Alfonso Maruccia

Lenovo, bloatware con vulnerabilitÓ

La corporation cinese colta a distribuire laptop con un controverso software installato di default. Quel che Ŕ peggio, potenzialmente pericoloso per la sicurezza del sistema. Proprio mentre BSA dimostra la correlazione tra software pirata e rischi per l'utente

Roma - I laptop Lenovo venduti nei mesi passati includono un bloatware potenzialmente pericoloso, dicono alcuni report, un software pensato per scopi pubblicitari che però "infetta" il sistema con un meccanismo di firma digitale dei certificati sfruttabile per compiere azioni malevole. Una prospettiva esclusa da Lenovo stessa in un comunicato.

Superfish, questo il nome del software installato da Lenovo sui propri computer portatili, è un noto adware che interagisce con le ricerche Web dell'utente mostrando su schermo messaggi pubblicitari contestuali. Una soluzione con cui il maggior produttore di PC al mondo "monetizza" i laptop consumer, senza richiedere alcuna autorizzazione all'utente prima di mostrare pop-up pubblicitari sullo schermo.

La presenza di Superfish sui laptop Lenovo è emersa nei mesi scorsi, con gli acquirenti che hanno usato i forum ufficiali della corporation per lamentarsi dell'advertising non richiesto su PC nuovi di fabbrica. Lenovo ha risposto sostenendo di aver cessato l'installazione di Superfish dai propri sistemi fin dal mese di gennaio, e di aver di fatto sospeso il suo funzionamento sui sistemi precedentemente venduti: non si sarebbero rilevati problemi si sicurezza, ma si sarebbe semplicemente reagito alle apprensioni mostrate dagli utenti rispetto al software di terze parti.
A creare preoccupazioni presso l'utenza è il modo in cui Superfish interagisce con le ricerche Web, vale a dire servendosi di certificati crittografici (SSL) auto-firmati da una "certificate authority" installata sul sistema: si tratta a tutti gli effetti di certificati fasulli non rilasciati da alcuna autorità terza, e il meccanismo è potenzialmente sfruttabile per generare nuovi certificati falsi da usare per azioni malevole.

Il mondo dei computer portatili di marca è da tempo costretto a convivere con bloatware, crapware e backdoor installati nel BIOS/firmware di sistema (Absolute Computrace) a volte spiegate come misure di sicurezza, ma per BSA (Business Software Alliance) il problema principale della sicurezza IT continua a essere il software senza licenza: la correlazione tra programmi pirata e le infezioni da malware è "forte e consistente", sostiene BSA. La correlazione tra il software preinstallato e i rischi a cui è esposto l'utente è ancora da provare.

Alfonso Maruccia
Notizie collegate
45 Commenti alla Notizia Lenovo, bloatware con vulnerabilitÓ
Ordina
  • Qui c'è scritto come rimuovere i certificati di Superfish.

    http://www.ghacks.net/2015/02/19/lenovo-pcs-ship-w.../

    ha certificati con privilegi (non da bloatA bocca aperta ) da root quindi si deve parlare di rootkit... gravissimo è dire poco, e la cosa ancora più grave è che la disinstallazione della estensione non rimuove il certificato.
    non+autenticato
  • Update: Lenovo released a statement on Superfish today. The main takeaway from the statement is that the company stopped the preloading of Superfish in January, that it won't preload the software in the future, and that the system has been disabled server-side since January.
  • Spiegami come funzionano le cose: quando è Sony che inserisce un rootkit è smerd*ata a vita, mentre se si chiama Lenovo non fa niente?

    Non è che prima metti un sw e la faccia sulla TUA macchina e solo dopo essere stato scoperto fai un passo indietro...

    L'unica cosa che ora Lenovo può fare per dimostrare un minimo di decenza è vendere i computer con il SO e senza altro software aggiunto bloatware o no. Se non fa così allora io personalmente ci starò alla larga (come per Sony).
    non+autenticato
  • - Scritto da: prova123
    > Spiegami come funzionano le cose: quando è Sony
    > che inserisce un rootkit è smerd*ata a vita,
    > mentre se si chiama Lenovo non fa
    > niente?

    Lenovo inserisce rootkit nei propri devices che vende.
    Sony ha inserito rootkit in devices altrui.

    > Non è che prima metti un sw e la faccia sulla TUA
    > macchina e solo dopo essere stato scoperto fai un
    > passo
    > indietro...
    >
    > L'unica cosa che ora Lenovo può fare per
    > dimostrare un minimo di decenza è vendere i
    > computer con il SO e senza altro software
    > aggiunto bloatware o no. Se non fa così allora io
    > personalmente ci starò alla larga (come per
    > Sony).

    Bravo!
  • - Scritto da: panda rossa

    >
    > Lenovo inserisce rootkit nei propri devices che
    > vende.
    > Sony ha inserito rootkit in devices altrui.
    >

    Siccome lenovo prima di vendermi il computer non l'ha completamente rimosso, l'ha venduto a me e quindi l'ha inserito nel device "altrui" come Sony.
    non+autenticato
  • - Scritto da: prova123
    > Spiegami come funzionano le cose: quando è Sony
    > che inserisce un rootkit è smerd*ata a vita,
    > mentre se si chiama Lenovo non fa niente?

    Lenovo ha fatto creare questo virus appositamente per usarlo come sistema di controllo come fece a suo tempo sony ?
    non+autenticato
  • è bene comprare notebook lenovo con freedos incluso e poi installarci windows 8 (dopo aver formattato l'hard disk)
    -----------------------------------------------------------
    Modificato dall' autore il 19 febbraio 2015 21.01
    -----------------------------------------------------------
  • Sarebbe più corretto acquistare un computer con winX, formattarlo, e reinstallare la stessa versione di winX con lo stesso codice di licenza.Sorride
    Poi ripulire winX anche dai processi ed attività non necessarie.A bocca aperta
    non+autenticato
  • Il problema è che vi piazzano di tutto anche nel BIOS ...
    non+autenticato
  • cioè? che piazzano ?
    e come si tolgono 'ste cose ?

    Se parli di absolute computrace io ho visto dal sito che è una cosa utile (a dir poco) , serve a rintracciare un computer (o altro device) rubato. e l'hanno messo in tantissimi computer notebook . è stato quindi scelto da tantissimi produttori di pc.
    è messo in una parte del bios che non viene toccata dai bios quando si flashano/aggiornano.

    altre informazioni qua:

    forums.theregister.co.uk/forum/1/2014/02/17/kaspersky_computrace/   

    se credi che ci siano problemi di sicurezza, là nei commenti viene spiegato come creare nomi di cartelle per impedire la creazione dei file dal bios a hard disk.


    I've googled this, and may have a neat fix: While there may be some alternate roms out there that have this disabled (or at least non-functional), you can do the following that'll work on any windows box.

    Create a batch file with these contents:

    TASKKILL /F /IM "rpcnetp.exe"

    TASKKILL /F /IM "rpcnet.exe"

    TASKKILL /F /IM "upgrd.exe"

    del "C:\Windows\System32\UPGRD.exe"

    del "C:\Windows\System32\rpcnet.exe"

    del "C:\Windows\System32\rpcnetp.exe"

    del "C:\Windows\System32\rpcnetp.dll"

    del "C:\Windows\System32\rpcnet.dll"

    md "C:\Windows\System32\UPGRD.exe"

    md "C:\Windows\System32\rpcnet.exe"

    md "C:\Windows\System32\rpcnetp.exe"

    md "C:\Windows\System32\rpcnetp.dll"

    md "C:\Windows\System32\rpcnet.dll"

    Run the batch file once. It stops the processes, it deletes the files (which normally come back at reboot), it creates folders named the same as the files.

    The files can't come back, because you can't create a file if there is a folder of the same name. And it stays like that, because the offending code that creates the files is usually not smart enough to realise it's a rougue folder that's preventing the file creation.

    Let me know if it works.
    -----------------------------------------------------------
    Modificato dall' autore il 20 febbraio 2015 02.22
    -----------------------------------------------------------
  • computrace e' una bazzecola in confronto a quello che Intel infila nei suoi processori (vPro series): http://download.intel.com/products/vpro/whitepaper...

    buona lettura
    non+autenticato
  • Quale è la parte di "Intel AMT is a combination of Hardware, software and firmware</> che non hai capito?
    e In quale parte non hai letto come avvengono le comunicazioni? (che ovviamente puoi abilitare/disabilitare/intercettare e se vuoi bloccare con un comunissimo FW?)...
    No perchè se siamo alla ennesima puntata dei soliti post che sostengono la comunicazione telepatica e i miracoli sul principio di conservazione dell'energia ci saremmo anche scassati le balle....
    non+autenticato
  • Quale è la parte di "Intel AMT is a combination of Hardware, software and firmware che non hai capito?
    e In quale parte non hai letto come avvengono le comunicazioni? (che ovviamente puoi abilitare/disabilitare/intercettare e se vuoi bloccare con un comunissimo FW?)...
    No perchè se siamo alla ennesima puntata dei soliti post che sostengono la comunicazione telepatica e i miracoli sul principio di conservazione dell'energia ci saremmo anche scassati le balle....
    non+autenticato
  • quale parte di "Most importantly, these hardware-based capabilities are available to authorized IT down-the-wire, even for PCs that are powered off or whose operating system (OS) is down." non ti e' chiara?
    non+autenticato
  • Quella parte che si scorda che deve essere attaccato a un filo (è scritta molto chiara)...
    non+autenticato
  • e quindi? il fatto che oggi questa tecnologia necessiti di un 'filo' la rende piu' accettabile?
    non+autenticato
  • No non rende nulla "più accettabile" il punto è che è tutta roba che abiliti/disabiliti e se vuoi puoi controllare (non c'è nessun "miracolo") se le informazioni che dai danno solo la impressione (del tutto campata in aria) che non puoi fare nulla stai solo tirando l'acqua al mulino di "qualcuno" oppure sei semplicemente un "wannabe" (scegli tu quale delle due ipotesi preferisci).. tertium non datur.
    non+autenticato
  • perspiare un pc basta un chippetto messo nella tastiera, un 4 o bit con una rom tutta sua che gira da solo e nonfa altro che spedire a certiindirizzi rtutti i tasti che vengono premuti,
    avevo letto di hacker che manomettono dei mouse con dei chip loroe poi li rimettono negli scaffali, inquestomodo hanno il controllo di pc senza infettare col software
    non+autenticato
  • - Scritto da: capitan farlock
    > perspiare un pc basta un chippetto messo nella
    > tastiera, un 4 o bit con una rom tutta sua che
    > gira da solo e nonfa altro che spedire a
    > certiindirizzi rtutti i tasti che vengono
    > premuti,
    > avevo letto di hacker che manomettono dei mouse
    > con dei chip loroe poi li rimettono negli
    > scaffali, inquestomodo hanno il controllo di pc
    > senza infettare col
    > software

    Ad un sistema operativo se ti presenti come tastiera ti tratta da tastiera, se ti presenti come mouse ti tratta da mouse, tanto per cominciare.

    Puoi dare riferimenti più precisi ?
    non+autenticato
  • >I laptop Lenovo venduti nei mesi passati includono un bloatware potenzialmente pericoloso [...]

    E tutti quei pc con windows 8 allora?
    non+autenticato
  • - Scritto da: trollollero
    > >I laptop Lenovo venduti nei mesi passati
    > includono un bloatware potenzialmente pericoloso
    > [...]
    >
    > E tutti quei pc con windows 8 allora?
    non fa testo. Nel senso che windows E' bloatware da che esiste (o almeno da > win3.x ).

    Cmq sti cinesi han davvero messo un bel crapware.... altro che le solite toolbar merdose che mettono gli altri... complimenti ( cfr blog.erratasec.com/2015/02/some-notes-on-superfish.html )
    non+autenticato
  • - Scritto da: bubba

    > Cmq sti cinesi han davvero messo un bel
    > crapware....

    E' pazzesco e qualcuno ha già 'craccato' il certificayo

    Lenovo è perfino riuscita a dire che è un servizio utile per l'utente.
    Io fossi nella posizione giusta la multerei impedendogli di vendere per 6 mesi sul territorio nazionale.
    Non puoi vendere informatica e fare finta che indebolire https in quel modo sia scambiabile con un "servizio utile per l'utente" (ovvero la pubblicità!).
    Se lo fai sei una capra tale che non meriti di operare nelll'informatica.
    non+autenticato
  • - Scritto da: ...
    > - Scritto da: bubba
    >
    > > Cmq sti cinesi han davvero messo un bel
    > > crapware....
    >
    > E' pazzesco e qualcuno ha già 'craccato' il
    > certificayo
    >
    > Lenovo è perfino riuscita a dire che è un
    > servizio utile per
    > l'utente.
    > Io fossi nella posizione giusta la multerei
    > impedendogli di vendere per 6 mesi sul territorio
    > nazionale.
    > Non puoi vendere informatica e fare finta che
    > indebolire https in quel modo sia scambiabile con
    > un "servizio utile per l'utente" (ovvero la
    > pubblicità!).
    > Se lo fai sei una capra tale che non meriti di
    > operare
    > nelll'informatica.
    si o almeno un bel multone in denaro (gli stop alle vendite riescono a farli solo per i brevetti-fuffa... sara' strano? Sorride )

    Cmq ALLA FINE tutto si riconduce sempre a IL PROBLEMA per definizione : M$ che vende preinstallati. Obbligata a vedere il caxxo di OS verbatim (e il pc come metallo),e il problema si sarebbe risolto da' se (nel senso che non sarebbe mai nato.. ne' questo, ne' tutti quelli dei precedenti anni. Certo forse Norton sarebbe fallita... ma who caresCon la lingua fuori)
    non+autenticato
  • Quoto tutto e aggiungo:
    che Norton fallisca sarebbe cosa buona e giusta e fonte di salvezza nei secoli dei secoli. Amen.
    Fratelli... preghiamo affinchè Norton falliscaA bocca aperta
    non+autenticato
  • - Scritto da: MicroShit Supporter
    > Quoto tutto e aggiungo:
    > che Norton fallisca sarebbe cosa buona e giusta e
    > fonte di salvezza nei secoli dei secoli.
    > Amen.
    > Fratelli... preghiamo affinchè Norton falliscaA bocca aperta

    Prego con te, loro e il loro dannato scareware non disinstallabile presente di default su metà dei portatili in circolazione! Arrabbiato
    Izio01
    4068
  • allora dovrebbero rimuovere ed impedire la vendita anche di certi apparati C1sc0 (ironport anyone?) che e' noto pratichino un poco ortodosso MITM quando si tratta di certificati SSL.
    non+autenticato
  • Ma informazioni complete mai?
    "The main drawback from this approach is that the certificate presented to the client will be untrusted, because it is signed by the Ironport application"
    A casa mia le informazioni di sicurezza incomplete si chiamano "snake oil" da te come si chiamano?
    non+autenticato
  • ti rispondo quotando lo stesso blog: ".. scott is spot on, the domain on the cert (the subject name) doesn't match the domain name your visiting ,hence, the certificate is invalid"
    non+autenticato
  • Risposta errata.
    Vedi il problema non è il "nome" ma il trust (diversa chiave diversa CA "untrusted" e diverso hash) prima di sparare razzate accertati di sapere di cosa parli.
    Perchè vedi i casi sono 2 o non hai mai visto neppure in foto ciò di cui parli (comune wannabe) oppure sei uno che sparge fud per scopi "imperscrutabili".
    non+autenticato
  • mi stai dicendo che l'host name validation non fa parte del processo di validazione di un certificato ssl?
    non+autenticato
  • impressionante.. la BSA e' ancora viva. Credevo avesse chiuso da un pezzo... e invece... come la siae e parenti, la pianta cattiva non muore mai.
    non+autenticato