Lenovo je konačno kažnjen jer je unaprijed instalirao špijunski softver na svoja računala
Proizvođač računala Lenovo sada je dužan platiti 3,5 milijuna dolara kako bi riješio optužbe oko skandala Superfish. 6. rujna 2017. koalicija od 32 državna odvjetnika objavila je da će tvrtka morati platiti za distribuciju adwarea u tandemu sa svojim proizvodima za kupce.
Tvrtka je napravila veliku pogrešku kada se odlučila za paket Superfish reklamni softver sa svojim računalima još 2014. godine. Tvrtka je dobila reakciju kada su se korisnici počeli žaliti na dosadni VisualDiscovery adware (koji je razvio Superfish iz Kalifornije) u jesen 2014.
U siječnju 2015., kineski Lenovo uklonio je reklamni softver iz predučitavanja novih potrošačkih sustava. Tvrtka je također izjavila da je Superfish onemogućio postojećim Lenovo strojevima na tržištu da aktiviraju softver podržan od reklama. Kasnije je najprodavanija računalna marka izdala alat za pomoć korisnicima da uklone zloglasni softver iz svojih proizvoda.
Aktivnosti Superfish adwarea mogu se opisati kao "agresivne"
Opisani adware bi korisniku mogao prikazati pop-up oglase, ubrizgati oglase u web stranice i učiniti ih da izgledaju kao da potječu s ovih web stranica i na taj način zbuniti korisnika. Osim toga, mogao bi čak koristiti ovlasti certifikata na korijenskoj razini za ubacivanje oglasa na šifrirana web-mjesta.
Prema FTC-u, VisualDiscovery je korišten kao "čovjek u sredini" između korisnika i web stranica koje su posjećivali. Metoda je softveru omogućila pristup privatnim podacima korisnika svaki put kada ih je netko prenio putem interneta. Na ovaj način, ime žrtve, podaci za prijavu, podaci o plaćanju i brojevi socijalnog osiguranja mogli bi doći do Superfishovih poslužitelja.
Kako bi prikazao oglase na šifriranim web-mjestima (HTTPS), adware je koristio tehniku koja je omogućila zamjenu digitalnih certifikata za te web-lokacije onima s potpisom VisualDiscovery. Softver nije na odgovarajući način provjerio jesu li certifikati web-mjesta valjani prije nego što ih je prebacio na vlastite. Osim toga, na svim prijenosnim računalima korištena je lozinka koju je lako razbiti.
Zbog problema, preglednici žrtava nisu mogli prikazati upozorenja o opasnim web stranicama s lažnim sigurnosnim certifikatima. Sigurnosna ranjivost mogla bi dopustiti kriminalcima da ometaju komunikaciju korisnika s web-stranicama jednostavnim grubim korištenjem unaprijed instalirane lozinke.
Nagodba čeka odobrenje od sudova 32 države
Iako se Lenovo nije složio s optužbama da je “unaprijed instalirao softver koji bi mogao pristupiti osjetljivim informacijama potrošača bez adekvatnu obavijest ili suglasnost za njezino korištenje", navodi se da je tvrtka "zadovoljna što ovo pitanje privodi kraju nakon dva i pol godine."
Međutim, nagodba čeka odobrenje sudova država sudionica. Ako se odobri, 3,5 milijuna dolara od Lenovo bit će podijeljeno u proporcionalne iznose i raspoređeno tim državama.