Lenovo dostane pokutu 3,5 milióna dolárov za distribúciu superfish adware

Lenovo konečne dostane pokutu za predinštalovanie spywaru do svojich počítačov

Vysporiadanie sa so škandálom Lenovo Superfish

Výrobca počítačov Lenovo je teraz povinný zaplatiť 3,5 milióna dolárov za urovnanie obvinení zo škandálu Superfish. 6. septembra 2017 koalícia 32 štátnych zástupcov oznámila, že spoločnosť bude musieť zaplatiť na distribúciu adware v tandeme so svojimi produktmi pre zákazníkov.

Spoločnosť urobila obrovskú chybu, keď sa rozhodla spojiť Superfish adware so svojimi počítačmi ešte v roku 2014. Spoločnosť dostala odpor, keď sa používatelia na jeseň 2014 začali sťažovať na nepríjemný adware VisualDiscovery (vyvinutý spoločnosťou Superfish so sídlom v Kalifornii).

V januári 2015 spoločnosť Lenovo so sídlom v Číne odstránila adware z predinštalovaných nových spotrebiteľských systémov. Spoločnosť tiež uviedla, že Superfish znemožnil existujúcim počítačom Lenovo na trhu aktivovať softvér podporovaný reklamou. Neskôr najpredávanejšia počítačová značka vydala nástroj, ktorý pomáha používateľom odstrániť neslávne známy softvér z jej produktov.

Aktivity superfish adware možno opísať ako „agresívne“

Opísaný adware by mohol používateľovi zobrazovať vyskakovacie reklamy, vkladať reklamy do webových stránok a vytvárať z nich dojem, že pochádzajú z týchto webových stránok, a tak zmiasť používateľa. Okrem toho by mohol dokonca využívať právomoci certifikátov na koreňovej úrovni na vkladanie reklám na šifrované webové stránky.

Podľa FTC sa VisualDiscovery používal ako „man-in-the-middle“ medzi používateľmi a webovými stránkami, ktoré navštívili. Táto metóda poskytla softvéru prístup k súkromným informáciám používateľa vždy, keď ich preniesol cez internet. Týmto spôsobom by sa meno obete, prihlasovacie údaje, platobné údaje a čísla sociálneho poistenia mohli dostať na servery Superfish.

Aby sa reklamy zobrazovali na šifrovaných webových stránkach (HTTPS), adware použil techniku, ktorá umožnila nahradiť digitálne certifikáty pre tieto stránky certifikátmi podpísanými VisualDiscovery. Softvér riadne neoveril, či sú certifikáty webových stránok platné, než ich zmenil na svoje vlastné. Okrem toho sa na všetkých prenosných počítačoch používalo ľahko prelomiteľné heslo.

Kvôli tomuto problému nemohli prehliadače obetí zobrazovať upozornenia na nebezpečné webové stránky s falošnými bezpečnostnými certifikátmi. Chyba zabezpečenia by mohla umožniť zločincom zasahovať do komunikácie používateľov s webovými stránkami jednoduchým hrubým vynútením vopred nainštalovaného hesla.

Vyrovnanie čaká na schválenie súdmi 32 štátov

Hoci Lenovo nesúhlasilo s obvineniami, že „predinštalovalo softvér, ktorý by mohol pristupovať k citlivým informáciám spotrebiteľov bez primerané upozornenie alebo súhlas s jeho použitím,“ uviedol, že spoločnosť „s potešením uzavrie túto záležitosť po dva a pol. rokov.“

Urovnanie však čaká na schválenie súdmi zúčastnených štátov. V prípade schválenia sa 3,5 milióna dolárov od spoločnosti Lenovo rozdelí do proporcionálnych súm a rozdelí sa týmto štátom.