לנובו נקנסה ב-3.5 מיליון דולר על הפצת תוכנות פרסום של Superfish

MiscellaneaDec 20, 2021
click fraud protection

לנובו סוף סוף נקנס על התקנת תוכנות ריגול מראש במחשביה

הסדר בשערוריית לנובו סופרפיש

יצרנית המחשבים לנובו מחויבת כעת לשלם 3.5 מיליון דולר כדי ליישב את ההאשמות על שערוריית סופרפיש. ב-6 בספטמבר 2017 הודיעה קואליציה של 32 פרקליטים כי החברה תצטרך לשלם להפצת תוכנות פרסום במקביל למוצריה ללקוחות.

החברה עשתה טעות ענקית כשבחרה לאגד תוכנת פרסום של Superfish עם המחשבים שלה כבר ב-2014. החברה קיבלה תגובת נגד כאשר משתמשים החלו להתלונן על תוכנת פרסום מעצבנת של VisualDiscovery (שפותחה על ידי Superfish מקליפורניה) בסתיו 2014.

בינואר 2015, לנובו מסין הסירה את תוכנת הפרסום מטעינות מוקדמות של מערכות צרכניות חדשות. החברה גם ציינה ש-Superfish השביתה את הפעלת התוכנה הנתמכת במודעות ממכשירי Lenovo הקיימים בשוק. מאוחר יותר, מותג המחשבים הנמכר ביותר הוציא כלי שיעזור למשתמשים להסיר את התוכנה הידועה לשמצה ממוצריו.

ניתן לתאר פעילויות של תוכנת פרסום Superfish כ"אגרסיבית"

תוכנת הפרסום המתוארת יכולה להציג מודעות קופצות עבור המשתמש, להחדיר מודעות לאתרים ולגרום להן להיראות כאילו הן מקורן בדפי אינטרנט אלו ובדרך זו לבלבל את המשתמש. בנוסף, הוא יכול אפילו להפעיל סמכויות אישורים ברמת השורש כדי להחדיר מודעות לאתרים מוצפנים.

לפי FTC, VisualDiscovery שימש כ"איש באמצע" בין המשתמשים לדפי האינטרנט שבהם ביקרו. השיטה סיפקה לתוכנה גישה למידע הפרטי של המשתמש בכל פעם שהעביר אותו דרך האינטרנט. בדרך זו, שם הקורבן, פרטי התחברות, נתוני תשלום ומספרי תעודת זהות יכולים להגיע לשרתים של Superfish.

על מנת להציג מודעות באתרים מוצפנים (HTTPS), תוכנת הפרסום השתמשה בטכניקה שאפשרה החלפת אישורים דיגיטליים עבור אתרים אלה באתרים עם חתימת VisualDiscovery. התוכנה לא אימתה כראוי אם אישורי האתרים תקפים לפני שהחליפה אותם לאלו שלה. חוץ מזה, סיסמה קלה לפיצוח הייתה בשימוש בכל המחשבים הניידים.

עקב הבעיה, הדפדפנים של הקורבנות לא יכלו להציג אזהרות לגבי אתרים מסוכנים עם אישורי אבטחה מזויפים. פגיעות האבטחה עלולה לאפשר לפושעים להפריע לתקשורת של משתמשים עם אתרי אינטרנט פשוט על ידי כפייה גסה של הסיסמה המותקנת מראש.

ההסדר ממתין לאישור בתי המשפט של 32 מדינות

למרות שלנובו לא הסכימה עם הטענות שהיא "טעינה מראש תוכנה שיכולה לגשת למידע רגיש של צרכנים בלי הודעה נאותה או הסכמה לשימוש בו", נמסר כי החברה "שמחה להביא עניין זה לסיום לאחר שתיים וחצי שנים."

עם זאת, ההסדר ממתין לאישור מבתי המשפט של המדינות המשתתפות. אם יאושר, 3.5 מיליון הדולר מלנובו יחולקו לסכומים יחסיים ויחולקו לאותן מדינות.