Lenovo: come rimuovere Superfish dal PC

Lenovo è stata accusata di compromettere la sicurezza dell'utente installando un'applicazione adware su tutti i computer Windows che lasciano la sua fabbrica. Il software, chiamato Superfish, pretende di offrire agli utenti una esperienza di 'ricerca visiva'. In realtà, inietta pubblicità di terze parti nei risultati di ricerca di Google e siti web, senza chiedere il permesso all'utente. Superfish da gennaio 2015 non viene più installato sui nuovi PC.

Scritto da

Simone Ziggiotto

il

Lenovo, il più grande produttore di PC al mondo, è stata accusata di compromettere la sicurezza dell’utente installando un’applicazione adware su tutti i computer Windows che lasciano la sua fabbrica. Il software, chiamato Superfish, pretende di offrire agli utenti una esperienza di "ricerca visiva". In realtà, inietta pubblicità di terze parti nei risultati di ricerca di Google e siti web, senza chiedere il permesso all’utente.

Per mettere annunci su siti web serviti per l’utente tramite una connessione criptata, come Google fa di default, i proprietari Lenovo riferiscono che Superfish raggira anche il software di sicurezza utilizzato dai computer per accedere a Internet in privato. Anche se l’utente rimuove l’adware dal proprio computer, un bug di sicurezza rimane presente. Nel peggiore dei casi, l’utente lascia sempre una ‘porta aperta’ che può essere usata ogni volta che si utilizza una rete Wi-Fi pubblica, lasciando ad un intercettatore il via libera di leggere le informazioni dell’utente.

Gli utenti si lamentano di Superfish su forum di Lenovo dal settembre 2014, ma solo alla fine di gennaio 2015 l’azienda cinese, che guida il mercato dei PC in termini di unità vendute, ha risposto. Solo nel quarto trimestre del 2014 la società ha venduto 16 milioni di PC, tra cui la maggior parte della popolare gamma ThinkPad, che ha acquistato da IBM nel 2005.

Un rappresentante della società sul forum aziendale ha pubblicato la notizia che è stata fermata l’installazione di Superfish sui nuovi computer, "fino al momento in cui Superfish sarà in grado di fornire una software integrato che risolve questi problemi.". 

"Per essere chiari, Superfish viene fornito solo con i prodotti di consumo Lenovo ed è una tecnologia che aiuta gli utenti a trovare e scoprire prodotti visivamente", ha continuato il rappresentante. "La tecnologia analizza istantaneamente le immagini sul web e presenta offerte di prodotti identici e simili che possono avere prezzi più bassi, aiutando gli utenti a cercare un oggetto attraverso le immagini senza sapere esattamente come viene chiamato o come descriverlo in un tipico motore di ricerca testuale."

"Quando si usa Superfish per la prima volta, all’utente vengono presentate le Condizioni di Uso e sulla privacy, e ha la facoltà di non accettare questi termini, quindi Superfish viene disattivato.". Ma gli utenti segnalano che, anche se non accettano il contratto di licenza, il software rimane installato e anche se il software viene disinstallato, il bug di sicurezza rimane attivo.
 
AGGIORNAMENTO 21 FEBBRAIO

Lenovo ha recentemente annunciato di aver rilasciato un sistema di rimozione automatica del software Superfish.
Il problema, secondo le fonti ufficiali, riguarda i portatili a marchio Lenovo consegnati tra Settembre e Dicembre 2014.

Per accedere al tools ufficiale, clicca qui

 

Lista dei modelli di PC Lenovo con Superfish

Lenovo ha comunicato la lista dei computer su cui Superfish veniva installato:
G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
Y Series: Y430P, Y40-70, Y50-70
Z Series: Z40-75, Z50-75, Z40-70, Z50-70
S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
E Series: E10-30 

Superfish sui PC Lenovo: GUIDA su come eliminare software e certificato

Istruzioni per determinare se si dispone dell’applicazione Superfish installata e come disinstallarlo:

Fase 1. Aprire Pannello di controllo

Fase 2: Trovare "Installazione applicazioni" e selezionare "Aggiungi o rimuovi programmi"

Fase 3. Nell’elenco di programmi installati, individuare "Superfish Inc. Visual Discovery".

Nota: se non si trova un elemento con il nome di "Superfish Inc. VisualDiscovery", l’applicazione non è installata. Tuttavia, si dovrebbe comunque seguire la guida successiva per "Come rimuovere il certificato Superfish".

Fase 4: Selezionare "Disinstalla". La disinstallazione richiederà alcuni secondi. Al termine della disinstallazione, verrà automaticamente rimosso dall’elenco dei programmi installati.

Fase 5: Dopo la conferma della rimozione dell’applicazione, si prega di seguire le istruzioni per "Come rimuovere il certificato Superfish".

Istruzioni per determinare se si dispone del certificato Superfish installato e come rimuoverlo:

Dopo aver disinstallato l’applicazione Superfish, il certificato può ancora rimanere. È molto importante eliminare il certificato anche se l’applicazione stessa è stata rimossa.

Fase 1. Aprire ‘Ricerca’

Fase 2: Ricercare la parola "certificato". Selezionare "Gestione certificati del computer".

Fase 3: Quando richiesto da Windows, "Vuoi consentire a questo programma di apportare modifiche al computer?", selezionare ‘Sì’

Fase 4: Dovrebbe apparire la finestra di gestione dei certificati. Nel pannello di sinistra, selezionare "Autorità di certificazione fonti attendibili", seguita dalla sottocartella "Certificati". Sul pannello di destra, trovare l’elemento con il nome di "Superfish, Inc.".

Nota: se non si trova un elemento con il nome di "Superfish Inc.", non hai il certificato installato.

Fase 5. Fare clic destro sulla voce con l’etichetta "Superfish, Inc." e selezionare ‘Elimina’.

Fase 6. Quando viene richiesto da Windows per confermare l’eliminazione, selezionare ‘Sì’. Il certificato dovrebbe essere rimosso.

Fase 7. Riavviare il dispositivo.

Superfish sui PC Lenovo: come eliminare software

Superfish sui PC Lenovo: come eliminare certificato

Lenovo Superfish

Lenovo ha detto a The Guardian in un comunicato che: "Lenovo ha rimosso Superfish a partire dai nuovi computer di consumo usciti dalle fabbriche nel mese di gennaio 2015. Allo stesso tempo Superfish verrà disabilitato nelle macchine Lenovo esistenti nel mercato. Superfish è stato precaricato su un numero selezionato di soli modelli di consumo. Lenovo sta accuratamente studiando tutte le preoccupazioni sollevate riguardo a Superfish".

Al fine di mettere annunci nelle pagine crittografate, Superfish installa un "certificato di origine" sui computer degli utenti. In genere, quando un utente visita una pagina cifrata attraverso una connessione HTTPS, come un e-commerce o un sito web di una banca, il computer utilizza il certificato della pagina che stanno visualizzando per crittografare la connessione, nascondendolo dalle intercettazioni. Per controllare che il certificato del sito è valido, il computer si affida alle grandi "autorità di certificazione", grandi imprese di sicurezza come Symantec o Comodo. Ma il nuovo certificato installato sui computer Lenovo da Superfish lascia all’azienda la possibilità di sostituire il certificato di una pagina con uno proprio, in modo da poter inserire annunci e pop-up durante la navigazione dell’utente.

Peggio ancora, se la chiave privata del certificato è stata rubata da qualsiasi computer Lenovo compromesso, può essere utilizzata per entrare su ogni computer Lenovo compromesso. Ciò lascerebbe essenzialmente la aperta dei computer degli utenti a qualsiasi intercettazione se usano una rete WiFi pubblica.

Rik Ferguson, capo della ricerca di sicurezza di Trend Micro, ha detto che "è semplicemente inaccettabile minare furtivamente e senza consenso la sicurezza di base di HTTPS impiegando tecniche man-in-the-middle, o altre tecniche simili".

Impostazioni privacy