Lenovo saa lopulta sakon vakoiluohjelmien esiasentamisesta tietokoneisiinsa
Tietokonevalmistaja Lenovo on nyt velvollinen maksamaan 3,5 miljoonaa dollaria Superfish-skandaaliin liittyvien syytösten ratkaisemiseksi. 6. syyskuuta 2017 32 valtion asianajajan koalitio ilmoitti, että yhtiön on maksettava mainosohjelmien levittämiseen yhdessä asiakkaidensa tuotteiden kanssa.
Yritys teki valtavan virheen valitessaan niputtamisen Superfish-mainosohjelma tietokoneineen vuonna 2014. Yritys sai vastareaktion, kun käyttäjät alkoivat valittaa ärsyttävistä VisualDiscovery-mainosohjelmista (kehittäjä Kaliforniassa sijaitseva Superfish) syksyllä 2014.
Tammikuussa 2015 kiinalainen Lenovo poisti mainosohjelman uusien kuluttajajärjestelmien esilatauksista. Yritys totesi myös, että Superfish esti markkinoilla olevia Lenovon koneita aktivoimasta mainoksilla tuettuja ohjelmistoja. Myöhemmin myydyin tietokonebrändi julkaisi työkalun, jonka avulla käyttäjät voivat poistaa surullisen ohjelmiston tuotteistaan.
Superfish-mainosohjelmien toimintaa voidaan kuvata "aggressiiviseksi"
Kuvatut mainosohjelmat voivat näyttää ponnahdusikkunoita käyttäjälle, pistää mainoksia verkkosivustoille ja saada ne näyttämään siltä, että ne olisivat peräisin näiltä verkkosivuilta ja tällä tavoin hämmentää käyttäjää. Lisäksi se voisi jopa käyttää juuritason sertifikaattivaltuuksia lisätäkseen mainoksia salatuille verkkosivustoille.
FTC: n mukaan VisualDiscoveryä käytettiin "välimiehenä" käyttäjien ja heidän vierailemiensa verkkosivujen välillä. Menetelmä tarjosi ohjelmistolle pääsyn käyttäjän yksityisiin tietoihin aina, kun niitä siirrettiin Internetin kautta. Näin uhrin nimi, kirjautumistiedot, maksutiedot ja henkilötunnukset pääsivät Superfishin palvelimille.
Mainosten näyttämiseksi salatuilla verkkosivustoilla (HTTPS) mainosohjelma käytti tekniikkaa, joka mahdollisti näiden sivustojen digitaalisten sertifikaattien korvaamisen VisualDiscovery-allekirjoitetuilla. Ohjelmisto ei tarkistanut asianmukaisesti verkkosivustojen varmenteiden voimassaoloa ennen niiden vaihtamista omiin. Lisäksi kaikissa kannettavissa tietokoneissa käytettiin helposti murtavaa salasanaa.
Ongelman vuoksi uhrien selaimet eivät pystyneet näyttämään varoituksia vaarallisista verkkosivustoista, joissa on vääriä suojausvarmenteita. Tietoturvahaavoittuvuus saattaa antaa rikollisten häiritä käyttäjien kommunikointia verkkosivustojen kanssa yksinkertaisesti pakottamalla esiasennettu salasana raa'alla tavalla.
Sovintoratkaisu odottaa hyväksyntää 32 osavaltion tuomioistuimissa
Vaikka Lenovo oli eri mieltä väitteiden kanssa, että se "esilatasi ohjelmiston, joka voisi päästä käsiksi kuluttajien arkaluontoisiin tietoihin ilman riittävä ilmoitus tai suostumus sen käyttöön", se totesi, että yhtiö "on iloinen voidessamme saattaa asian päätökseen kahden ja puolen jälkeen vuotta.”
Sopimus odottaa kuitenkin osallistujavaltioiden tuomioistuinten hyväksyntää. Jos Lenovon 3,5 miljoonaa dollaria hyväksytään, se jaetaan suhteellisiin summiin ja jaetaan näille osavaltioille.