Divertente … anzi, no! assolutamente pazzesco.


I am just an adware

Bandiera inglese

Sembra che a partire dallo scorso agosto 2014, Lenovo abbia rilasciato sui suoi portatili, un Adware chiamato “Visual Discovery” prodotto da Superfish (?).

Lo scopo di questo “tool” era di operare come un proxy installato nel vostro browser, in modo da  fornire in modo trasparente un servizio di ricerca visuale: prende in ingresso la immagini che vengono presentate durante una semplice navigazione, le confronta con un grande DB nel cloud, per presentare poi una selezione di immagini simili.

Un tool che potrebbe anche essere comodo, se non fosse che, allo scopo di poter vedere proprio tutto il traffico dati, Superfish si è attrezzato per inserirsi anche nel mezzo delle comunicazioni https (e già!):   in pratica realizza un efficientissimo man-in-the-middle, all’interno del vostro computer.

In pratica ogni comunicazione dal browser verso un sito, incontra il suo end-point, direttamente in questa applicazione “filtro” [applicazioni definite LSP (Layered Service Provider) o WFP (Windows Filtering Platform) ], che provvede poi ad inoltrare la richiesta al sito di destinazione.

A questo punto, nel caso di una comunicazione https,  verrà attivato un canale “sicuro”  tra il browser e questo proxy (Superfish), quindi un secondo canale “sicuro” verrà attivato da Superfish ed il sito esterno. Quindi, esisterà una  comunicazione  crittografata e protetta, dal sito esterno, fino a Superfish e nuovamente -con una differente connessione “sicura”- da Superfish al vostro browser!

Mica facile però.

Nelle connessioni https, il browser verifica che il certificato server di autenticazione, sia prima di tutto verificabile come vero, quindi si riferisca effettivamente all’host che è stato richiamato dal browser; se il certificato server non dovesse venire verificato, il browser farebbe apparire un messaggio esplicito di avvertimento all’utente, per avvisarlo della situazione.

E come fa Superfish ad evitare questo controllo?

In pratica genera certificati server al volo, che permettano al browser di validare la connessione con se stesso.

Ma come è possibile che il  browser accetti questi certificati,  ovviamente falsi?

Facile: in fase di installazione, Superfish garantisce per sé verso Windows, presentandosi come una Certification Authority attendibile ed aggiungendo un proprio certificato “root” all’interno del repository di sistema.

In questo modo può creare e FIRMARE al volo certificati falsi dei vari siti su cui si naviga; tanto per non lasciare nulla al caso, il suo certificato rootCA permette non solo di verificare la firma di certificati server, ma anche di verificare le firme sui software.

Ovviamente per operare, è necessaria la chiave privata del certificato “root”;  questa è presente all’interno del software Superfish [e’ crittografata, ma tramite una chiave che è stata facilmente trovata da diversi ricercatori che operano con SSL].

Cosa c’è di peggio? Che Superfish può ovviamente essere sfruttato da malware e malicious sia per farvi navigare su siti falsi -ma che risultino perfettamente accreditati da falsi certificati server- sia per farvi accettare come validi, software di qualsiasi tipo possiate scaricare.

Ora, ipotizzando con ragionevolezza che Lenovo non sia il Re degli Hacker Mondiali, viene da pensare:
ma come **#!!@ gli può essere venuto in mente di fare una cosa del genere?

La prossima volta che uno degli OTT -e Lenovo lo è-  si proporrà per un sistema di controllo di una Rete Critica o per l’implementazione di un sistema di guida automatica nelle nostre auto, che dovremo pensare?


Funny? No, definitely crazy!

From August 2014 Lenovo released on his laptop an Adware that actually acts as a very efficient man-in-the-middle
The adware is known as Visual Discovery by Superfish and the worst thing -of course- is that this software could be abused by cybercrooks.
Next time one of the OOT in Computer and Software -Lenovo is one of them- will propose a Control System for a Critical Infrastructure or the implementation of an automatic guidance system in our cars, what will we have to think about?

From Homeland Security: You have to remove it, immediately! 

 
More on this:

Annunci

  1. Lascia un commento

Rispondi

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...

%d blogger hanno fatto clic su Mi Piace per questo: