Los expertos en seguridad han descubierto una vulnerabilidad muy amenazante en software preinstalado en algunos equipos con Windows fabricados por Lenovo a través de enero de 2015. extrema negligencia por parte de Lenovo y la programación sin escrúpulos por su socio adware Superfish parecen haber causado la vulnerabilidad.
La base del problema es un programa por Superfish que está diseñado para intercalar anuncios en la navegación Web de los usuarios. Eso es irritante, pero se pone peor. Superfish también instala un certificado que intercepta el tráfico de Internet y paraliza la capacidad de la computadora host para que utilice HTTPS para validar la autenticidad de los sitios Web. Esto deja una puerta abierta para que los atacantes utilizan versiones falsas de sitios que deberían estar seguro - como los sitios web de los bancos - para robar información personal. Puedes leer más sobre la vulnerabilidad en Ars Technica.Siempre que utilice el software propietario como Windows o Superfish, fiel, confiable, verificable seguridad está siempre fuera de su alcance. Debido a que el código propietario no puede ser inspeccionado públicamente, no hay forma de validar su seguridad. Los usuarios tienen que confiar en que el código es seguro y funciona como se anuncia. Desde código propietario sólo puede ser modificado por los desarrolladores que reclaman ser dueños de ella, los usuarios no tienen poder para elegir la forma en que los errores de seguridad son fijos. Con el software propietario, la seguridad del usuario es secundaria al control desarrollador.
Recientes vulnerabilidades de seguridad de alto perfil en el software libre, como Heartbleed y CANICHE , se crearon cuando los desarrolladores bien intencionados cometieron errores que eran difíciles de detectar. Pero esto es diferente - Lenovo y Superfish causaron una brecha de seguridad masiva por el bien de la conveniencia en la generación de ingresos por publicidad.
