Lenovo končno dobi denarno kazen, ker je vnaprej namestil vohunsko programsko opremo na svoje računalnike
Proizvajalec računalnikov Lenovo je zdaj dolžan plačati 3,5 milijona dolarjev za poravnavo obtožb o škandalu Superfish. 6. septembra 2017 je koalicija 32 državnih odvetnikov sporočila, da bo družba morala plačati za distribucijo oglasne programske opreme v tandemu s svojimi izdelki za stranke.
Podjetje je naredilo veliko napako, ko se je odločilo za združevanje Oglasna programska oprema Superfish s svojimi računalniki že leta 2014. Podjetje je prejelo odziv, ko so se uporabniki jeseni 2014 začeli pritoževati nad nadležnim oglasnim programom VisualDiscovery (ki ga je razvil Superfish s sedežem v Kaliforniji).
Januarja 2015 je Lenovo s sedežem na Kitajskem odstranil oglaševalsko programsko opremo iz prednastavitev novih potrošniških sistemov. Podjetje je tudi navedlo, da je Superfish onemogočil obstoječe stroje Lenovo na trgu, da bi aktivirali programsko opremo, podprto z oglasi. Kasneje je najbolj prodajana računalniška znamka izdala orodje, ki uporabnikom pomaga odstraniti zloglasno programsko opremo iz svojih izdelkov.
Dejavnosti oglasne programske opreme Superfish lahko opišemo kot »agresivne«
Opisani oglasni programi bi lahko uporabniku prikazovali pojavne oglase, vbrizgali oglase na spletna mesta in jih naredili videti, kot da izvirajo s teh spletnih strani in na ta način uporabnika zbegali. Poleg tega bi lahko celo uporabil pooblastila za potrdila na korenski ravni za vbrizgavanje oglasov na šifrirana spletna mesta.
Po FTC-ju je bil VisualDiscovery uporabljen kot »mož v sredini« med uporabniki in spletnimi stranmi, ki so jih obiskali. Metoda je omogočila programski opremi dostop do osebnih podatkov uporabnika, kadar koli jih je ta prenesel preko interneta. Tako bi lahko ime žrtve, podatki za prijavo, podatki o plačilu in številke socialnega zavarovanja dosegli strežnike Superfish.
Za prikazovanje oglasov na šifriranih spletnih mestih (HTTPS) je oglasna programska oprema uporabila tehniko, ki je omogočala zamenjavo digitalnih potrdil za ta spletna mesta s tistimi, ki jih je podpisal VisualDiscovery. Programska oprema ni ustrezno preverila, ali so certifikati spletnih mest veljavni, preden jih je preklopila na lastna. Poleg tega je bilo na vseh prenosnih računalnikih uporabljeno geslo, ki ga je enostavno razbiti.
Zaradi težave brskalniki žrtev niso mogli prikazati opozoril o nevarnih spletnih mestih z lažnimi varnostnimi potrdili. Varnostna ranljivost bi lahko kriminalcem omogočila, da motijo komunikacijo uporabnikov s spletnimi mesti s preprostim brutalnim izsiljevanjem vnaprej nameščenega gesla.
Poravnava čaka na odobritev sodišč 32 zveznih držav
Čeprav se Lenovo ni strinjal z obtožbami, da je "prednaložena programska oprema, ki bi lahko dostopala do občutljivih informacij potrošnikov brez ustrezno obvestilo ali soglasje za njegovo uporabo,« je navedlo, da je družba »z veseljem zaključila to zadevo po dveh in pol leta.”
Vendar poravnava čaka na odobritev sodišč sodelujočih držav. Če bo odobreno, bo 3,5 milijona dolarjev od Lenovo razdeljenih na sorazmerne zneske in razdeljenih tem državam.