informática que pode ter cometido a pior violação de registo de privacidade e segurança dos seus próprios clientes.
P>Pensa que isso é um exagero? O especialista em segurança Marc Rogers chama às acções da Lenovo “incrivelmente ignorantes e imprudentes” e “muito possivelmente a pior coisa que já vi um fabricante fazer à sua base de clientes”
Robert Graham of Errata Security relata que o software Lenovo pré-instalado nos seus PCs os deixa “abertos a hackers ou espiões ao estilo da NSA”. Por exemplo, pode espiar as suas ligações bancárias privadas”. Na Slate.com, o perito em software David Auerbach recomenda que os proprietários dos computadores portáteis Lenovo afectados façam “nada menos do que limpar toda a máquina e instalar o Windows vanilla – não o Windows da Lenovo”. Depois mude todas as suas palavras-passe”
Na edição é um programa de uma empresa chamada Superfish, que a Lenovo pré-instalou nos seus computadores portáteis de consumo a partir de Setembro. A linha de computadores portáteis empresariais ThinkPad, que a Lenovo comprou à IBM em 2005 no início da sua subida na quota de mercado dos PCs, não é afectada.
O programa Superfish é devidamente descrito como “adware”, ou mesmo “malware”. Efectivamente, ele sequestra as pesquisas na web dos utilizadores para injectar anúncios dos seus próprios parceiros publicitários; um utilizador que procura um produto para comprar, por exemplo, veria de repente anúncios de um produto semelhante empurrados pelo Superfish. A Lenovo trata isto como uma grande vantagem para os seus proprietários de PC, concebida “para ajudar os clientes a descobrir produtos semelhantes ao que estão a ver”
Mas como os especialistas em segurança começaram a reconhecer há meses, o método de Superfish destrói as salvaguardas de segurança do computador através do que é conhecido como um ataque “homem no meio”. (Um dos primeiros a tocar o alarme foi um engenheiro do Google que reparou que estava a interferir com a sua página de conta do Bank of America no seu novo portátil Lenovo.)
Como Rogers lista as brechas, o programa “monitoriza a actividade do utilizador”. Recolhe informação pessoal e carrega-a para os seus servidores. Injecta publicidade em páginas legítimas. Exibe popups com software de publicidade. Utiliza técnicas de ataque “man-in-the-middle” para quebrar ligações seguras abertas”.
Parte do problema é que o software utiliza uma palavra-passe interna facilmente decifrável que permite aos hackers invadir o computador – e é a mesma palavra-passe para todos os computadores afectados. (Se estás a pensar, é “komodia”). Como Graham observou, “posso interceptar as comunicações encriptadas das vítimas de SuperFish (pessoas com computadores portáteis Lenovo) enquanto estou perto delas num hotspot wi-fi de um café.”
Não há muito mistério por que razão a Lenovo fez isto. Como outros fabricantes de PC fazem com outros parceiros, a Lenovo fez um acordo com a Superfish, uma empresa de software de terceiros, para agrupar o seu programa em novos computadores. Normalmente, compradores incautos de PC “aceitam” o software quando abrem os seus novos computadores portáteis pela primeira vez, clicando numa série de acordos de licença, quase sempre sem os ler. Sem o seu conhecimento, o software penetra nos seus sistemas, e nas suas vidas. Quem beneficia? A Lenovo recebe uma comissão, e o Superfish fica com o negócio.
O hábito de as empresas de consumo empurrarem produtos, serviços ou software indesejados para os seus clientes tem uma longa e desacreditável história. Os “mavens” do software comparam a proeza da Lenovo a um famoso episódio envolvendo a Sony, que em 2005 instalou um programa anti-pirataria nos computadores quando os clientes os carregavam com certos CDs de música da Sony. O programa, estupidamente, expôs esses utilizadores a hackers.
Vale a pena notar que as pessoas por detrás do próprio Superfish têm sido consideradas com grande desconfiança por especialistas em segurança informática. Numa declaração à Forbes, Superfish disse “em nenhum momento os consumidores foram vulneráveis”, e disse que “não houve nenhum delito do nosso lado”. Mas parece óbvio que esta foi a empresa errada para a Lenovo se associar – na verdade, a Lenovo não deveria estar a carregar os seus computadores com quaisquer programas de terceiros.
A resposta da Lenovo ao tumulto tem sido lenta e, na sua maioria, inadequada. Após a tempestade ter rebentado na semana passada, a empresa disse que iria parar de pré-instalar o software culpado nos seus computadores, e “passar as próximas semanas a investigar esta questão, aprendendo o que podemos fazer melhor”. Numa entrevista com o Wall Street Journal, o seu director técnico principal, Peter Hortensius, rejeitou as preocupações dos “tipos da segurança” como “teóricas”. Ele disse, “não temos conhecimento de que tenha ocorrido algo de nefasto”
Mas emitiu instruções detalhadas para ajudar os clientes a remover o software porque, disse, “o feedback dos utilizadores não foi positivo”. A complexidade do processo de remoção deve dizer-lhe quão profundamente o software Superfish se enterrou nos computadores dos utilizadores. Uma ferramenta para determinar se o seu computador Lenovo está comprometido está aqui. A Microsoft também emitiu um patch para limpar os computadores Windows da infecção Superfish.
As para a Lenovo, embora tivesse cerca de 18,8% do mercado mundial de PCs no ano passado, certamente apagou o seu futuro na indústria informática. Se uma empresa assim tão proeminente pode errar tanto, porque deveria alguém confiar nos seus produtos? O primeiro processo judicial sobre este episódio foi agora arquivado. Haverá mais, e deverá haver.
Keep up to date with the Economy Hub. Siga @hiltzikm no Twitter, veja a nossa página no Facebook, ou envie um e-mail para [email protected].