A Lenovót végül pénzbírsággal sújtják, amiért előre telepített kémprogramokat a számítógépére
A Lenovo számítógépgyártó most 3,5 millió dollárt köteles fizetni a Superfish-botrány kapcsán felmerült vádak rendezésére. 2017. szeptember 6-án a 32 államügyészből álló koalíció bejelentette, hogy a cégnek fizetnie kell reklámprogramok terjesztésére termékeivel párhuzamosan az ügyfelek számára.
A cég óriási hibát követett el, amikor a csomagcsomagolást választotta Superfish adware számítógépeivel még 2014-ben. A vállalat visszajelzést kapott, amikor 2014 őszén a felhasználók panaszkodni kezdtek a (a kaliforniai Superfish által kifejlesztett) VisualDiscovery-reklámokról.
2015 januárjában a kínai székhelyű Lenovo eltávolította az adware-t az új fogyasztói rendszerek előtöltetéből. A cég azt is kijelentette, hogy a Superfish letiltotta a piacon meglévő Lenovo gépeket a hirdetésekkel támogatott szoftver aktiválásában. Később a legkeresettebb számítógépes márka kiadott egy eszközt, amellyel a felhasználók eltávolíthatják termékeiből a hírhedt szoftvert.
A Superfish adware tevékenységei „agresszívnek” nevezhetők.
A leírt adware felugró hirdetéseket jeleníthet meg a felhasználó számára, hirdetéseket szúrhat be a webhelyekbe, és úgy tűnhet, mintha ezekről a weboldalakról származnának, és ezáltal megzavarhatja a felhasználót. Ezen túlmenően akár gyökérszintű tanúsítványt is alkalmazhat, hogy hirdetéseket szúrjon be a titkosított webhelyekre.
Az FTC szerint a VisualDiscovery-t „ember-in-the-middle”-ként használták a felhasználók és az általuk meglátogatott weboldalak között. A módszer lehetővé tette, hogy a szoftver hozzáférjen a felhasználó személyes adataihoz, amikor valaki azokat az interneten keresztül továbbította. Így az áldozat neve, bejelentkezési adatai, fizetési adatai és társadalombiztosítási számai eljuthatnak a Superfish szervereire.
A hirdetések titkosított webhelyeken (HTTPS) való megjelenítéséhez az adware olyan technikát alkalmazott, amely lehetővé tette ezen webhelyek digitális tanúsítványainak VisualDiscovery által aláírt tanúsítványokkal való helyettesítését. A szoftver nem ellenőrizte megfelelően, hogy a webhelyek tanúsítványai érvényesek-e, mielőtt átváltotta őket a sajátjára. Emellett minden laptopon egy könnyen feltörhető jelszót használtak.
A probléma miatt az áldozatok böngészői nem tudtak figyelmeztetést megjeleníteni a hamis biztonsági tanúsítvánnyal rendelkező veszélyes webhelyekről. A biztonsági rés lehetővé teheti a bűnözők számára, hogy megzavarják a felhasználók webhelyekkel való kommunikációját az előre telepített jelszó durva erőltetésével.
Az egyezség 32 állam bíróságának jóváhagyására vár
Bár a Lenovo nem értett egyet azokkal az állításokkal, amelyek szerint „előre telepített szoftvert, amely anélkül is hozzáférhetett a fogyasztók érzékeny információihoz megfelelő értesítést vagy hozzájárulást kell adni a használatához” – közölte, hogy a cég „öröm, hogy két és fél után lezárja ezt az ügyet évek."
Az egyezség azonban a részt vevő államok bíróságainak jóváhagyására vár. Ha jóváhagyják, a Lenovo 3,5 millió dollárját arányos összegekre osztják fel, és szétosztják az érintett államok között.