Lenovo наконец-то оштрафована за предварительную установку шпионского ПО на свои компьютеры
Производитель компьютеров Lenovo теперь обязана заплатить 3,5 миллиона долларов для урегулирования обвинений в скандале с Superfish. 6 сентября 2017 года коалиция из 32 государственных поверенных объявила, что компании придется заплатить для распространения рекламного ПО в тандеме со своей продукцией для клиентов.
Компания совершила огромную ошибку, когда решила объединить Рекламное ПО Superfish со своими компьютерами еще в 2014 году. Компания получила негативную реакцию, когда осенью 2014 года пользователи начали жаловаться на надоедливое рекламное ПО VisualDiscovery (разработанное калифорнийской Superfish).
В январе 2015 года китайская компания Lenovo удалила рекламное ПО из предварительных загрузок новых потребительских систем. Компания также заявила, что Superfish не позволил существующим на рынке компьютерам Lenovo активировать программное обеспечение, поддерживаемое рекламой. Позже самый продаваемый компьютерный бренд выпустил инструмент, который помогал пользователям удалять печально известное программное обеспечение из своих продуктов.
Действия рекламного ПО Superfish можно охарактеризовать как «агрессивные».
Описанное рекламное ПО может отображать всплывающие окна с рекламой для пользователя, размещать рекламу на веб-сайтах и заставлять их выглядеть так, как будто они исходят с этих веб-страниц, и таким образом вводить пользователя в заблуждение. Кроме того, он может даже использовать полномочия сертификата корневого уровня для вставки рекламы на зашифрованные веб-сайты.
Согласно FTC, VisualDiscovery использовался в качестве «посредника» между пользователями и веб-страницами, которые они посещали. Этот метод предоставлял программному обеспечению доступ к личной информации пользователя всякий раз, когда кто-либо передавал ее через Интернет. Таким образом, имя жертвы, данные для входа, платежные данные и номера социального страхования могут попасть на серверы Superfish.
Для показа рекламы на зашифрованных веб-сайтах (HTTPS) рекламное ПО использовало технику, которая позволяла заменять цифровые сертификаты для этих сайтов сертификатами, подписанными VisualDiscovery. Программное обеспечение не проверяло надлежащим образом, действительны ли сертификаты веб-сайтов, прежде чем заменять их своими собственными. Кроме того, на всех ноутбуках использовался простой для взлома пароль.
Из-за проблемы браузеры жертв не могли отображать предупреждения об опасных веб-сайтах с поддельными сертификатами безопасности. Уязвимость может позволить злоумышленникам вмешиваться в общение пользователей с веб-сайтами, просто подбирая предварительно установленный пароль.
Мировое соглашение ожидает одобрения судов 32 штатов.
Хотя Lenovo не согласилась с утверждениями о том, что она «предварительно загружает программное обеспечение, которое может получить доступ к конфиденциальной информации потребителей без надлежащее уведомление или согласие на его использование », - заявлено, что компания« рада закрыть этот вопрос после двух с половиной годы."
Однако мировое соглашение ожидает одобрения судов государств-участников. В случае утверждения 3,5 миллиона долларов от Lenovo будут разделены на пропорциональные суммы и распределены между этими штатами.