Después de conocerse la noticia, la compañía china indicó que desactivará el adware en sus próximos equipos.

Distintos usuarios de laptops de Lenovo encontraron en sus equipos un adware instalado de fábrica, conocido como Superfish, que facilita la entrada de publicidad no deseada en las computadoras portátiles. A pesar de que esto no es nuevo, Superfish tiene la particularidad de que no sólo permite que entre publicidad específica cuando se navega en la red, sugiriendo resultados en las búsquedas basadas en los gustos personales del usuario y abriendo pop-ups a granel, sino que también facilita la vulnerabilidades del equipo a ataques cibernéticos.

Este software es capaz de autogenerar certificados SSL, los cuales le dan acceso a los anuncios publicitarios en todo momento mientras navegamos en la red, incluso en conexiones seguras, como páginas de bancos. Esto también representa un peligro potencial ante los ataques de hackers, debido a que gracias a este adware es muy fácil infiltrar a los equipos aprovechando estas puertas de entrada.

Lenovo reconoció que, efectivamente, sus equipos incluían este adware, aunque indicó que sólo sus laptops más recientes. Además señaló que estaba pensado para ayudar a que los usuarios encontraran ofertas y recomendaciones basadas en sus gustos particulares, mencionando que, para evitar polémicas, desactivaría su uso en las próximas terminales que salgan a la venta en lo que resuelven los problemas de vulnerabilidad.

lenovo
Aun borrando Superfish, es necesario eliminar manualmente el certificado SSL

Pero, de manera similar a lo que declaró Samsung cuando se dieron a conocer las políticas de uso de sus SmartTVs, la compañía intentó lavarse las manos indicando que los usuarios de sus equipos puedes optar por desactivar Superfish cuando configuras su computadora por primera vez, lo cual no puede hacerse si no se conocer que el programa está instalado.

Los expertos sostienen que, por lo menos, el software malicioso esta instalado en las laptops fabricadas por Lenovo en los últimos dos años, así como que el problema de los certificado de seguridad generados automáticamente solamente afecta si se usa como navegador a Chrome o Internet Explorer.

Los usuarios de la marca ya han encontrado una manera de desactivar la vulnerabilidad: primero es necesario desinstalar y eliminar el software Superfish (que también puede venir nombrado como VisualDiscovery o WindowsShopper). Como desinstalar el programa no elimina el certificados de seguridad SSL, es necesario borrarlo manualmente. Desde Chrome se debe de acceder a la sección “Información de Google Chrome”, ahí seleccionar “Configuración”, dirigirse a “Mostrar opciones avanzadas, entrar a HTTPS/SSL” y, finalmente, en “Administrar certificados” borrar el certificado de Superfish. En el caso de Internet Explorer, se debe de ingresar a “Opciones de Internet”ahí dirigirse a “Contenido”, y seleccionar la opción “Certificados” desde donde se puede borrar el SSL.

Actualización (1:19 pm):

Lenovo nos hizo llegar su postura oficial con respecto a Superfish, indicando que el adware sólo esta presente en las notebooks que se fabricaron entre septiembre y diciembre del año pasado. De acuerdo con la compañía, el software nunca representó un problema de seguridad para sus usuarios, pero debido a que no fue bien recibido es que se decidió retirarlo. Además indican que toda la información para retirar el adware, en caso de no estar contento con su explicación, esta disponible en sus foros. Aquí dejamos el comunicado de forma íntegra:

“Superfish fue previamente incluido en algunas notebooks de consumo que se enviaron en el periodo de tiempo comprendido entre septiembre y diciembre, para ayudar a los clientes a descubrir productos interesantes al realizar sus compras. Sin embargo, la retroalimentación de los usuarios no fue positiva, por lo que respondimos de manera rápida y contundente:

  • Desde enero, Superfish ha inhabilitado por completo las interacciones desde el servidor en todos los productos, por lo que no se encuentra ya activo. Esto inhabilita Superfish para todos los productos en el mercado.
  • Lenovo dejó de preinstalar el software en enero pasado.
  • Lenovo no preinstalará el software en el futuro.

Hemos investigado a fondo esta tecnología y no encontramos evidencia sobre posibles problemas de seguridad. Sin embargo, sabemos que los usuarios reaccionaron a este tema con preocupación, por lo que hemos tomado acción directa para detener el envío de cualquier producto con dicho software. Seguiremos revisando minuciosamente lo que hacemos y cómo lo hacemos para asegurarnos de anteponer siempre las necesidades, experiencia y prioridades del usuario.

La tecnología Superfish se basa puramente en aspectos contextuales y de imagen, y no de comportamiento. No crea un perfil ni monitorea el comportamiento del usuario. No registra la información ni sabe quién es el usuario. Tampoco rastrea a los usuarios, ya que cada sesión es independiente. Los usuarios tienen la opción de aceptar si desean o no utilizar el producto. La relación con Superfish no es económicamente significativa; nuestro objetivo era mejorar la experiencia de los usuarios. Reconocemos que el software no cumplía con ese objetivo y hemos actuado con rapidez y decisión.

Estamos proporcionando apoyo en nuestros foros para cualquier usuario que tenga inquietudes sobre este tema. Nuestro objetivo es encontrar tecnologías que sirvan mejor a los usuarios. En este caso, hemos respondido rápidamente a los comentarios negativos, y tomado acciones decisivas para garantizar la solución a estas preocupaciones. Si los usuarios aún desean adoptar otras medidas, podrán encontrar la información detallada en http://forums.lenovo.com.”

vía Lenovo Forums

fuente The Next Web

temas