La amenaza crítica está presente en las PC de Lenovo que tienen adware instalado de una compañía llamada Superfish. Tan desagradable como muchas personas encuentren un software que inyecta anuncios en sus páginas web, hay algo mucho más nefasto sobre el paquete Superfish. Instala un certificado HTTPS raíz autofirmado que puede interceptar el tráfico cifrado para cada sitio web que el usuario visita. Cuando un usuario visita un sitio HTTPS, el certificado del sitio está firmado y controlado por Superfish y se representa falsamente a sí mismo como el certificado del sitio web oficial.
Peor aún, la clave de cifrado privada que acompaña al certificado Transport Layer Security-Superfish firmado parece ser el mismo para todas las máquinas Lenovo. Los atacantes pueden ser capaces de utilizar la llave para certificar sitios web HTTPS impostores que se hacen pasar por Bank of America, Google, o cualquier otro destino seguro en Internet. Bajo este escenario, las PC que tienen el certificado raíz Superfish instalado no podrán resaltar un sitio falso, un fracaso que socava por completo la razón por la que existe la protección HTTPS en primer lugar.
Rob Graham, CEO de la firma de seguridad Errata Security, ha roto la clave criptográfica que cifra el certificado Superfish. Eso significa que cualquier persona puede utilizar la clave privada para lanzar ataques HTTPS-man-in-the-middle que no serán detectados por máquinas que tienen instalado el certificado. Solo le tomó a Graham tres horas darse cuenta que la contraseña era "Komodia" (menos las comillas).
Lenovo hizo un comunicado en el que cual informa que fue instalado para mejorar la experiencia al usuario al mostrar publicidad relevante mientras navegan, el Adware dejo de instalarse en los equipos desde enero de este año.
Actualización:
Usuarios de Lenovo, utilicen esta liga para verificar si estan afectados y como solucionarlo:
https://filippo.io/Badfish/
Fuente: ArsTechnica
