Lenovo får äntligen böter för att ha förinstallerat spionprogram på sina datorer
Datortillverkaren Lenovo är nu skyldig att betala 3,5 miljoner dollar för att lösa anklagelserna om Superfish-skandalen. Den 6 september 2017 meddelade en koalition av 32 statliga advokater att företaget kommer att behöva betala för distribution av annonsprogram tillsammans med sina produkter för kunderna.
Företaget gjorde ett stort misstag när det valde att paketera Superfish adware med sina datorer redan 2014. Företaget fick en motreaktion när användare började klaga på irriterande VisualDiscovery-reklamprogram (utvecklat av Kalifornien-baserade Superfish) hösten 2014.
I januari 2015 tog Kina-baserade Lenovo bort adware från förladdningar av nya konsumentsystem. Företaget uppgav också att Superfish inaktiverade befintliga Lenovo-maskiner på marknaden från att aktivera den annonsstödda programvaran. Senare släppte det mest sålda datormärket ett verktyg för att hjälpa användare att ta bort den ökända programvaran från sina produkter.
Aktiviteter av Superfish adware kan beskrivas som "aggressiva"
Det beskrivna annonsprogrammet kan visa popup-annonser för användaren, injicera annonser på webbplatser och få dem att se ut som om de kommer från dessa webbsidor och på så sätt förvirra användaren. Dessutom kan den till och med använda certifikatbefogenheter på rotnivå för att injicera annonser på krypterade webbplatser.
Enligt FTC användes VisualDiscovery som en "man-in-the-middle" mellan användarna och webbsidor de besökte. Metoden gav programvaran tillgång till användarens privata information när man överförde den över Internet. På så sätt kan offrets namn, inloggningsuppgifter, betalningsdata och personnummer nå Superfishs servrar.
För att visa annonser på krypterade webbplatser (HTTPS), använde annonsprogrammet en teknik som gjorde det möjligt att ersätta digitala certifikat för dessa webbplatser med VisualDiscovery-signerade. Programvaran verifierade inte på lämpligt sätt om webbplatsernas certifikat var giltiga innan de bytte till sina egna. Dessutom användes ett lösenord som var lätt att knäcka på alla bärbara datorer.
På grund av problemet kunde offrens webbläsare inte visa varningar om farliga webbplatser med falska säkerhetscertifikat. Säkerhetssårbarheten kan tillåta brottslingar att störa användarnas kommunikation med webbplatser genom att helt enkelt tvinga fram det förinstallerade lösenordet.
Förlikningen väntar på godkännande från domstolar i 32 delstater
Även om Lenovo inte höll med påståenden om att de "förinstallerade programvara som kunde komma åt konsumenternas känsliga information utan adekvat meddelande eller samtycke till dess användning," sade det att företaget "nöjer sig med att avsluta denna fråga efter två och en halv år."
Förlikningen väntar dock på godkännande från domstolar i deltagande stater. Om de godkänns kommer 3,5 miljoner dollar från Lenovo att delas upp i proportionella belopp och distribueras till dessa stater.