Gracias por el A2A …
Esto es realmente un gran problema.
¿Recuerdas el escándalo del rootkit de protección contra copia Sony BMG de 2005-2007? Una actualización rápida si no lo hace: Sony, en un intento por evitar que sus CD de música se “conviertan” en archivos MP3, comenzó a enviar el paquete de software MediaMax CD-3 en los CD para aplicar su DRM. El problema era que necesitaba acceso de supervisor para la instalación automática, por lo que también empacaron el rootkit XCP para ejecutarlo e instalarlo automáticamente. Esto fue entre 5 y 22 millones de CD, dependiendo de los números que creas.
- ¿Cuál es la autenticación más segura, antigua basada en token o JWT?
- ¿Cómo omiten las botnets el captcha en varios sitios web?
- ¿Por qué algunos diseños de Linux son muy malos para la seguridad?
- ¿Las herramientas para desarrolladores de Chrome abren la puerta a riesgos de seguridad en una red?
- ¿Cómo podría convencer a una empresa para que me recompense por encontrar un error crítico?
Por lo tanto, si alguna vez cargó un CD de música Sony BMG en su computadora, se le asignó rootkit para instalar el software CD-3, que le permitiría reproducir pero no extraer el CD. Ah, sí, y el rootkit permaneció instalado, activo y accesible de forma remota …
Gran protesta, enjuiciamiento penal en algunas jurisdicciones, demandas colectivas, demandas por infracción de derechos de autor: gigante, ojo negro gigante para Sony.
Este kerfuffle de Lenovo es muy similar. Aparentemente, Lenovo decidió que en el negocio de márgenes muy delgados de vender hardware, podrían monetizar aún más su base de clientes colocando anuncios frente a ellos, anuncios por los cuales se pagó a Lenovo, por “atraer la atención”.
Para hacer eso, se contrataron con Superfish, posiblemente un paquete muy interesante, al menos según Forbes, quien clasificó a Superfish # 64 en la lista de empresas más prometedoras de Forbes America. En teoría, “ve” imágenes en las páginas web que miras, fotos que miras, etc., y las usa para poner en cola los anuncios en la búsqueda de Google dirigidos a ti en función de lo que has visto con el tiempo.
En la práctica, para hacerlo, rompen la cadena de confianza en la autoridad de certificación SSL mediante el uso de un certificado autofirmado de Lenovo, lo que les permite ver el tráfico cifrado.
Se pone peor: también incluye tráfico VPN’d, tráfico LAN privado interno, lo que sea. Nada está a salvo de esto. ¿Y el falso certificado de CA? Eso es de conocimiento público, y puede ser utilizado por todo tipo de tipos malos para TAMBIÉN ser el intermediario …
Para poner esto en perspectiva, está instalado en AL MENOS 113 millones de computadoras vendidas en los últimos dos años.
Lo que lleva a todo tipo de preguntas, como si están raspando su pantalla y enviándola a una base de datos de terceros para crear anuncios dirigidos a usted, ¿qué más están raspando y dónde más la están enviando? Y si están raspando imágenes, ¿también están raspando texto? ¿Y qué otras puertas abre esto, y tienen efectivamente SSL intermediario: acceso a su información bancaria, información confidencial y privada, secretos de estado?
No era fanático de los ThinkPads antes de que IBM los vendiera a Lenovo, y no puedo haber imaginado ninguna circunstancia bajo la cual pudiera estar interesado en tener una parte de su hardware. ANTES de que esto sucediera. Ahora, estoy aconsejando a todos los que conozco con un producto Lenovo que lo revisen, con cuidado.
Aquí hay un artículo bastante bueno: cómo funciona el ‘Malware‘ Superfish de Lenovo y qué puede hacer para matarlo