L’affaire Superfish non accenna a rientrare. Com’è noto, in alcuni modelli di computer Lenovo destinati al mercato consumer è stato scoperto un adware, chiamato appunto Superfish, in grado di intercettare tutto il traffico dati scambiato utilizzando il protocollo HTTPS.
A detta degli sviluppatori, l’adware (pur potendo di fatto spiare tutte le comunicazioni degli utenti, n.d.r.) si limiterebbe ad inserire informazioni pubblicitarie aggiuntive alle pagine visitate, comprese quindi quelle rilasciate dai server HTTPS.
Lenovo ha da parte sua fatto immediatamente marcia indietro seppure i buoni fossero ormai scappati dalla stalla: Fa discutere l’adware scoperto sui PC Lenovo.
Il problema più grosso, però, è che Superfish installa un certificato digitale root che è stato già oggetto di analisi. Di tale certificato si conoscono chiave pubblica, chiave privata e password utilizzata per proteggere tali informazioni: Lenovo: chiave privata e password di Superfish. La password usata a protezione del certificato (“komodia“, tra l’altro debolissima) è addirittura la stessa per tutti i sistemi sui quali Superfish è installato. Tutto l’occorrente, insomma, per sferrare il classico attacco man-in-the-middle (MITM).
Un aggressore, conoscendo le chiavi per la decodifica delle comunicazioni crittografate veicolate via HTTPS, è quindi oggi tranquillamente in grado di spiare le comunicazioni altrui ed estrarre informazioni personali e dati sensibili.
Attenzione al certificato digitale di Komodia
Superfish, per intercettare il traffico crittografato via HTTPS, sfrutta il motore sviluppato dalla società Komodia il quale, a sua volta, fa leva sul certificato digitale root autonomamente firmato.
Nelle scorse ore è emerso, purtroppo, che Superfish non è l’unico software ad utilizzare lo stesso certificato root di Komodia. Stanno uscendo anche nomi di famose società e relativi prodotti. Ad esempio quello di Ad-aware Web Companion (Lavasoft), programma che offre protezione dalle minacce web.
Lavasoft, attraverso il suo account Facebook ha candidamente ammesso di aver utilizzato il motore di Komodia e che sono al momento ulteriori verifiche per controllare che sia stato completamente rimosso dall’applicazione Ad-aware Web Companion.
Usare un programma che sfrutta lo stesso certificato digitale di Komodia è allo stato attuale estremamente pericoloso perché si corre il concretro rischio che qualcuno possa intercettare informazioni personali trasmesse utilizzando HTTPS. Per non parlare del fatto che, con il certificato di Komodia, vengono utilizzati algoritmi crittografici deboli ed ormai superati.
Controllare che sul proprio sistema non sia presente il certificato digitale root di Komodia
Suggeriamo di effettuare immediatamente il test preparato da Filippo Valsorda a questo indirizzo.
Nel caso in cui dovesse comparire “YES”, il certificato digitale root di Komodia è effettivamente presente sul sistema e ci si dovrà immediatamente attivare per rimuoverlo (certmgr.msc
consente di aprire la finestra per la gestione dei certificati digitali in Windows).
Il test sviluppato da Valsorda è in grado di rilevare la minaccia indipendentemente da quale software eventualmente installato faccia uso del certificato Komodia.
I software che fanno uso del certificato root Komodia sono i seguenti:
– Komodia Keep My Family Secure
– Qustodio parental control
– Kurupira Webfilter
– Staffcop (versioni 5.6 e 5.8)
– Easy hide IP Classic
– Lavasoft Ad-aware Web Companion
– Hide-my-ip
– PrivDog