Superfish: adware preinstalado en los portátiles de Lenovo

Resultó que los portátiles de Lenovo se habían enviado con un adware llamado Superfish. Es posible que permita el espionaje a conexiones codificadas.

El 19 de febrero de 2015, los portátiles de Lenovo fueron enviados con un adware Superfish preinstalado. Hay dos grandes problemas con esto.

El primero es que el fabricante del hardware había estado enviando los portátiles de consumo con un adware preinstalado durante varios meses – desde septiembre de 2014 hasta febrero de 2015.

Otro problema está relacionado con la forma en que se comporta Superfish. Es posible que su capacidad para producir certificados auto-firmados, permita a terceros interceptar las conexiones SSL/TLJS o, por ponerlo más fácil, las sesiones del explorador con enlaces.

Ahora, vamos a echarle un vistazo de cerca a este problema observando el comportamiento real de Superfish.

A continuación se muestra una captura de pantalla de un sitio web de banca online, a la que se ha accedido a través de Internet Explorer, desde un ordenador libre de adware. Al hacer clic en el icono de bloqueo, se muestra la información del certificado SSL:

superfish-scr-1

Acceso al sitio web del banco desde un ordenador limpio.

El certificado SSL es emitido por la Autoridad de Certificación (CA) para garantizar la propiedad del sitio web. En este caso, VeriSign es el emisor del certificado que garantiza la identidad del BANK Co, Ltd de Japón. Este certificado también se utiliza para codificar la ID de usuario o una contraseña de una sesión codificada.

La siguiente captura de pantalla es del mismo sitio web. Pero esta vez accediendo desde Internet Explorer, desde un ordenador infectado con Superfish. Ahora su certificado SSL muestra “Superfish” como emisor en lugar de “VeriSign”.

Acceso al sitio web del banco desde un ordenador infectado

Acceso al sitio web del banco desde un ordenador infectado

¿Cuál es la causa de este cambio? Superfish tiene su propio CA en su software. Esto hace posible el hackeo de la sesión web del usuario, generando un certificado auto-firmado, y estableciendo una conexión SSL con éste. Por desgracia, los navegadores web usan el certificado generado por Superfish como si fuera legítimo. Por lo tanto, el CA es ahora Superfish y no VeriSign.

El software también incluye una clave privada para generar un certificado que está disponible para todos. La contraseña de la clave ha sido revelada en Internet. Con la clave-contraseña, alguien con intenciones maliciosas podría espiar la información transmitida a través de una conexión codificada, o inyectar un código malicioso. El peor escenario posible sería un hackeo de datos a través de una sesión web en un sitio de banca online.

A los usuarios de portátiles Lenovo con Superfish se les recomienda eliminar el software llamado “Superfish Inc. Visual Discovery” (desde panel de control de Windows) y el certificado de Superfish (desde la lista de Certificados Raíz de Confianza).

Los productos de Kaspersky te pueden ayudar a identificar si tu portátil está infectado: nuestro producto detecta el adware como Not-a-virus:AdWare.Win32.Superfish.b.

superfish-scr-3

Lenovo ofrece una Herramienta de Eliminación Automática para Superfish en su Asesor de Seguridad (LEN-2015-101).

Consejos