Lenovo, sancţionat pentru includerea de Adware periculos, preinstalat pe PC-urile comercializate

Episodul din anii 2014-2015, în care Lenovo a fost acuzat că livrează adware periculos preinstalat pe calculatoarele comercializate, nu a rămas fără consecinţe pentru compania asiatică.

Încercând să-şi sporească profitul realizat de pe urma echipamentelor vândute, Lenovo a preinstalat un produs software de tip adware menit să afişeze anunţuri publicitare suplimentare în cadrul paginilor Web. Soluţia utilizată a creat însă o breşă majoră de securitate din cauza modului în care interceptează traficul criptat HTTPS. Astfel, utilizatorii care au cumpărat un PC Lenovo între luna septembrie 2014 şi ianuarie 2015 s-au ales cu un „cadou” nedorit, luând forma adware-ului Superfish Visual Discovery.

Conform declaraţiilor oficiale, soluţia Superfish Visual Discovery analiza imaginile din cadrul unei pagini Web, oferind legături Web către magazinele care oferă produse relevante, însă aceasta are un comportament contextual si nu colectează date cu caracter personal. Însă un cercetător din domeniul securităţii a descoperit că Superfish Visual Discovery funcţiona ca un server proxy, interceptând traficul securizat HTTPS. Folosind un certificat digital propriu, soluţia adware interceptează traficul criptat cu ajutorul protocolului TLS şi poate colecta date critice cu caracter personal, cum ar fi de pildă informaţiile bancare. Folosind această soluţie software, atât Lenovo cât şi Superfish puteau intercepta datele private ale utilizatorului, iar un atacator străin interesat ar putea obţine şi el acces indirect la aceste date cu ajutorul unui atac de tip man-in-the-middle.

În urma anchetei desfăşurată de agenţia guvernamentală FTC (Federal Trade Commission), compania chineză este obligată să se supună la audituri periodice de securitate şi să informeze cumpărătorii cu privire la toate componentele software care vin preinstalate pe dispozitivele comercializate. În plus, sancţiunile aplicate de un tribunal din statul american New Jersey prevăd şi plata unor daune evaluate la 3.5 milioane dolari. Potrivit anchetatorilor, doar pe teritoriul Statelor Unite Lenovo ar fi comercializat aproximativ 750.000 PC-uri compromise cu adware-ul Superfish.

Într-o nouă declaraţie, oficialii Lenovo neagă acuzaţiile prezentate însă se arată mulţumiţi să închidă acest subiect definitiv. Totodată, Lenovo previzează că în prezent nu mai include adware-ul Superfish pe niciunul dintre dispozitivele comercializate.