Uma vulnerabilidade descoberta nos computadores da Lenovo pode permitir que hackers roubem dados pessoais dos consumidores.

A falha seria causada pelo programa Superfish, um adware que a Lenovo admitiu em janeiro ter incluído como padrão em seus computadores e que consegue acessar informações privadas para fins publicitários.

Segundo o The Verge, o adware se torna uma autoridade de certificação raiz sem restrições, e instala um proxy capaz de produzir certificados SSL falsos sempre que uma conexão segura é solicitada. Os certificados SSL são pequenos arquivos, utilizados por bancos, redes sociais e varejistas para garantir que a conexão esteja sendo feita com um site legítimo.

Com a criação de seus próprios certificados SSL, o Superfish é capaz de desempenhar as suas tarefas de publicidade, mesmo em conexões seguras, injetando anúncios e leitura de dados de páginas que devem ser privados.

Kenn White, um especialista em segurança, mostrou certificados de proxy do Superfish em seu Twitter. Veja abaixo:

This is a problem. #superfish pic.twitter.com/jKDfSo99ZR

— Kenn White (@kennwhite) 19 fevereiro 2015

Ainda segundo o site, a Lenovo removeu o Superfish de seus produtos durante um curto período em janeiro, mas defendeu o uso do software alegando que ele não monitora o comportamento e não salva informações de usuários. A empresa ressaltou que os usuários são apresentados com os termos de uso e política de privacidade do produto na primeira vez em que o utilizam, e têm a opção de desativá-lo. Mas os consumidores da Lenovo descobriram que a desinstalação do programa não remove o certificado raiz.

Ao The Verge, a Lenovo respondeu dizendo que está investigando "todos e quaisquer problemas em relação ao Superfish".