Lenovo, Superfish reklam yazılımını dağıttığı için 3,5 milyon dolar para cezasına çarptırıldı

Lenovo nihayet bilgisayarlarına önceden casus yazılım yüklediği için para cezasına çarptırıldı

Lenovo Superfish skandalında uzlaşma

Bilgisayar üreticisi Lenovo, Superfish skandalıyla ilgili iddiaları çözmek için şimdi 3.5 milyon dolar ödemek zorunda. 6 Eylül 2017'de, 32 eyalet avukatından oluşan bir koalisyon, şirketin ödemek zorunda kalacağını açıkladı. reklam yazılımı dağıtmak için müşteriler için ürünleri ile birlikte.

Şirket paketlemeyi seçerken büyük bir hata yaptı Süper balık reklam yazılımı 2014 yılında bilgisayarları ile. Kullanıcılar 2014 sonbaharında (California merkezli Superfish tarafından geliştirilen) can sıkıcı VisualDiscovery reklam yazılımlarından şikayet etmeye başladıklarında şirket bir tepki aldı.

Ocak 2015'te Çin merkezli Lenovo, reklam yazılımını yeni tüketici sistemlerinin ön yüklemelerinden kaldırdı. Şirket ayrıca Superfish'in piyasadaki mevcut Lenovo makinelerinin reklam destekli yazılımı etkinleştirmesini engellediğini belirtti. Daha sonra, en çok satan bilgisayar markası, kullanıcıların kötü şöhretli yazılımı ürünlerinden kaldırmasına yardımcı olacak bir araç yayınladı.

Superfish reklam yazılımının faaliyetleri “agresif” olarak tanımlanabilir.

Tanımlanan reklam yazılımı, kullanıcı için pop-up reklamlar görüntüleyebilir, web sitelerine reklam enjekte edebilir ve bu web sayfalarından geliyormuş gibi görünmesini sağlayabilir ve bu şekilde kullanıcının kafasını karıştırabilir. Ayrıca, şifrelenmiş web sitelerine reklam enjekte etmek için kök düzeyinde sertifika yetkilerini bile kullanabilir.

FTC'ye göre VisualDiscovery, kullanıcılar ve ziyaret ettikleri web sayfaları arasında "ortadaki adam" olarak kullanıldı. Yöntem, yazılımın kullanıcının özel bilgilerine İnternet üzerinden aktarıldığında erişmesini sağladı. Bu şekilde kurbanın adı, oturum açma bilgileri, ödeme verileri ve sosyal güvenlik numaraları Superfish'in sunucularına ulaşabilir.

Reklam yazılımı, şifreli web sitelerinde (HTTPS) reklam görüntülemek için, bu siteler için dijital sertifikaların VisualDiscovery imzalı olanlarla değiştirilmesine izin veren bir teknik kullandı. Yazılım, web sitelerinin sertifikalarını kendi sertifikalarına geçirmeden önce geçerli olup olmadığını uygun şekilde doğrulamadı. Ayrıca tüm laptoplarda kırılması kolay bir şifre kullanıldı.

Sorun nedeniyle, kurbanların tarayıcıları, sahte güvenlik sertifikalarına sahip tehlikeli web siteleri hakkında uyarılar görüntüleyemiyordu. Güvenlik açığı, suçluların önceden yüklenmiş parolayı basitçe kaba kuvvetle zorlayarak kullanıcıların web siteleriyle iletişimine müdahale etmesine izin verebilir.

Anlaşma 32 eyaletin mahkemelerinden onay bekliyor

Lenovo, "tüketicilerin hassas bilgilerine herhangi bir işlem yapmadan erişebilecek yazılımları önceden yüklediği" iddialarına katılmasa da. kullanımı için yeterli bildirim veya rıza", şirketin "bu konuyu iki buçuk saat sonra sona erdirmekten memnuniyet duyduğunu" belirtti. yıllar.”

Ancak anlaşma, katılımcı devletlerin mahkemelerinden onay bekliyor. Onaylanırsa, Lenovo'dan gelen 3.5 milyon dolar orantılı miktarlara bölünecek ve bu eyaletlere dağıtılacaktır.