Lenovo erhält endlich eine Geldstrafe für die Vorinstallation von Spyware auf seinen Computern
Der Computerhersteller Lenovo muss nun 3,5 Millionen Dollar zahlen, um die Vorwürfe im Superfish-Skandal beizulegen. Am 6. September 2017 gab eine Koalition von 32 Staatsanwälten bekannt, dass das Unternehmen zahlen muss zum Verteilen von Adware im Tandem mit seinen Produkten für die Kunden.
Das Unternehmen hat einen großen Fehler gemacht, als es sich für das Bündeln entschieden hat Superfish-Adware mit seinen Computern im Jahr 2014. Das Unternehmen erhielt eine Gegenreaktion, als sich Benutzer im Herbst 2014 über nervige VisualDiscovery-Adware (entwickelt vom kalifornischen Superfish) beschwerten.
Im Januar 2015 entfernte das in China ansässige Unternehmen Lenovo die Adware aus den Vorinstallationen neuer Verbrauchersysteme. Das Unternehmen erklärte auch, dass Superfish vorhandene Lenovo-Maschinen auf dem Markt daran hinderte, die werbefinanzierte Software zu aktivieren. Später veröffentlichte die meistverkaufte Computermarke ein Tool, mit dem Benutzer die berüchtigte Software von ihren Produkten entfernen können.
Aktivitäten der Superfish-Adware können als „aggressiv“ bezeichnet werden
Die beschriebene Adware könnte dem Benutzer Pop-up-Werbung anzeigen, Werbung in Websites einschleusen und diese so aussehen lassen, als ob sie von diesen Webseiten stammen, und den Benutzer auf diese Weise verwirren. Darüber hinaus könnte es sogar Zertifikatsbefugnisse auf Root-Ebene verwenden, um Werbung auf verschlüsselten Websites einzufügen.
Laut FTC wurde VisualDiscovery als „Man-in-the-Middle“ zwischen den Benutzern und den von ihnen besuchten Webseiten verwendet. Das Verfahren ermöglichte der Software den Zugriff auf die privaten Informationen des Benutzers, wenn diese über das Internet übertragen wurden. Auf diese Weise könnten der Name, die Zugangsdaten, die Zahlungsdaten und die Sozialversicherungsnummern des Opfers die Server von Superfish erreichen.
Um Anzeigen auf verschlüsselten Websites (HTTPS) anzuzeigen, verwendete die Adware eine Technik, die es ermöglichte, digitale Zertifikate für diese Websites durch VisualDiscovery-signierte zu ersetzen. Die Software hat nicht angemessen überprüft, ob die Zertifikate der Websites gültig sind, bevor sie auf ihre eigenen umgestellt wurden. Außerdem wurde auf allen Laptops ein leicht zu knackendes Passwort verwendet.
Aufgrund des Problems konnten die Browser der Opfer keine Warnungen vor gefährlichen Websites mit gefälschten Sicherheitszertifikaten anzeigen. Die Sicherheitslücke könnte es Kriminellen ermöglichen, die Kommunikation der Benutzer mit Websites zu stören, indem sie einfach das vorinstallierte Passwort brutal erzwingen.
Der Vergleich muss von Gerichten von 32 Staaten genehmigt werden
Obwohl Lenovo den Vorwürfen nicht zustimmte, dass es „Software vorinstalliert hat, die auf sensible Daten der Verbraucher zugreifen könnte, ohne angemessener Ankündigung oder Zustimmung zu deren Verwendung“, hieß es, das Unternehmen sei „bitte, diese Angelegenheit nach zweieinhalb Jahren abzuschließen“. Jahre."
Der Vergleich muss jedoch von den Gerichten der teilnehmenden Staaten genehmigt werden. Bei Genehmigung werden die 3,5 Millionen US-Dollar von Lenovo in proportionale Beträge aufgeteilt und an diese Bundesstaaten verteilt.