Alguns notebooks Windows fabricados pela Lenovo vem pré-carregados com um programa de adware que expõe os usuários a riscos de segurança.
O software Superfish Visual Discovery é feito para inserir anúncios de produtos em resultados de buscas em outros sites, incluindo o Google.
No entanto, como o Google e outras ferramentas de buscas usam o HTTPS (HTTP Secure), as conexões entre eles e os navegadores dos usuários são criptografados e não podem ser manipulados para injetar conteúdo.
Para burlar isso, o Superfish instala um certificado raiz autogerado na loja de certificados do Windows e então atua como um proxy, assinando novamente todos os certificados apresentados por sites HTTPS com o seu próprio certificado. Como o certificado root Superfish é colocado na loja de certificados do sistema, os browsers vão confiar em todos os certificados falsos gerados pelo Superfish para esses sites.
Essa é uma clássica técnica man-in-the-middle para interceptar comunicações HTTPS que também são usadas em algumas redes corporativas para reforçar políticas de prevenção de vazamento quando funcionários visitam sites com HTTPS habilitado.
No entanto, o problema com a abordagem do Superfish é que ele usa o mesmo certificado raiz com a mesma chave RSA em todas as instalações, segundo Chris Palmer, um engenheiro de segurança do Google Chrome que investigou o problema. Além disso, a chave RSA tem apenas 1024 bits, o que é considerado criptograficamente inseguro atualmente por conta dos avanços em poder de processamento.
A interrupção de certificados SSL com chaves de 1024 bit começou há vários anos, e o processo vem sendo acelerado recentemente. Em janeiro de 2011, o Instituo Nacional de Padrões e Tecnologia dos EUA afirmou que assinaturas digitais baseadas em chaves RSA de 1024-bit deveriam ser barradas após 2013.
Independente de a chave privada RSA que corresponde ao certificado raiz Superfish pode ser “quebrada” ou não, existe a possibilidade de ela ser recuperada a partir do próprio software, apesar de isso ainda não ter sido confirmado.
Se os criminosos obtiverem a chave privada RSA para o certificado root, poderiam lançar ataques de intercepção de tráfego man-in-the-middle contra qualquer usuário que tenha o aplicativo instalado. Isso permitiria que eles imitasse qualquer site ao apresentar um certificado assinado com o gerador de certificados do Superfish que agora é confiado por sistemas onde o software está instalado.
Ataques man-in-the-middle podem ser lançados em redes wireless inseguras ou ao se comprometer roteadores, o que não é uma ocorrência incomum.
Outro problema apontado por usuários no Twitter é que mesmo que o Superfish seja desinstalado, o certificado raiz que ele cria fica para trás. Isso significa que os usuários afetados terão de removê-lo manualmente para ficarem completamente protegidos.
Também não está claro a razão pela qual o Superfish está usando o certificado para realizar um ataque man-in-the-middle em todos os sites HTTPS e não apenas em ferramentas de busca. Uma screenshot publicada no Twitter pelo especialista em segurança Keen White mostra um certificado gerado pelo Superfish para o www.bankofamerica.com.
A Superfish não respondeu imediatamente ao nosso pedido de comentário sobre o assunto.
Lenovo
“A Lenovo removeu o Superfish dos pré-carregamentos dos novos sistemas para o consumidor final em janeiro de 2015”, afirmou um representante da empresa. “Na mesma época, o Superfish desabilitou as máquinas Lenovo existentes no mercado de ativarem o Superfish.”
O software só vinha pré-carregado em um número selecionado de PCs, afirma o representante da Lenovo, que não revelou quais os modelos afetados. A companhia “investigando a fundo todas e quaisquer novas preocupações levantadas por conta do Superfish”, disse.
E parece que o problema já vem acontecendo há algum tempo. Existem relats sobre o Superfish no fórum de comunidade da Lenovo datadas de setembro de 2014.
Como resolver
O analistas de inteligência em malware da Malwarebytes, Chris Boyd, aconselha os usuários a desinstalarem o Superfish, então digitar “certmgr.msc” na barra de buscas do Windows e remover o certificado raiz do Superfish a partir daí.
