Lenovo får en bot på 3,5 millioner dollar for distribusjon av Superfish-reklameprogrammer

Lenovo får endelig bot for å forhåndsinstallere spionprogrammer på datamaskinene sine

Oppgjør i Lenovo Superfish-skandalen

Dataprodusenten Lenovo er nå forpliktet til å betale 3,5 millioner dollar for å avgjøre anklagene om Superfish-skandalen. 6. september 2017 kunngjorde en koalisjon av 32 statsadvokater at selskapet må betale for distribusjon av adware i takt med sine produkter for kunder.

Selskapet gjorde en stor feil da det valgte å pakke Superfish adware med sine datamaskiner tilbake i 2014. Selskapet fikk tilbakeslag da brukere begynte å klage på irriterende VisualDiscovery-adware (utviklet av California-baserte Superfish) høsten 2014.

I januar 2015 fjernet Kina-baserte Lenovo adware fra forhåndsinnlastinger av nye forbrukersystemer. Selskapet uttalte også at Superfish deaktiverte eksisterende Lenovo-maskiner på markedet fra å aktivere den annonsestøttede programvaren. Senere ga det bestselgende datamerket ut et verktøy for å hjelpe brukere med å fjerne den beryktede programvaren fra produktene sine.

Aktiviteter av Superfish adware kan beskrives som "aggressive"

Den beskrevne adwaren kan vise popup-annonser for brukeren, injisere annonser på nettsteder og få dem til å se ut som de stammer fra disse nettsidene og på denne måten forvirre brukeren. I tillegg kan den til og med bruke sertifikatkrefter på rotnivå for å injisere annonser til krypterte nettsteder.

I følge FTC ble VisualDiscovery brukt som en "mann-i-midten" mellom brukerne og nettsidene de besøkte. Metoden ga programvaren tilgang til brukerens private informasjon hver gang man overførte den over Internett. På denne måten kan offerets navn, påloggingsdetaljer, betalingsdata og personnummer nå Superfish sine servere.

For å vise annonser på krypterte nettsteder (HTTPS), brukte adware en teknikk som gjorde det mulig å erstatte digitale sertifikater for disse nettstedene med VisualDiscovery-signerte. Programvaren bekreftet ikke på riktig måte om nettsidenes sertifikater var gyldige før de byttet til sine egne. Dessuten ble det brukt et passord som var lett å knekke på alle bærbare datamaskiner.

På grunn av problemet kunne ikke ofrenes nettlesere vise advarsler om farlige nettsteder med falske sikkerhetssertifikater. Sikkerhetssårbarheten kan tillate kriminelle å forstyrre brukernes kommunikasjon med nettsteder ved ganske enkelt å tvinge det forhåndsinstallerte passordet.

Forliket venter på godkjenning fra domstoler i 32 stater

Selv om Lenovo var uenig i påstandene om at de «forhåndslastet programvare som kunne få tilgang til forbrukernes sensitive informasjon uten tilstrekkelig varsel eller samtykke til bruken», uttalte det at selskapet er «glad for å avslutte denne saken etter to og en halv år."

Forliket venter imidlertid på godkjenning fra domstoler i deltakende stater. Hvis de blir godkjent, vil 3,5 millioner dollar fra Lenovo bli delt opp i proporsjonale beløp og fordelt til disse statene.