adware
Em 19 de fevereiro de 2015, descobriu-se que centenas de laptops da Lenovo foram lançados com o adware Superfish pré-instalado. Existem dois grandes problemas com relação a isto.
O primeiro deles é o fato de que a fabricante de hardware de alcance internacional tenha enviado durante vários meses carregamentos de laptops infectados com adware. Segundo as investigações, os laptops estavam à venda desde setembro de 2014 até fevereiro deste ano.
Outro problema está relacionado à forma como se comporta o adware Superfish. Sua capacidade de produzir certificado auto-assinado, possivelmente pode permite que uma terceira pessoa maliciosa intercepte as conexões SSL/TLS, ou seja, as sessões do navegador web.
Learn how digital certificates and 'HTTPS' keep your online life secure through encryption. http://t.co/gjOBQrEaYO
— Kaspersky (@kaspersky) May 7, 2013
Agora, vamos dar uma olhada mais de perto como atua o Superfish com relação ao último problema.
Abaixo está uma imagem de um site de banco online, acessado via Internet Explorer a partir de um PC limpo, sem o adware. Ao clicar no ícone do cadeado, podemos ver as informações do certificado SSL:
Acessando site de operações bancárias online a partir de um laptop limpo
O certificado SSL é emitido por uma Autoridade Certificadora (CA) e garante a propriedade de um site. Neste caso, a VeriSign é o emissor do certificado que garante a identidade de “Japão xxxx BANK Co, Ltd.”. O certificado de segurança também é usado para criptografar uma ID de usuário ou uma senha em uma sessão criptografada. Esta é a forma clássica de que um site garante uma conexão segura.
A próxima tela é do mesmo site. Mas desta vez ele é acessado via Internet Explorer a partir de um PC infectado com o adware Superfish. O seu certificado SSL agora mostra “Superfish” como seu emissor em vez de “VeriSign”.
Acessando o site do banco online a partir de um laptop infectado com o Superfish
Qual é a causa dessa mudança, então? O Superfish conta com a capacidade de autorizar certificados a partir do seu próprio software. Isso torna possível sequestrar a sessão web do usuário, gerar um certificado auto-assinado, e estabelecer uma conexão SSL. Infelizmente, os navegadores web usam o certificado gerado pelo Superfish como legítimo. Assim, o Superfish assume a posição de CA e não a VeriSign.
Assim mesmo, a chave privada para gerar um certificado está incluído no software e disponível para qualquer um que queira. De fato, a senha da chave foi revelada na Internet. Isto quer dizer que, ao contar com o par de chaves por senha, um cibercriminoso poderia espiar as informações transmitidas através de uma conexão criptografada ou injetar códigos maliciosos nele. O pior cenário possível, neste caso, é um roubo de dados de uma sessão de um site de banco online.
We're sorry. We messed up. We're owning it. And we're making sure it never happens again. Fully uninstall Superfish: http://t.co/mSSUwp5EQE
— Lenovo United States (@lenovoUS) February 20, 2015
Neste sentido, recomendamos a todos os usuários de laptop Lenovo que eliminem o software “Superfish Inc. Visual Discovery” a partir do painel de controle do Windows, no caso de que o tenham instalado. Assim mesmo, deverão eliminar o certificado do Superfish da lista de autoridade de certificados de confiança.
Recomendamos que os usuários da Lenovo eliminem o adware e o certificado do #Superfish, no caso de o terem instalado
Tweet
Os produtos da Kaspersky Lab pode ajudá-lo a determinar se o seu PC está infectado com este adware. Nossos produtos detectam esta ameaça como um “não vírus”: AdWare.Win32.Superfish.b.
Atualmente, a Lenovo está oferecendo uma Ferramenta de Remoção Automática do Superfish, através do seu Assistente de Segurança (LEN-2015-101).
Tradução: Juliana Costa Santos Dias
