Promoção: compre um notebook e leve um malware de brinde. Pelo menos isso é o que tem acontecido com alguns modelos de PCs da Lenovo. Desde o ano passado, novos proprietários de computadores da fabricante chinesa relatam que as máquinas estão vindo com um adware nada inofensivo chamado Superfish, que afeta resultados de busca e deixa os usuários vulneráveis a ataques em sites HTTPS.

A história começou a repercutir bastante na madrugada desta quinta-feira (19). O primeiro sintoma do Superfish parece até inofensivo (embora não seja aceitável): o adware injeta propagandas de terceiros nos resultados de busca do Google e em outros sites, tudo sem a permissão do usuário.

Segundo o The Next Web, os anúncios direcionam o usuário para lojas online. Provavelmente os links têm código de afiliado, o que gera comissão para a empresa responsável pelo malware.

Um administrador do fórum de discussão da Lenovo chegou a se pronunciar sobre o caso em janeiro. Segundo Mark Hopkins, responsável por mídias sociais da Lenovo, “o Superfish vem apenas com produtos para consumidores finais da Lenovo e é uma tecnologia que ajuda os usuários a encontrarem e descobrirem produtos visualmente”. Pelos relatos dos usuários, o Superfish parece funcionar no Chrome e no Internet Explorer, mas não no Firefox.

Mas o maior problema veio algumas horas depois: pesquisadores de segurança descobriram que o Superfish instala um certificado HTTPS auto-assinado que pode interceptar o tráfego de qualquer site “seguro”. O famoso cadeado de segurança é exibido normalmente nessas páginas, mas uma olhada nos detalhes do certificado mostra que ele foi assinado pela própria Superfish.

O pesquisador Chris Palmer afirmou ao Ars Technica que todos os sites HTTPS protegidos com TLS que ele visitou continham o certificado fajuto, como o do Bank of America (o certificado deveria ter sido emitido pela VeriSign). Para fazer os testes, Palmer comprou um notebook Lenovo Yoga 2 Pro novinho em folha por US$ 600 em uma loja da Best Buy em San Francisco, que veio com o Superfish pré-instalado.

Poucas horas após a polêmica, a Lenovo informou à BBC que removeu o adware Superfish de novos computadores e desativou as instalações existentes. Oops.

Tudo isso é mais um motivo para você jogar fora o Windows cheio de aplicativos inúteis de fabricantes e fazer uma instalação limpa ao comprar um novo PC.