Dopo essersi trascinata per più di due anni, la vicenda Superfish sta forse per arrivare ad una conclusione: scoperto dai ricercatori e classificato come vulnerabile e rischioso per la sicurezza degli utenti, l’adware installato da Lenovo sui portatili consumer ha spinto le autorità statunitensi a redarguire il colosso cinese e a farsi promettere (senza pegno) che una cosa del genere non si verificherà più.
Lenovo era stata accusata di aver installato surrettiziamente sui suoi PC un tool pubblicitario chiamato VisualDiscovery, software sviluppato appunto da una società nota come Superfish e progettato per intercettare il traffico di rete per visualizzare advertising contestuale sui prodotti elettronici visionati dall’utente su un browser Web.
La tecnica MitM (Man-in-the-Middle) sfruttata da VisualDiscovery era pericolosa, e la pericolosità aumentava esponenzialmente nel caso delle connessioni protette (HTTPS) perché il software faceva un uso scorretto di un certificato SSL identico per tutti i laptop coinvolti .
Già a poche settimane dalla scoperta del bloatware Lenovo aveva promesso di non installare più software pubblicitari sui nuovi PC, ma una semplice dichiarazione di intenti non era stata ovviamente sufficiente a fermare la cavalcata degli avvocati con le loro class action o le autorità statunitensi pronte a indagare approfonditamente sulla questione.
La Federal Trade Commission (FTC) USA ha ora comunicato che l’indagine è finita, e il risultato è nient’altro che una proposta di accordo extragiudiziario con Lenovo: la commissione federale ha imposto alla corporation di dichiarare senza sotterfugi l’eventuale installazione di software bloatware in futuro e con la richiesta esplicita del consenso dell’utente finale, imponendo altresì l’ installazione di un tool di sicurezza per almeno i prossimi 20 anni .
La proposta di accordo dovrà ora essere giudicata dal pubblico che avrà 30 giorni di tempo per commentarla, anche se dal punto di vista pratico si tratta di una sconfitta per tutti : Lenovo non è stata punita per il suo comportamento truffaldino e
può ancora dichiararsi innocente , mentre gli 800.000 utenti (stimati) coinvolti nello scandalo Superfish – che negli anni successivi ha anche portato alla diffusione di attacchi informatici capaci sfruttare la falla nel tool di VisualDiscovery – dovranno accontentarsi di un buffetto sulla superficie dell’immensa corazzata economica del maggior produttore di PC al mondo.
Alfonso Maruccia