Lenovo finalmente foi multado por pré-instalar spyware em seus computadores
A fabricante de computadores Lenovo agora é obrigada a pagar US $ 3,5 milhões para resolver as acusações sobre o escândalo Superfish. Em 6 de setembro de 2017, uma coalizão de 32 procuradores do estado anunciou que a empresa terá que pagar para distribuição de adware em conjunto com seus produtos para os clientes.
A empresa cometeu um grande erro quando optou por agrupar Adware Superfish com seus computadores em 2014. A empresa sofreu uma reação negativa quando os usuários começaram a reclamar sobre o irritante adware VisualDiscovery (desenvolvido pela Superfish, com sede na Califórnia), no outono de 2014.
Em janeiro de 2015, a Lenovo com sede na China removeu o adware de pré-carregamentos de novos sistemas de consumo. A empresa também afirmou que o Superfish desabilitou as máquinas Lenovo existentes no mercado de ativar o software suportado por anúncios. Mais tarde, a marca de computador mais vendida lançou uma ferramenta para ajudar os usuários a remover o software infame de seus produtos.
As atividades do adware Superfish podem ser descritas como "agressivas"
O adware descrito pode exibir anúncios pop-up para o usuário, injetar anúncios em sites e fazer com que pareçam ter se originado dessas páginas da web e, dessa forma, confundir o usuário. Além disso, pode até empregar poderes de certificado de nível raiz para injetar anúncios em sites criptografados.
De acordo com a FTC, VisualDiscovery foi usado como um “intermediário” entre os usuários e as páginas da web que eles visitavam. O método fornecia ao software acesso às informações privadas do usuário sempre que ele as transferia pela Internet. Desta forma, o nome da vítima, detalhes de login, dados de pagamento e números de segurança social podem chegar aos servidores do Superfish.
Para exibir anúncios em sites criptografados (HTTPS), o adware usava uma técnica que permitia substituir os certificados digitais desses sites por certificados assinados pelo VisualDiscovery. O software não verificou adequadamente se os certificados dos sites eram válidos antes de trocá-los para os seus próprios. Além disso, uma senha fácil de quebrar foi usada em todos os laptops.
Devido ao problema, os navegadores das vítimas não podiam exibir avisos sobre sites perigosos com certificados de segurança falsos. A vulnerabilidade de segurança pode permitir que criminosos interfiram nas comunicações dos usuários com sites, simplesmente forçando a senha pré-instalada.
O acordo está pendente de aprovação de tribunais de 32 estados
Embora a Lenovo discordasse das alegações de que "pré-carregava software que poderia acessar informações confidenciais dos consumidores sem aviso adequado ou consentimento para seu uso ”, afirmou que a empresa tem“ o prazer de encerrar este assunto após dois anos e meio anos."
No entanto, o acordo está aguardando a aprovação dos tribunais dos estados participantes. Se aprovado, os US $ 3,5 milhões da Lenovo serão divididos em valores proporcionais e distribuídos a esses estados.