Lenovo w końcu zostaje ukarane grzywną za wstępne instalowanie oprogramowania szpiegującego na swoich komputerach
Producent komputerów Lenovo jest teraz zobowiązany zapłacić 3,5 miliona dolarów, aby uregulować zarzuty dotyczące afery Superfish. 6 września 2017 r. koalicja 32 prokuratorów ogłosiła, że spółka będzie musiała zapłacić za dystrybucję adware wraz ze swoimi produktami dla klientów.
Firma popełniła ogromny błąd, decydując się na pakiet Oprogramowanie reklamowe Superfish ze swoimi komputerami w 2014 roku. Firma spotkała się z reakcją, gdy użytkownicy zaczęli narzekać na irytujące adware VisualDiscovery (opracowane przez firmę Superfish z Kalifornii) jesienią 2014 roku.
W styczniu 2015 roku firma Lenovo z siedzibą w Chinach usunęła oprogramowanie reklamowe ze wstępnie ładowanych nowych systemów konsumenckich. Firma stwierdziła również, że Superfish uniemożliwił istniejącym na rynku maszynom Lenovo aktywację oprogramowania z reklamami. Później najlepiej sprzedająca się marka komputerów wydała narzędzie, które pomaga użytkownikom usunąć niesławne oprogramowanie z jej produktów.
Działania adware Superfish można opisać jako „agresywne”
Opisane adware może wyświetlać wyskakujące reklamy użytkownikowi, umieszczać reklamy na stronach internetowych i sprawiać, by wyglądały, jakby pochodziły z tych stron internetowych, i w ten sposób wprowadzać użytkownika w błąd. Ponadto może nawet wykorzystywać uprawnienia certyfikatu na poziomie głównym do wstrzykiwania reklam do zaszyfrowanych witryn internetowych.
Według FTC VisualDiscovery był używany jako „człowiek pośrodku” między użytkownikami a odwiedzanymi przez nich stronami internetowymi. Metoda zapewniała oprogramowaniu dostęp do prywatnych informacji użytkownika za każdym razem, gdy przesyłano je przez Internet. W ten sposób imię i nazwisko ofiary, dane logowania, dane dotyczące płatności i numery ubezpieczenia społecznego mogą dotrzeć do serwerów Superfish.
W celu wyświetlania reklam na zaszyfrowanych stronach internetowych (HTTPS), adware wykorzystywało technikę, która umożliwiała zastąpienie certyfikatów cyfrowych dla tych stron certyfikatami podpisanymi przez VisualDiscovery. Oprogramowanie nie weryfikowało w odpowiedni sposób, czy certyfikaty witryn są ważne przed przełączeniem ich na własne. Poza tym na wszystkich laptopach zastosowano łatwe do złamania hasło.
Z tego powodu przeglądarki ofiar nie mogły wyświetlać ostrzeżeń o niebezpiecznych witrynach z fałszywymi certyfikatami bezpieczeństwa. Luka w zabezpieczeniach może pozwolić przestępcom na zakłócanie komunikacji użytkowników ze stronami internetowymi, po prostu wymuszając wstępnie zainstalowane hasło.
Ugoda oczekuje na zatwierdzenie przez sądy 32 stanów
Chociaż Lenovo nie zgodziło się z zarzutami, że „wstępnie załadowało oprogramowanie, które mogło uzyskać dostęp do poufnych informacji konsumentów bez odpowiednie zawiadomienie lub zgodę na jego wykorzystanie”, stwierdził, że firma „przyjemna jest zakończyć tę sprawę po dwóch i pół lat”.
Ugoda czeka jednak na zatwierdzenie przez sądy uczestniczących państw. Jeśli zostanie zatwierdzona, 3,5 miliona dolarów od Lenovo zostanie podzielone na proporcjonalne kwoty i rozdzielone między te stany.