Advertisements

Lenovo was found installing malicious adware on new computers

Lenovo has been caught installing a malicious adware named “Superfish” on new computers. The adware would inject third-party announcements on Google search results on Explorer and Chrome browsers (Firefox seems to be immune). While it may sound harmless for the computer, some users are reporting that it automatically installs a self-signed security certificate, which would allow it to take a peek on sensible data informations, such as bank accounts, emails and passwords.

Mark Hopkins – a Lenovo community administrator – states the following:

We have temporarily removed Superfish from our consumer systems until such time as Superfish is able to provide a software build that addresses these issues. As for units already in market, we have requested that Superfish auto-update a fix that addresses these issues.

However, Hopkins actually defends the adware, claiming that it suggests potential products to the user, eventually finding lower prices for what you’re looking up. Problem is that the technique they followed to install Superfish is commonly malicious. Indeed antiviruses may mark it as such and suggest to remove it. While Lenovo assured they’ll stop shipping Superfish on new computers, there’s no explanation for the major, self-installing root certificate flaw that’d heavily expose the computer online.

Meanwhile a developer created a website that checks Lenovo computers for Superfish presence.

Source | TNW

In italiano

Lenovo è stata sorpresa ad installare software malevolo sui nuovi computer, chiamato “Superfish”. L’adware inserirebbe nelle ricerche di Google degli annunci di terze parti nei browser Explorer e Chrome (Firefox ne sembra essere immune). Anche se ciò potrebbe sembrare innocuo, alcuni utenti segnalano che Superfish installi da solo un certificato di sicurezza firmato da se stesso, il che permetterebbe effettivamente di intercettare dati sensibili quali conti bancari, email e password.

Mark Hopkins – un community administrator di Lenovo – ha dichiarato quanto segue:

Abbiamo temporaneamente rimosso Superfish dai nostri prodotti finché Superfish sarà in grado di fornire una build del software che risolva questi problemi. Per quanto riguarda le unità già sul mercato, abbiamo richiesto che Superfish fornisca un aggiornamento automatico volto al risolvere gli stessi.

Tuttavia Hopkins difende l’adware, sostenendo che suggerisca semplicemente potenziali prodotti all’utente, eventualmente trovando prezzi inferiori rispetto alla norma. Il problema è che la tecnica usata per installare Superfish da parte di Lenovo è considerata malevola. Infatti, i programmi di antivirus la marcano come tale, e ne suggeriscono la rimozione. Anche se Lenovo ha assicurato che smetteranno di installare Superfish sui nuovi computer, non ci sono ancora spiegazioni per la grave falla di sicurezza del certificato auto-installante.

Nel frattempo, un developer ha creato una sito web capace di verificare i computer Lenovo per Superfish.

Advertisements

Tags: , , , ,

%d bloggers like this: