Lenovo krijgt eindelijk een boete voor het vooraf installeren van spyware op zijn computers
Computermaker Lenovo is nu verplicht $ 3,5 miljoen te betalen om de beschuldigingen over het Superfish-schandaal te schikken. Op 6 september 2017 kondigde een coalitie van 32 openbare aanklagers aan dat het bedrijf zal moeten betalen voor het verspreiden van adware samen met haar producten voor klanten.
Het bedrijf maakte een grote fout toen het ervoor koos om te bundelen Superfish adware met zijn computers in 2014. Het bedrijf kreeg een terugslag toen gebruikers in het najaar van 2014 begonnen te klagen over vervelende VisualDiscovery-adware (ontwikkeld door het in Californië gevestigde Superfish).
In januari 2015 heeft het in China gevestigde Lenovo de adware verwijderd uit preloads van nieuwe consumentensystemen. Het bedrijf verklaarde ook dat Superfish bestaande Lenovo-machines op de markt had uitgeschakeld om de door advertenties ondersteunde software te activeren. Later bracht het best verkopende computermerk een tool uit om gebruikers te helpen de beruchte software van zijn producten te verwijderen.
Activiteiten van Superfish adware kunnen worden omschreven als “agressief”
De beschreven adware kan pop-upadvertenties voor de gebruiker weergeven, advertenties in websites injecteren en ze eruit laten zien alsof ze afkomstig zijn van deze webpagina's en op deze manier de gebruiker in verwarring brengen. Bovendien kan het zelfs certificaatbevoegdheden op rootniveau gebruiken om advertenties op versleutelde websites te injecteren.
Volgens FTC werd VisualDiscovery gebruikt als een "man-in-the-middle" tussen de gebruikers en de webpagina's die ze bezochten. De methode gaf de software toegang tot de persoonlijke informatie van de gebruiker wanneer deze via internet werd overgedragen. Op deze manier kunnen de naam van het slachtoffer, inloggegevens, betalingsgegevens en burgerservicenummers de servers van Superfish bereiken.
Om advertenties weer te geven op versleutelde websites (HTTPS), gebruikte de adware een techniek die het mogelijk maakte om digitale certificaten voor die sites te vervangen door door VisualDiscovery ondertekende certificaten. De software verifieerde niet naar behoren of de certificaten van de websites geldig waren voordat ze werden overgezet naar zijn eigen certificaten. Bovendien werd op alle laptops een eenvoudig te kraken wachtwoord gebruikt.
Vanwege het probleem konden de browsers van de slachtoffers geen waarschuwingen weergeven over gevaarlijke websites met valse beveiligingscertificaten. Door het beveiligingslek kunnen criminelen de communicatie van gebruikers met websites verstoren door simpelweg het vooraf geïnstalleerde wachtwoord bruut te forceren.
De schikking is in afwachting van goedkeuring door rechtbanken van 32 staten
Hoewel Lenovo het niet eens was met de beschuldigingen dat het "software heeft voorgeladen die toegang zou kunnen krijgen tot gevoelige informatie van consumenten zonder" adequate kennisgeving of toestemming voor het gebruik ervan", verklaarde het dat het bedrijf "blij is deze zaak na twee en een half uur af te ronden. jaar.”
De schikking wacht echter op goedkeuring van de rechtbanken van de deelnemende staten. Indien goedgekeurd, zal de $ 3,5 miljoen van Lenovo worden verdeeld in evenredige bedragen en verdeeld over die staten.