Lenovo dostane pokutu 3,5 milionu dolarů za distribuci adwaru Superfish

Lenovo konečně dostane pokutu za předinstalaci spywaru do svých počítačů

Urovnání ve skandálu Lenovo Superfish

Výrobce počítačů Lenovo je nyní povinen zaplatit 3,5 milionu dolarů za urovnání obvinění ze skandálu Superfish. Dne 6. září 2017 koalice 32 státních zástupců oznámila, že společnost bude muset zaplatit pro distribuci adwaru v tandemu se svými produkty pro zákazníky.

Společnost udělala obrovskou chybu, když se rozhodla pro balíček Adware pro superryby se svými počítači v roce 2014. Společnost zaznamenala odpor, když si uživatelé na podzim roku 2014 začali stěžovat na otravný adware VisualDiscovery (vyvinutý kalifornskou společností Superfish).

V lednu 2015 čínská společnost Lenovo odstranila adware z předinstalovaných nových spotřebitelských systémů. Společnost také uvedla, že Superfish zakázal stávajícím strojům Lenovo na trhu aktivovat software podporovaný reklamou. Později nejprodávanější počítačová značka vydala nástroj, který uživatelům pomůže odstranit nechvalně známý software z jejích produktů.

Činnosti adwaru Superfish lze popsat jako „agresivní“

Popsaný adware by mohl uživateli zobrazovat vyskakovací reklamy, vkládat reklamy do webových stránek a vytvářet z nich dojem, že pocházejí z těchto webových stránek, a tím uživatele zmást. Kromě toho by mohl dokonce využívat pravomoci certifikátů na kořenové úrovni k vkládání reklam na šifrované webové stránky.

Podle FTC byl VisualDiscovery používán jako „man-in-the-middle“ mezi uživateli a webovými stránkami, které navštívili. Tato metoda poskytla softwaru přístup k soukromým informacím uživatele, kdykoli je člověk přenesl přes internet. Tímto způsobem by se jméno oběti, přihlašovací údaje, platební údaje a čísla sociálního zabezpečení mohly dostat na servery Superfish.

Za účelem zobrazování reklam na šifrovaných webech (HTTPS) používal adware techniku, která umožňovala nahradit digitální certifikáty pro tyto weby certifikáty podepsanými VisualDiscovery. Software řádně neověřil, zda jsou certifikáty webových stránek platné, než je převedl na své vlastní. Kromě toho bylo na všech laptopech použito snadno prolomitelné heslo.

Kvůli problému nemohly prohlížeče obětí zobrazovat varování o nebezpečných webech s falešnými bezpečnostními certifikáty. Chyba zabezpečení by mohla umožnit zločincům zasahovat do komunikace uživatelů s webovými stránkami pouhým hrubým vynucením předem nainstalovaného hesla.

Vyrovnání čeká na schválení soudy 32 států

Ačkoli Lenovo nesouhlasilo s obviněním, že „předinstalovalo software, který by mohl přistupovat k citlivým informacím spotřebitelů bez dostatečné upozornění nebo souhlas s jeho použitím,“ uvedlo, že společnost „s potěšením tuto záležitost dotáhne do konce po dvou a půl let.”

Vyrovnání však čeká na schválení soudy zúčastněných států. Pokud bude schváleno, 3,5 milionu dolarů od společnosti Lenovo bude rozděleno do poměrných částek a rozděleno do těchto států.