„Lenovo“ pagaliau gauna baudą už iš anksto įdiegtą šnipinėjimo programą savo kompiuteriuose
Kompiuterių gamintoja „Lenovo“ dabar privalo sumokėti 3,5 mln. USD, kad išspręstų kaltinimus dėl „Superfish“ skandalo. 2017 m. rugsėjo 6 d. 32 valstybės advokatų koalicija paskelbė, kad bendrovė turės sumokėti reklaminėms programoms platinti kartu su savo gaminiais klientams.
Bendrovė padarė didžiulę klaidą, kai pasirinko paketą Superfish reklaminė programa su savo kompiuteriais dar 2014 m. 2014 m. rudenį bendrovė sulaukė neigiamo atsako, kai vartotojai pradėjo skųstis dėl erzinančių „VisualDiscovery“ reklaminių programų (kurią sukūrė Kalifornijoje įsikūrusi „Superfish“).
2015 m. sausio mėn. Kinijoje įsikūrusi „Lenovo“ pašalino reklaminę programinę įrangą iš iš anksto įkeltų naujų vartotojų sistemų. Bendrovė taip pat pareiškė, kad „Superfish“ neleido esamiems „Lenovo“ įrenginiams suaktyvinti reklama palaikomos programinės įrangos. Vėliau geriausiai parduodamas kompiuterių prekės ženklas išleido įrankį, padedantį vartotojams pašalinti liūdnai pagarsėjusią programinę įrangą iš savo produktų.
„Superfish“ reklaminės programos veiklą galima apibūdinti kaip „agresyvią“
Aprašyta reklaminė programinė įranga gali rodyti iššokančiuosius skelbimus vartotojui, įterpti skelbimus į svetaines ir atrodyti, kad jie kilę iš šių tinklalapių ir tokiu būdu suklaidinti vartotoją. Be to, jis netgi galėtų panaudoti šakninio lygio sertifikato galias, kad įterptų skelbimus į šifruotas svetaines.
Pasak FTC, „VisualDiscovery“ buvo naudojamas kaip „vyras tarp vartotojų“ ir jų lankomų tinklalapių. Šis metodas suteikė programinei įrangai prieigą prie asmeninės vartotojo informacijos, kai tik ji buvo perkelta internetu. Tokiu būdu aukos vardas, prisijungimo duomenys, mokėjimo duomenys ir socialinio draudimo numeriai galėtų pasiekti Superfish serverius.
Kad skelbimai būtų rodomi šifruotose svetainėse (HTTPS), reklaminė programinė įranga naudojo techniką, leidžiančią pakeisti tų svetainių skaitmeninius sertifikatus „VisualDiscovery“ pasirašytais sertifikatais. Programinė įranga tinkamai nepatikrino, ar svetainių sertifikatai galioja, prieš pakeisdama juos į savo. Be to, visuose nešiojamuosiuose kompiuteriuose buvo naudojamas lengvai nulaužiamas slaptažodis.
Dėl problemos aukų naršyklės negalėjo rodyti įspėjimų apie pavojingas svetaines su netikrais saugos sertifikatais. Saugos pažeidžiamumas gali leisti nusikaltėliams trukdyti vartotojų bendravimui su svetainėmis tiesiog žiauriai priverčiant iš anksto įdiegtą slaptažodį.
Taikos sutartis laukiama patvirtinimo iš 32 valstybių teismų
Nors „Lenovo“ nesutiko su kaltinimais, kad „iš anksto įkėlė programinę įrangą, kuri galėjo pasiekti neskelbtiną vartotojų informaciją atitinkamu pranešimu arba sutikimu jį naudoti“, – teigiama, kad bendrovė „malonu užbaigti šį reikalą po pustrečių metų“.
Tačiau susitarimo laukiama dalyvaujančių valstybių teismų patvirtinimo. Jei bus patvirtinta, 3,5 mln. USD iš „Lenovo“ bus padalinta į proporcingas sumas ir paskirstyta toms valstybėms.