A maioria dos laptops com Windows vem com uma infinidade de programas inúteis: a fabricante recebe dinheiro por esse crapware, permitindo aumentar um pouco as finas margens de lucro dos PCs. Mas a Lenovo foi longe demais: alguns laptops da empresa vêm com um programa que injeta anúncios no seu navegador e consegue espionar conexões seguras.

Usuários relatam nos fóruns da Lenovo que laptops como o G40, Y40 e Z50 vêm com um adware chamado Superfish: ele injeta anúncios de terceiros em pesquisas do Google e em outros sites quando você navega no Chrome, Internet Explorer ou Firefox.

Ou seja, quando você navega, aparecem anúncios no meio da página. Eles parecem ser do Google, mas há um texto no canto dizendo que eles vêm da “VisualDiscovery”:

Anuncios do Superfish em laptops da Lenovo

Ele é ainda mais irritante do que parece, porque faz aparecer banners e popups nas páginas que você visita:

Anuncios do Superfish em laptops da Lenovo

E só piora. Como explica o Ars Technica, o Superfish “sequestra” conexões que deveriam ser seguras. Ele instala um certificado HTTPS que pode interceptar o tráfego criptografado de internet – você sabe, algo usado pelo Google, pelo seu banco, ou qualquer outro site que deveria ser seguro. (Este problema afeta o Chrome e IE, mas não o Firefox.)

Além disso, o Superfish usa o mesmo certificado em todo laptop em que está instalado. Isso torna seu computador vulnerável a ataques man-in-the-middle: ou seja, hackers podem criar sites falsos que pareçam ser do seu banco, por exemplo, e fazer com que o Superfish o considere seguro. Daí a roubar suas credenciais é um pulo.

Mark Hopkins, um administrador de comunidade da Lenovo, disse em janeiro no fórum da empresa que “o Superfish foi temporariamente removido de nossos laptops para consumidores”, mas defendeu a sua presença, explicando que ele “ajuda os usuários a encontrar e descobrir produtos visualmente”, e “analisa instantaneamente imagens na web e apresenta ofertas de produtos idênticos ou similares que podem ter preços mais baixos”.

Hopkins ainda diz que os usuários podem não instalar o Superfish ao configurarem um laptop da Lenovo pela primeira vez: é só recusar os termos e condições. Mas dada a quantidade de usuários relatando problemas – desde pelo menos junho de 2014 – isso não é tão simples assim.

Vários antivírus identificam o Superfish como adware, e recomendam que ele seja removido. Mas é tão difícil desinstalá-lo que usuários recomendam apenas desativar o processo rodando no Windows. Este vídeo ensina como fazer:

Atualização: a Lenovo respondeu às acusações em um comunicado. Ela diz:

O Superfish foi incluso em alguns notebooks para consumidores distribuídos em um período curto entre setembro e dezembro, para ajudar os clientes a potencialmente descobrir produtos interessantes durante as compras. No entanto, o feedback dos usuários não foi positivo, e nós respondemos de maneira rápida e decisiva:

  • o Superfish desativou completamente as interações com seus servidores (desde janeiro) em todos os produtos da Lenovo, portanto o produto não está mais ativo. Isso desativa o Superfish para todos os produtos no mercado.
  • a Lenovo parou de pré-instalar o software em janeiro;
  • nós não vamos pré-instalar este software no futuro.

A Lenovo também diz que “não encontramos qualquer evidência que fundamentasse preocupações com segurança”. Dado que o Superfish intercepta conexões HTTPS, talvez fosse melhor a empresa olhar mais de perto.

Atualização 2: a Lenovo colocou em seu site um tutorial para desinstalar o Superfish. Você pode acessá-lo neste link. [The Next WebArs Technica e Engadget]

Imagens por Maurizio Pesce/Flickr, Lenovo Community e MiTechMate Blog

Atualizado às 16h27 de 20 de fevereiro