A Lenovo liberou tarde da noite na sexta-feira, 20/02, a sua própria ferramenta para apagar o adware Superfish Visual Discovery dos seus PCs voltados para consumidores. A ferramenta automatiza o processo manual de eliminar Superfish das máquinas, bem como também apaga o certificado “autônomo” que é instalado pelo adware nos computadores e que abriria uma brecha crítica de segurança nos equipamentos
A empresa também confirmou que está trabalhando com dois de seus parceiros, a McAfee e a Microsoft, para rastrear e limpar ou isolar automaticamente o Superfish e remover o certificado de equipamentos cujos donos não tenham, por algum motivo, tomado conhecimento da ferramenta automática de limpeza que foi liberada na sexta-feira.
A Microsoft já tinha feito sua parte no início da sexta-feira, quando atualizou seus programas antivírus gratuitos Windows Defender e Security Essentials com um update que “mata” o Superfish e seus efeitos colaterais automaticamente em máquinas Windows. O programa de limpeza da Lenovo pode ser encontrado neste website.
O programa antivírus da McAfee, o Internet Security, já vem pré-instalado em máquinas Lenovo desktop e notebooks 2-em-1 como parte do conjunto de softwares que a empresa chinesa instala de fábrica nos seus PCs como forma de gerar receita adicional. No caso do programa da McAfee, a Lenovo oferece 30 dias de uso gratuito e, se o usuário comprar a assinatura completa da McAfee, ela então ganha um percentual sobre a venda.
A ironia é que o Superfish também faz parte desse pacote de programas pré-instalados. A prática de pré instalar programas em computadores vendidos para o mercado de consumo tem sido criticada frequentemente por especialistas em segurança digital, que apelidam tais programas de “bloatware” ou “crapware”. O risco, bem ilustrado nesse caso pela crise do Superfish, é de que um desses softwares venha a abrir brechas de segurança não conhecidas pelo usuário.
A crise do Superfish certamente vai custar caro para a Lenovo, que desde quinta-feira vem se desculpando com os usuários alegando que desconhecia o risco da vulnerabilidade potencial aberta pelo certificado instalado pelo Superfish.
A questão no entanto é um pouco mais profunda, diz Andrew Storms, vice-presidente de serviços de segurança da consultoria New Context, de San Francisco. “A pergunta importante aqui é se antes de instalar os programas a empresa fez a lição de casa checando o software que iria ser pré-instalado em seus computadores”. Uma pergunta que vale não só para a Lenovo mas para todos os fabricantes de PCs que adotam a prática do “bloatware”.