Lenovo får endelig en bøde for at forudinstallere spyware på sine computere
Computerproducenten Lenovo er nu forpligtet til at betale 3,5 millioner dollars for at afgøre anklagerne om Superfish-skandalen. Den 6. september 2017 meddelte en koalition af 32 statsadvokater, at virksomheden skal betale til distribution af adware i takt med sine produkter til kunderne.
Virksomheden begik en stor fejl, da den valgte at bundle Superfish adware med sine computere tilbage i 2014. Virksomheden fik en modreaktion, da brugere begyndte at klage over irriterende VisualDiscovery-adware (udviklet af Californien-baserede Superfish) i efteråret 2014.
I januar 2015 fjernede Kina-baserede Lenovo adwaren fra forudindlæsninger af nye forbrugersystemer. Virksomheden oplyste også, at Superfish deaktiverede eksisterende Lenovo-maskiner på markedet fra at aktivere den annonceunderstøttede software. Senere udgav det bedst sælgende computermærke et værktøj til at hjælpe brugere med at fjerne den berygtede software fra sine produkter.
Aktiviteter af Superfish adware kan beskrives som "aggressive"
Den beskrevne adware kunne vise pop-up-reklamer for brugeren, injicere annoncer på websteder og få dem til at se ud, som om de stammer fra disse websider og på denne måde forvirre brugeren. Derudover kunne den endda bruge certifikatbeføjelser på rodniveau til at injicere annoncer til krypterede websteder.
Ifølge FTC blev VisualDiscovery brugt som en "man-in-the-middle" mellem brugerne og websider, de besøgte. Metoden gav softwaren adgang til brugerens private oplysninger, hver gang man overførte dem over internettet. På denne måde kunne offerets navn, loginoplysninger, betalingsdata og cpr-numre nå Superfishs servere.
For at vise annoncer på krypterede websteder (HTTPS), brugte adwaren en teknik, der gjorde det muligt at erstatte digitale certifikater for disse websteder med VisualDiscovery-signerede. Softwaren verificerede ikke korrekt, om webstedernes certifikater var gyldige, før de skiftede til sine egne. Desuden blev der brugt et kodeord, der var let at knække på alle bærbare computere.
På grund af problemet kunne ofrenes browsere ikke vise advarsler om farlige websteder med falske sikkerhedscertifikater. Sikkerhedssårbarheden kunne give kriminelle mulighed for at forstyrre brugernes kommunikation med websteder ved blot at brute-force den forudinstallerede adgangskode.
Forliget afventer godkendelse fra domstolene i 32 stater
Selvom Lenovo var uenig i påstandene om, at de "forudindlæste software, der kunne få adgang til forbrugernes følsomme oplysninger uden passende varsel eller samtykke til dets brug," sagde det, at virksomheden er "glad for at afslutte denne sag efter to og en halv flere år."
Forliget afventer dog godkendelse fra domstolene i de deltagende stater. Hvis de bliver godkendt, vil de 3,5 millioner dollars fra Lenovo blive opdelt i forholdsmæssige beløb og fordelt til disse stater.