Hace unos días ha saltado la noticia , algunos clientes de Lenovo acusaban al fabricante de incluir adware en algunos de sus portátiles. Pero no un adware cualquiera, sino uno que instalaba un certificado raíz falso y ponía en riesgo todas las comunicaciones cifradas del equipo. Desde Lenovo, en un principio, explicaban que era un software ideado para ayudar a los clientes y mostrarles ofertas, aunque ahora parecen haber cambiado de discurso y en su sitio web hacen referencia a Superfish como una vulnerabilidad alta.
Pero ¿cómo saber si estás afectado si tienes un equipo Lenovo? Ayer te explicábamos cómo detectarlo aunque alguien ha creado un sitio web que te avisa, con tan sólo visitarlo, de si estás infectado por Superfish. Desde Lenovo, además, han publicado una lista completa de equipos en los que Superfish solía instalarse de serie:
- G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
- U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
- Y Series: Y430P, Y40-70, Y50-70
- Z Series: Z40-75, Z50-75, Z40-70, Z50-70
- S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
- Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
- MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
- YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
- E Series: E10-30
En mi caso tanto el G500 como el G500s no han dado positivo
Lenovo reconoce que Superfish se preinstaló en algunos equipos de esta lista desde septiembre a diciembre de 2014
El fabricante insiste en que dejaron de preinstalar Superfish el pasado mes de enero y han desactivado su activación para equipos que se hayan comprado con él instalado después de esa fecha. Sin embargo, y dado que este malware se incluyó en equipos que se fabricaron de septiembre a diciembre del año pasado, todavía puede estar operativo en equipos de la lista que se hayan activado durante ese periodo.
Eso sí: desde Lenovo aseguran que Superfish nunca fue instalado en portátiles ThinkPad ni en otros productos de la compañía, como smartphones u ordenadores de escritorio. Tampoco lo utilizaron en ordenadores destinados a empresas o servidores: tan sólo en portátiles destinados al mercado del consumo.
El problema se ha agravado, ya que ya han conseguido extraer la contraseña que cifraba el certificado. ¿Qué significa esto? : Si alguien consigue la clave privada de dicho certificado, podría emitir certificados falsos que los ordenadores Lenovo aceptarán sin problemas, es decir, que alguien podría hacer ataques MITM a usuarios de Lenovo con relativa facilidad.
Si eres uno de los afectados debes solucionar cuanto antes este problema. Eliminar Superfish desinstalándolo es un primer paso pero el más importante es deshacerte del certificado raíz emitido por Superfish Inc. ,
Lenovo ha publicado en su sitio web una guía paso a paso con capturas del proceso.
Hay que reconocer que la gente de Lenovo se ha tomado el asunto en serio y ha reaccionado rápido.