Lenovo saab lõpuks trahvi oma arvutitesse nuhkvara eelinstallimise eest
Arvutitootja Lenovo on nüüd kohustatud Superfishi skandaaliga seotud süüdistuste lahendamiseks maksma 3,5 miljonit dollarit. 6. septembril 2017 teatas 32 riigiadvokaadi koalitsioon, et ettevõte peab maksma reklaamvara levitamiseks koos oma toodetega klientidele.
Ettevõte tegi komplekteerimise valimisel tohutu vea Superfish reklaamvara oma arvutitega juba 2014. aastal. Ettevõte sai vastureaktsiooni, kui kasutajad hakkasid 2014. aasta sügisel kurtma tüütu VisualDiscovery reklaamvara üle (mille töötas välja Californias asuv Superfish).
2015. aasta jaanuaris eemaldas Hiinas asuv Lenovo reklaamvara uute tarbijasüsteemide eellaadimiselt. Ettevõte teatas ka, et Superfish keelas turul olemasolevatel Lenovo masinatel reklaamidega toetatud tarkvara aktiveerimise. Hiljem andis enimmüüdud arvutibränd välja tööriista, mis aitab kasutajatel kurikuulsa tarkvara oma toodetest eemaldada.
Superfishi reklaamvara tegevust võib kirjeldada kui "agressiivset"
Kirjeldatud reklaamvara võib kuvada kasutajale hüpikakende reklaame, sisestada reklaame veebisaitidele ja panna need näima, et need pärinevad neilt veebilehtedelt ning sel viisil kasutajat segadusse ajada. Lisaks võib see isegi kasutada juurtaseme sertifikaadi volitusi, et sisestada reklaame krüptitud veebisaitidele.
FTC andmetel kasutati VisualDiscoveryt kasutajate ja nende külastatud veebilehtede vahel "mehena". See meetod andis tarkvarale juurdepääsu kasutaja privaatsele teabele, kui see Interneti kaudu edastati. Nii võivad ohvri nimi, sisselogimisandmed, makseandmed ja sotsiaalkindlustuse numbrid jõuda Superfishi serveritesse.
Reklaamide kuvamiseks krüptitud veebisaitidel (HTTPS) kasutas reklaamvara tehnikat, mis võimaldas asendada nende saitide digitaalsed sertifikaadid VisualDiscovery allkirjastatud sertifikaatidega. Tarkvara ei kontrollinud enne oma sertifikaatidele vahetamist, kas veebisaitide sertifikaadid olid kehtivad. Pealegi kasutati kõikides sülearvutites kergesti lahtimurdatavat parooli.
Probleemi tõttu ei saanud ohvrite brauserid kuvada hoiatusi võltsitud turvasertifikaatidega ohtlike veebisaitide kohta. Turvahaavatavus võib lubada kurjategijatel segada kasutajate suhtlust veebisaitidega, kasutades eelinstallitud parooli lihtsalt jõhkralt sundides.
Kokkulepe ootab 32 osariigi kohtute heakskiitu
Kuigi Lenovo ei nõustunud väidetega, et ta "eellaadis tarkvara, mis pääses ilma tarbijate tundlikule teabele juurde piisav etteteatamine või nõusolek selle kasutamiseks," teatas ta, et ettevõttel on "meeldiv see küsimus kahe ja poole pärast lõpetada aastat.”
Siiski ootab kokkulepe osalevate riikide kohtute heakskiitu. Kui see heaks kiidetakse, jagatakse Lenovo 3,5 miljonit dollarit proportsionaalseteks summadeks ja jagatakse nendele osariikidele.