Si compramos un ordenador de marca, estamos ya acostumbrados a una cierta carga de software preinstalado lo cual no supone un gran problema. Lenovo lamentable e irresponsablemente ha venido instalando un software llamado Superfish, el cual reemplaza cualquier certificado SSL en nuestro navegador por un certificado raíz propio. Desmontando de esta manera, la encriptación web en nuestra máquina y dejando este tipo de conexiones (email, bancos...) abiertas a atacantes. Ya sea por ignorancia, dejadez o avaricia, Lenovo ha cometido un gravísimo error.

Lenovo

 

Todos los ordenadores Lenovo fabricados a partir de mediados de 2014 hasta finales de ese mismo año tenían preinstalado un software llamado Superfish, que se ha descubierto responsable de reemplazar certificados SSL con la intención de leer estas conexiones e inyectar anuncios en esas páginas. Esto era posible ya que al completar la activación de este software, se instalaba localmente un proxy el cual era capaz de crear certificados SSL propios y reemplazarlos por los que la página segura enviaba a nuestro navegador, en resumen un ataque man-in-the-middle de serie en nuestro ordenador

Aquí tenéis una lista de modelos afectados de Lenovo:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch 
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW E Series: E10-30

Podéis comprobar si vuestra máquina está afectada en el siguiente link.

Para ahondar más aún si cabe el problema, Superfish utiliza la misma clave privada para todos los certificados raíz, la cual ya ha sido crackeada por varios investigadores, lo que convierte efectivamente a todos los poseedores de ordenadores Lenovo afectados y que no hayan desinstalado este software, en potenciales víctimas. Cualquier atacante puede a través de esta clave privada ya conocida leer cualquiera de nuestras conexiones seguras como datos de usuario/contraseñas/datos bancarios, etc..

Actualmente Lenovo está intentando capear la tormenta con disculpas, habiendo desactivado inmediatamente los servidores de Superfish y prometiendo lanzar inmediatamente una herramienta de desinstalación automática para el adware.

Actualización - Lenovo ya ha lanzado la herramienta e instrucciones de desinstalación de Superfish

Podéis ir desinstalando el software a mano (instrucciones), pero además habréis de desinstalar el certificado raíz (instrucciones) de vuestra máquina ya que en caso contrario este seguirá afectando a vuestras conexiones web encriptadas.

Han surgido noticias de que Superfish también ha podido afectar al Gestor de certificados de Firefox. Para comprobar si es nuestro caso debemos ir a Herramientas->Opciones->Avanzado->Certificados y Ver Certificados, si vemos algún certificado de Superfish, hay que clickar en "Eliminar o dejar de confiar"