Lenovoはついにコンピューターにスパイウェアをプレインストールしたことで罰金を科される
コンピューターメーカーのLenovoは現在、Superfishスキャンダルに関する申し立てを解決するために350万ドルを支払う義務があります。 2017年9月6日、32の州弁護士の連立は、会社が支払う必要があると発表しました アドウェアを配布するため 顧客向けの製品と並行して。
バンドルを選択したとき、会社は大きな間違いを犯しました Superfishアドウェア 2014年にそのコンピューターで。 2014年秋にユーザーが迷惑なVisualDiscoveryアドウェア(カリフォルニアを拠点とするSuperfishによって開発された)について不満を漏らし始めたとき、同社は反発を受けました。
2015年1月、中国を拠点とするLenovoは、新しい消費者向けシステムのプリロードからアドウェアを削除しました。 同社はまた、Superfishが市場にある既存のLenovoマシンが広告でサポートされているソフトウェアをアクティブ化できないようにしたと述べた。 その後、最も売れているコンピューターブランドは、ユーザーがその製品から悪名高いソフトウェアを削除するのに役立つツールをリリースしました。
Superfishアドウェアの活動は、「攻撃的」と表現できます
説明されているアドウェアは、ユーザーにポップアップ広告を表示し、Webサイトに広告を挿入して、それらがこれらのWebページから発信されたように見せ、ユーザーを混乱させる可能性があります。 さらに、ルートレベルの証明書機能を使用して、暗号化されたWebサイトに広告を挿入することもできます。
FTCによると、VisualDiscoveryは、ユーザーとユーザーがアクセスしたWebページの間の「中間者」として使用されていました。 この方法では、ユーザーがインターネット経由で個人情報を転送するたびに、ソフトウェアがユーザーの個人情報にアクセスできるようになりました。 このようにして、被害者の名前、ログインの詳細、支払いデータ、社会保障番号がSuperfishのサーバーに到達する可能性があります。
暗号化されたWebサイト(HTTPS)に広告を表示するために、アドウェアは、それらのサイトのデジタル証明書をVisualDiscoveryで署名されたものに置き換えることを可能にする技術を使用しました。 ソフトウェアは、Webサイトを独自の証明書に切り替える前に、Webサイトの証明書が有効かどうかを適切に検証しませんでした。 さらに、すべてのラップトップで解読しやすいパスワードが使用されていました。
この問題により、被害者のブラウザは、偽のセキュリティ証明書を使用して危険なWebサイトに関する警告を表示できませんでした。 セキュリティの脆弱性により、プリインストールされたパスワードをブルートフォースするだけで、犯罪者がユーザーのWebサイトとの通信を妨害する可能性があります。
和解は32州の裁判所からの承認待ちです
Lenovoは、「消費者の機密情報にアクセスすることなく、ソフトウェアをプリロードした」という主張には同意しませんでした。 十分な通知またはその使用への同意」と述べ、同社は「この問題を2年半後に終わらせて喜んでいる」と述べた。 年。」
しかし、和解は参加国の裁判所からの承認を待っています。 承認された場合、Lenovoからの350万ドルは比例額に分割され、それらの州に分配されます。