Lenovo нарешті оштрафують за попереднє встановлення шпигунських програм на свої комп’ютери
Виробник комп’ютерів Lenovo тепер зобов’язаний заплатити 3,5 мільйона доларів за врегулювання звинувачень у скандалі Superfish. 6 вересня 2017 року коаліція з 32 державних прокурорів оголосила, що компанія повинна буде заплатити для розповсюдження рекламного ПЗ у тандемі зі своїми продуктами для клієнтів.
Компанія зробила величезну помилку, коли вирішила об’єднатися Рекламне програмне забезпечення Superfish зі своїми комп’ютерами ще у 2014 році. Компанія отримала негативну реакцію, коли восени 2014 року користувачі почали скаржитися на дратівливе рекламне програмне забезпечення VisualDiscovery (розроблене каліфорнійською Superfish).
У січні 2015 року китайська компанія Lenovo видалила рекламне програмне забезпечення з попередніх завантажень нових споживчих систем. Компанія також заявила, що Superfish відключив наявні на ринку машини Lenovo від активації програмного забезпечення, яке підтримується рекламою. Пізніше найбільш продаваний комп’ютерний бренд випустив інструмент, який допомагає користувачам видалити сумнозвісне програмне забезпечення зі своїх продуктів.
Діяльність рекламного ПЗ Superfish можна охарактеризувати як «агресивну»
Описане рекламне програмне забезпечення може відображати спливаючу рекламу для користувача, вводити рекламу на веб-сайти і робити їх так, ніби вони походять із цих веб-сторінок, і таким чином заплутати користувача. Крім того, він може навіть використовувати повноваження сертифікатів кореневого рівня для вставки реклами на зашифровані веб-сайти.
Згідно з FTC, VisualDiscovery використовувався як «людина посередині» між користувачами та веб-сторінками, які вони відвідували. Цей метод надавав програмному забезпеченню доступ до приватної інформації користувача щоразу, коли він передавав її через Інтернет. Таким чином, ім’я жертви, дані для входу, платіжні дані та номери соціального страхування можуть потрапляти на сервери Superfish.
Для показу реклами на зашифрованих веб-сайтах (HTTPS) рекламне ПЗ використовувало техніку, яка дозволяла замінити цифрові сертифікати для цих сайтів на підписані VisualDiscovery. Програмне забезпечення не перевірило належним чином, чи були сертифікати веб-сайтів дійсними, перш ніж перемкнути їх на власні. Крім того, на всіх ноутбуках використовувався пароль, який легко зламати.
Через проблему браузери жертв не могли відображати попередження про небезпечні веб-сайти з підробними сертифікатами безпеки. Уразливість безпеки може дозволити злочинцям перешкоджати комунікації користувачів із веб-сайтами, просто підбираючи попередньо встановлений пароль.
Мирова угода очікує на затвердження судами 32 штатів
Хоча Lenovo не погоджувалася зі звинуваченнями в тому, що вона «попередньо завантажила програмне забезпечення, яке могло отримати доступ до конфіденційної інформації споживачів без відповідне повідомлення або згоду на його використання», в ньому сказано, що компанія «задоволена закрити це питання через два з половиною років».
Однак урегулювання очікує на схвалення судів держав-учасниць. У разі схвалення 3,5 мільйона доларів від Lenovo будуть розділені на пропорційні суми та розподілені між цими штатами.