Lenovo si trova al centro di uno scandalo di sicurezza quando emerge che l’azienda ha preinstallato sui propri laptop consumer un software chiamato Superfish Visual Discovery che per funzionare installa un certificato root nel sistema operativo e intercetta tutto il traffico HTTPS, un comportamento che i ricercatori di sicurezza hanno immediatamente identificato come man-in-the-middle attack identico nelle modalità tecniche a quello che un hacker malevolo eseguirebbe per rubare password e dati sensibili. Il software era stato incluso per mostrare pubblicità contestuale basata sulle immagini visualizzate durante la navigazione, una funzionalità che Lenovo ha descritto come miglioramento dell’esperienza shopping ma che per implementarla ha richiesto di compromettere la sicurezza fondamentale di ogni connessione crittografata effettuata dal dispositivo. La scoperta ha scatenato una reazione immediata della comunità della sicurezza informatica che ha dimostrato quanto fosse facile sfruttare la vulnerabilità per impersonare qualsiasi sito web e intercettare credenziali bancarie, email e qualsiasi dato che gli utenti credevano protetto dalla crittografia HTTPS.
Il meccanismo tecnico della vulnerabilità
Per iniettare pubblicità anche nelle pagine servite tramite HTTPS, Superfish doveva decrittare il traffico, analizzare le immagini, inserire i propri contenuti pubblicitari, e poi ricrittare tutto prima di presentarlo al browser dell’utente, un processo che richiedeva l’installazione di un certificato root che il sistema operativo e i browser avrebbero considerato attendibile per qualsiasi sito web. Il problema critico era che tutti i laptop Lenovo con Superfish utilizzavano la stessa chiave privata per questo certificato, una chiave che i ricercatori sono riusciti a estrarre in poche ore dalla pubblicazione delle prime analisi, rendendo qualsiasi dispositivo colpito vulnerabile a chiunque possedesse quella chiave. Un attaccante sulla stessa rete WiFi di un laptop Lenovo con Superfish poteva creare certificati falsi per qualsiasi sito web incluse banche, servizi email e qualsiasi altro servizio che l’utente credeva protetto dalla crittografia, intercettando password e sessioni autenticate senza che la vittima ricevesse alcun warning dal browser. La gravità era amplificata dal fatto che gli utenti non avevano modo di sapere che il software era installato se non cercandolo esplicitamente, e che la vulnerabilità rimaneva anche dopo aver disinstallato Superfish se il certificato root non veniva rimosso separatamente.
La portata del problema e i dispositivi colpiti
Lenovo ha confermato che Superfish era stato preinstallato sui laptop consumer venduti tra settembre 2014 e gennaio 2015, escludendo la linea business ThinkPad ma includendo serie popolari come G, U, Y, Z, S, Flex, MIIX, YOGA ed E che rappresentavano milioni di dispositivi venduti nel periodo natalizio quando le vendite di computer raggiungono il picco annuale. L’esclusione dei ThinkPad dalla pratica dimostrava che Lenovo comprendeva che i clienti business non avrebbero tollerato software preinstallato che comprometteva la sicurezza, una consapevolezza che rendeva ancora più difficile giustificare la decisione di esporre i consumatori ordinari allo stesso rischio. Gli utenti colpiti non avevano alcuna indicazione che i loro dispositivi fossero vulnerabili a meno che non seguissero le notizie tech o non utilizzassero strumenti di verifica specifici sviluppati dai ricercatori di sicurezza nelle ore successive alla rivelazione. Il sito filippo.io/Badfish creato dal ricercatore Filippo Valsorda permetteva di verificare immediatamente se un browser era compromesso dal certificato Superfish, diventando risorsa essenziale per gli utenti che cercavano di capire se erano colpiti.
La risposta di Lenovo e la gestione della crisi
La risposta iniziale di Lenovo ha peggiorato la situazione quando l’azienda ha minimizzato il problema dichiarando che Superfish era completamente sicuro e non rappresentava una minaccia, una posizione insostenibile che è stata demolita in ore dalla comunità della sicurezza che ha dimostrato esattamente come sfruttare la vulnerabilità per attacchi reali. Di fronte all’evidenza schiacciante e alla shitstorm mediatica che stava danneggiando il brand, Lenovo ha fatto retromarcia ammettendo l’errore, rilasciando strumenti di rimozione automatica, e promettendo pubblicamente di non ripetere pratiche simili in futuro con il CTO che si è scusato personalmente. La rimozione completa richiedeva non solo la disinstallazione del software Superfish dal Pannello di Controllo ma anche l’eliminazione manuale del certificato root dallo store dei certificati di Windows e, separatamente, da Firefox che utilizza un proprio store indipendente. Per gli utenti meno tecnici che non erano in grado di eseguire queste operazioni manualmente, la vulnerabilità poteva rimanere attiva anche dopo aver seguito le istruzioni di base fornite inizialmente.
Il problema sistemico del bloatware
Lo scandalo Superfish ha portato all’attenzione pubblica il problema più ampio del bloatware, software preinstallato sui PC dai produttori che raramente serve gli interessi dell’utente e spesso degrada le prestazioni, compromette la privacy, o in casi estremi come questo la sicurezza stessa del dispositivo. I produttori di PC operano con margini di profitto bassissimi che li spingono a cercare revenue aggiuntive vendendo a sviluppatori software la possibilità di raggiungere milioni di utenti attraverso la preinstallazione, trasformando i clienti in prodotto invece che in acquirenti di un servizio. Antivirus in versione trial, toolbar per browser, software di ottimizzazione di dubbia utilità, e giochi demo riempiono i nuovi PC rallentandoli e creando confusione per gli utenti che non sanno cosa sia necessario e cosa possa essere rimosso senza conseguenze. Superfish rappresenta il caso più grave documentato dove il bloatware ha attivamente danneggiato la sicurezza degli utenti, ma il problema di fondo è il modello di business che incentiva pratiche contro gli interessi di chi paga per il prodotto.
Come proteggersi dal bloatware
La soluzione più radicale ed efficace è reinstallare Windows da zero utilizzando un’immagine pulita scaricata direttamente da Microsoft invece che la versione preinstallata dal produttore, eliminando completamente qualsiasi software aggiunto e ottenendo un sistema operativo esattamente come Microsoft lo ha progettato senza interferenze. Microsoft offre la linea Signature Edition di PC venduti attraverso i propri Microsoft Store che sono garantiti privi di bloatware, un’alternativa per chi non vuole o non sa reinstallare il sistema operativo ma vuole evitare il problema alla radice. Le linee business come ThinkPad, HP EliteBook e Dell Latitude tipicamente includono meno bloatware perché i clienti aziendali hanno potere contrattuale sufficiente per rifiutare pratiche che complicano la gestione dei dispositivi e espongono a rischi di sicurezza. Mac e Linux offrono alternative dove il problema bloatware semplicemente non esiste perché Apple non vende spazio di preinstallazione a terzi e le distribuzioni Linux sono create da community che non hanno incentivo economico a includere software indesiderato.
Le conseguenze per Lenovo e l’industria
Il danno reputazionale per Lenovo è stato significativo con la comunità tech che ha mantenuto memoria dell’incidente e la fiducia nel brand che è stata compromessa in modi difficili da quantificare ma reali nelle decisioni di acquisto di utenti informati che avrebbero potuto altrimenti considerare i prodotti dell’azienda. Le class action sono state annunciate da studi legali che rappresentavano utenti colpiti cercando compensazione per il danno potenziale derivante dalla vulnerabilità, anche se dimostrare danni effettivi risulta difficile quando la vulnerabilità è stata scoperta prima che emergessero casi documentati di sfruttamento. Altri produttori hanno probabilmente rivisto le proprie pratiche di preinstallazione software alla luce dell’attenzione mediatica, anche se la pressione economica a monetizzare attraverso bloatware rimane e continua a produrre pratiche discutibili anche se forse non così gravi come Superfish. L’incidente ha educato una porzione del pubblico sui rischi del bloatware e sull’importanza di verificare cosa viene preinstallato sui propri dispositivi, anche se la maggior parte degli utenti consumer continua a utilizzare i computer esattamente come li trova alla prima accensione senza mai mettere in discussione il software presente.
Le lezioni per la sicurezza informatica
Lo scandalo Superfish dimostra che le minacce alla sicurezza possono venire non solo da hacker esterni ma dai produttori stessi dei dispositivi che in nome del profitto a breve termine sono disposti a compromettere la protezione dei propri clienti, una lezione che dovrebbe informare le decisioni di acquisto e la fiducia riposta nei vendor. La complessità dei sistemi moderni significa che pochi utenti hanno le competenze per verificare cosa effettivamente gira sui propri dispositivi, creando asimmetria informativa che può essere sfruttata da aziende che calcolano che la maggior parte degli utenti non scoprirà mai pratiche discutibili nascoste nel software preinstallato. La risposta della community della sicurezza è stata esemplare con ricercatori che hanno rapidamente analizzato la minaccia, creato strumenti di verifica, e comunicato i rischi in modo comprensibile al pubblico generale, dimostrando il valore dell’ecosistema di esperti indipendenti che monitorano e documentano le vulnerabilità. Per gli utenti individuali la lezione è che la fiducia nei produttori deve essere verificata attraverso pratiche come la reinstallazione del sistema operativo, l’attenzione alle notizie di sicurezza, e la preferenza per prodotti e aziende con track record dimostrato di rispetto per la sicurezza dei clienti.
