Η Lenovo επιβλήθηκε τελικά πρόστιμο για προεγκατάσταση spyware στους υπολογιστές της
Η εταιρεία κατασκευής υπολογιστών Lenovo είναι πλέον υποχρεωμένη να πληρώσει 3,5 εκατομμύρια δολάρια για να διευθετήσει τις κατηγορίες σχετικά με το σκάνδαλο Superfish. Στις 6 Σεπτεμβρίου 2017, ένας συνασπισμός 32 κρατικών δικηγόρων ανακοίνωσε ότι η εταιρεία θα πρέπει να πληρώσει για τη διανομή adware παράλληλα με τα προϊόντα της για τους πελάτες.
Η εταιρεία έκανε ένα τεράστιο λάθος όταν επέλεξε να δεσμεύσει Superfish adware με τους υπολογιστές της το 2014. Η εταιρεία έλαβε αντιδράσεις όταν οι χρήστες άρχισαν να παραπονιούνται για ενοχλητικό διαφημιστικό λογισμικό VisualDiscovery (που αναπτύχθηκε από την Superfish με έδρα την Καλιφόρνια) το φθινόπωρο του 2014.
Τον Ιανουάριο του 2015, η Lenovo με έδρα την Κίνα αφαίρεσε το adware από προφορτώσεις νέων καταναλωτικών συστημάτων. Η εταιρεία δήλωσε επίσης ότι η Superfish απενεργοποίησε τις υπάρχουσες μηχανές Lenovo στην αγορά από την ενεργοποίηση του λογισμικού που υποστηρίζεται από διαφημίσεις. Αργότερα, η μάρκα υπολογιστών με τις κορυφαίες πωλήσεις κυκλοφόρησε ένα εργαλείο για να βοηθήσει τους χρήστες να αφαιρέσουν το διαβόητο λογισμικό από τα προϊόντα της.
Οι δραστηριότητες του Superfish adware μπορούν να περιγραφούν ως "επιθετικές"
Το περιγραφόμενο adware θα μπορούσε να εμφανίζει αναδυόμενες διαφημίσεις για τον χρήστη, να εισάγει διαφημίσεις σε ιστότοπους και να τους κάνει να φαίνονται σαν να προέρχονται από αυτές τις ιστοσελίδες και με αυτόν τον τρόπο να μπερδεύουν τον χρήστη. Επιπλέον, θα μπορούσε να χρησιμοποιήσει ακόμη και εξουσίες πιστοποιητικού σε επίπεδο root για να εισάγει διαφημίσεις σε κρυπτογραφημένους ιστότοπους.
Σύμφωνα με την FTC, το VisualDiscovery χρησιμοποιήθηκε ως «άνθρωπος στη μέση» μεταξύ των χρηστών και των ιστοσελίδων που επισκέπτονταν. Η μέθοδος παρείχε στο λογισμικό πρόσβαση στις προσωπικές πληροφορίες του χρήστη κάθε φορά που κάποιος τις μετέφερε μέσω Διαδικτύου. Με αυτόν τον τρόπο, το όνομα του θύματος, τα στοιχεία σύνδεσης, τα δεδομένα πληρωμής και οι αριθμοί κοινωνικής ασφάλισης θα μπορούσαν να φτάσουν στους διακομιστές του Superfish.
Για την εμφάνιση διαφημίσεων σε κρυπτογραφημένους ιστότοπους (HTTPS), το adware χρησιμοποίησε μια τεχνική που επέτρεπε την αντικατάσταση ψηφιακών πιστοποιητικών για αυτούς τους ιστότοπους με υπογεγραμμένα από το VisualDiscovery. Το λογισμικό δεν επαλήθευσε κατάλληλα εάν τα πιστοποιητικά των ιστότοπων ήταν έγκυρα προτού τα αλλάξει στα δικά του. Επιπλέον, σε όλους τους φορητούς υπολογιστές χρησιμοποιήθηκε ένας εύκολος κωδικός πρόσβασης.
Λόγω του προβλήματος, τα προγράμματα περιήγησης των θυμάτων δεν μπορούσαν να εμφανίσουν προειδοποιήσεις για επικίνδυνους ιστότοπους με πλαστά πιστοποιητικά ασφαλείας. Η ευπάθεια ασφαλείας θα μπορούσε να επιτρέψει στους εγκληματίες να παρεμβαίνουν στην επικοινωνία των χρηστών με ιστοτόπους απλώς επιβάλλοντας βίαια τον προεγκατεστημένο κωδικό πρόσβασης.
Ο διακανονισμός εκκρεμεί έγκριση από δικαστήρια 32 πολιτειών
Αν και η Lenovo διαφώνησε με τους ισχυρισμούς ότι «προφόρτωσε λογισμικό που μπορούσε να έχει πρόσβαση σε ευαίσθητες πληροφορίες των καταναλωτών χωρίς επαρκή ειδοποίηση ή συγκατάθεση για τη χρήση του», δήλωσε ότι η εταιρεία «είναι στην ευχάριστη θέση να τερματίσει αυτό το θέμα μετά από δυόμισι χρόνια.”
Ωστόσο, ο διακανονισμός αναμένει έγκριση από τα δικαστήρια των συμμετεχόντων κρατών. Εάν εγκριθεί, τα 3,5 εκατομμύρια δολάρια από τη Lenovo θα διαιρεθούν σε αναλογικά ποσά και θα διανεμηθούν σε αυτές τις πολιτείες.