Lenovo finalmente es multado por preinstalar software espía en sus computadoras
El fabricante de computadoras Lenovo ahora está obligado a pagar $ 3.5 millones para resolver las acusaciones sobre el escándalo Superfish. El 6 de septiembre de 2017, una coalición de 32 abogados estatales anunció que la empresa tendrá que pagar para distribuir adware en conjunto con sus productos para los clientes.
La empresa cometió un gran error al optar por agrupar Software publicitario Superfish con sus computadoras en 2014. La compañía recibió una reacción violenta cuando los usuarios comenzaron a quejarse del molesto adware VisualDiscovery (desarrollado por Superfish, con sede en California) en otoño de 2014.
En enero de 2015, Lenovo, con sede en China, eliminó el adware de las precargas de los nuevos sistemas de consumo. La compañía también declaró que Superfish deshabilitó las máquinas Lenovo existentes en el mercado para que no activaran el software con publicidad. Más tarde, la marca de computadoras más vendida lanzó una herramienta para ayudar a los usuarios a eliminar el infame software de sus productos.
Las actividades del software publicitario Superfish se pueden describir como "agresivas"
El adware descrito podría mostrar anuncios emergentes para el usuario, inyectar anuncios en sitios web y hacer que parezcan que se originan en estas páginas web y de esta manera confundir al usuario. Además, incluso podría emplear poderes de certificado de nivel raíz para inyectar anuncios en sitios web encriptados.
Según la FTC, VisualDiscovery se utilizó como un "intermediario" entre los usuarios y las páginas web que visitaban. El método proporcionó al software acceso a la información privada del usuario cada vez que uno la transfirió a través de Internet. De esta forma, el nombre de la víctima, los datos de inicio de sesión, los datos de pago y los números de seguridad social podrían llegar a los servidores de Superfish.
Para mostrar anuncios en sitios web encriptados (HTTPS), el adware utilizaba una técnica que permitía reemplazar los certificados digitales de esos sitios por certificados firmados por VisualDiscovery. El software no verificó adecuadamente si los certificados de los sitios web eran válidos antes de cambiarlos por los suyos propios. Además, se utilizó una contraseña fácil de descifrar en todas las computadoras portátiles.
Debido al problema, los navegadores de las víctimas no podían mostrar advertencias sobre sitios web peligrosos con certificados de seguridad falsos. La vulnerabilidad de seguridad podría permitir a los delincuentes interferir en las comunicaciones de los usuarios con los sitios web simplemente mediante la fuerza bruta de la contraseña preinstalada.
El acuerdo está pendiente de aprobación de los tribunales de 32 estados.
Aunque Lenovo no estuvo de acuerdo con las acusaciones de que "precargó software que podría acceder a la información confidencial de los consumidores sin aviso o consentimiento adecuado para su uso ”, afirmó que la empresa se“ complace en cerrar este asunto después de dos años y medio años."
Sin embargo, el acuerdo está a la espera de la aprobación de los tribunales de los estados participantes. Si se aprueba, los $ 3.5 millones de Lenovo se dividirán en cantidades proporcionales y se distribuirán a esos estados.