Lenovo viene finalmente multata per aver preinstallato spyware sui suoi computer
Il produttore di computer Lenovo è ora obbligato a pagare $ 3,5 milioni per risolvere le accuse sullo scandalo Superfish. Il 6 settembre 2017, una coalizione di 32 avvocati di stato ha annunciato che la società dovrà pagare per la distribuzione di adware in tandem con i suoi prodotti per i clienti.
L'azienda ha commesso un errore enorme quando ha scelto di raggruppare Adware Superfish con i suoi computer nel 2014. La società ha ricevuto un contraccolpo quando gli utenti hanno iniziato a lamentarsi del fastidioso adware VisualDiscovery (sviluppato dalla Superfish con sede in California) nell'autunno 2014.
Nel gennaio 2015, Lenovo, con sede in Cina, ha rimosso l'adware dai precaricamenti dei nuovi sistemi consumer. La società ha anche affermato che Superfish ha disabilitato le macchine Lenovo esistenti sul mercato dall'attivazione del software supportato dalla pubblicità. Successivamente, il marchio di computer più venduto ha rilasciato uno strumento per aiutare gli utenti a rimuovere il famigerato software dai suoi prodotti.
Le attività dell'adware Superfish possono essere descritte come "aggressive"
L'adware descritto potrebbe visualizzare annunci pop-up per l'utente, iniettare annunci in siti Web e farli sembrare come se provenissero da queste pagine Web e in questo modo confondere l'utente. Inoltre, potrebbe persino utilizzare i poteri dei certificati a livello di root per inserire annunci in siti Web crittografati.
Secondo FTC, VisualDiscovery è stato utilizzato come "man-in-the-middle" tra gli utenti e le pagine Web che hanno visitato. Il metodo forniva al software l'accesso alle informazioni private dell'utente ogni volta che le trasferiva su Internet. In questo modo, il nome della vittima, i dati di accesso, i dati di pagamento e i numeri di previdenza sociale potrebbero raggiungere i server di Superfish.
Per visualizzare annunci su siti Web crittografati (HTTPS), l'adware ha utilizzato una tecnica che ha permesso di sostituire i certificati digitali per quei siti con quelli firmati da VisualDiscovery. Il software non ha verificato in modo appropriato se i certificati dei siti Web erano validi prima di cambiarli con i propri. Inoltre, su tutti i laptop è stata utilizzata una password facile da decifrare.
A causa del problema, i browser delle vittime non potevano visualizzare avvisi su siti Web pericolosi con certificati di sicurezza fasulli. La vulnerabilità della sicurezza potrebbe consentire ai criminali di interferire nelle comunicazioni degli utenti con i siti Web semplicemente forzando la password preinstallata.
L'accordo è in attesa di approvazione da parte dei tribunali di 32 stati
Sebbene Lenovo non fosse d'accordo con le accuse di "software precaricato in grado di accedere alle informazioni sensibili dei consumatori senza avviso adeguato o consenso al suo utilizzo", ha affermato che la società è "contenta di chiudere la questione dopo due anni e mezzo anni."
Tuttavia, l'accordo è in attesa di approvazione da parte dei tribunali degli Stati partecipanti. Se approvati, i 3,5 milioni di dollari di Lenovo saranno suddivisi in quote proporzionali e distribuiti a quegli stati.