Lenovo didenda $3,5 juta karena mendistribusikan adware Superfish

Lenovo akhirnya didenda karena menginstal spyware di komputernya

Penyelesaian dalam skandal Lenovo Superfish

Produsen komputer Lenovo sekarang diwajibkan untuk membayar $3,5 juta untuk menyelesaikan tuduhan atas skandal Superfish. Pada 6 September 2017, koalisi 32 pengacara negara mengumumkan bahwa perusahaan harus membayar untuk mendistribusikan adware bersama-sama dengan produknya untuk pelanggan.

Perusahaan membuat kesalahan besar ketika memilih untuk membundel Adware ikan super dengan komputernya pada tahun 2014. Perusahaan menerima reaksi ketika pengguna mulai mengeluh tentang adware VisualDiscovery yang mengganggu (dikembangkan oleh Superfish yang berbasis di California) pada musim gugur 2014.

Pada Januari 2015, Lenovo yang berbasis di China menghapus adware dari pramuat sistem konsumen baru. Perusahaan juga menyatakan bahwa Superfish menonaktifkan mesin Lenovo yang ada di pasar untuk mengaktifkan perangkat lunak yang didukung iklan. Kemudian, merek komputer terlaris merilis alat untuk membantu pengguna menghapus perangkat lunak terkenal dari produknya.

Aktivitas adware Superfish dapat digambarkan sebagai "agresif"

Adware yang dijelaskan dapat menampilkan iklan pop-up untuk pengguna, menyuntikkan iklan ke situs web dan membuatnya terlihat seperti berasal dari halaman web ini dan dengan cara ini membingungkan pengguna. Selain itu, ia bahkan dapat menggunakan kekuatan sertifikat tingkat akar untuk menyuntikkan iklan ke situs web terenkripsi.

Menurut FTC, VisualDiscovery digunakan sebagai "man-in-the-middle" antara pengguna dan halaman web yang mereka kunjungi. Metode ini menyediakan akses perangkat lunak ke informasi pribadi pengguna setiap kali seseorang mentransfernya melalui Internet. Dengan cara ini, nama korban, detail login, data pembayaran, dan nomor jaminan sosial dapat mencapai server Superfish.

Untuk menampilkan iklan di situs web terenkripsi (HTTPS), adware menggunakan teknik yang memungkinkan penggantian sertifikat digital untuk situs tersebut dengan yang ditandatangani VisualDiscovery. Perangkat lunak tidak memverifikasi dengan tepat apakah sertifikat situs web itu valid sebelum mengalihkannya ke sertifikatnya sendiri. Selain itu, kata sandi yang mudah diretas digunakan di semua laptop.

Karena masalah tersebut, browser korban tidak dapat menampilkan peringatan tentang situs web berbahaya dengan sertifikat keamanan palsu. Kerentanan keamanan dapat memungkinkan penjahat untuk mengganggu komunikasi pengguna dengan situs web hanya dengan memaksa kata sandi yang sudah diinstal sebelumnya.

Penyelesaian ini menunggu persetujuan dari pengadilan 32 negara bagian

Meskipun Lenovo tidak setuju dengan tuduhan bahwa “perangkat lunak yang dimuat sebelumnya dapat mengakses informasi sensitif konsumen tanpa pemberitahuan atau persetujuan yang memadai untuk penggunaannya,” dinyatakan bahwa perusahaan “dengan senang hati menyelesaikan masalah ini setelah dua setengah bertahun-tahun."

Namun, penyelesaian ini menunggu persetujuan dari pengadilan negara-negara peserta. Jika disetujui, $3,5 juta dari Lenovo akan dibagi ke dalam jumlah yang proporsional dan didistribusikan ke negara-negara bagian tersebut.