Lenovo får amerikansk bøde og skældud for spyware

Sagen om SuperFish er foreløbig endt med, at den kinesiske pc-producent skal betale en bøde til flere amerikanske stater.

Nu er der skrevet et nyt kapitel i sagen om spywaren SuperFish på computere fra Lenovo, der dukkede op i 2015. Inverse kan således fortælle, at den kinesiske pc-producent nu skal betale en bøde på 3,5 mio. dollars (ca. 21,8 millioner kroner), som skal fordeles mellem 32 amerikanske delstater.

Bøden er pålagt Lenovo af den amerikanske Federal Trade Commission (FTC) og statsadvokaterne i delstaterne.

Derudover er FTC kommet med, hvad det britiske it-medie The Register kalder for en 'mild omgang skældud' (eng. a mild scolding), som blandt andet indebærer en påmindelse til Lenovo om, at man ikke må lyve for kunderne.

Nærmere bestemt vil det sige, at FTC ifølge The Register har fundet Lenovo skyldig i ikke at have gjort brugere bekendt med man-in-the-middle-funktionaliteten i SuperFish, og at brugernes browsing er blevet opsnappet af app'en.

Derudover har FTC i The Registers udlægning fundet Lenovo skyldige i at have installeret software uden at have gjort brugerne opmærksomme på det og uden at have taget de fornødne foranstaltninger for at imødegå de sikkerhedsrisici, som softwaren har skabt.

Selvsigneret rod-certifikat

SuperFish-softwaren fra VisualDiscovery kom præ-installeret på en stribe Lenovo-maskiner i en periode fra 2014 til 2015. Softwaren agerede reelt man-in-the-middle (både ved http og https), en position som blev brugt til at opsnappe informationer om brugeres browsing og til at skyde reklameindhold ind i de sider, som brugere besøgte.

Læs også: Adware på Lenovo-maskiner kan misbruges af hackere til man-in-the-middle angreb

SuperFish har kigget med i SSL-forbindelser takket være det selvsignerede rod-certifikat, som er kommet med softwaren. Ud over at Superfish har opsnappet forbindelser, der skulle være sikre, så der kan sættes reklamer ind, inden forbindelsen sendes videre til browseren, så viste nøglen bag det selv-signerede rodcertifikat på Lenovo-computerne at være svag, det vil sige en RSA1024-bit-nøgle.

The Register fortæller, at softwaren reelt hijackede 750.000 Lenovo-kunders maskiner.

I en mail til The Register oplyser en unavngiven talsperson fra Lenovo følgende:

»Efter at have opdaget problemerne stoppede Lenovo i starten af 2015 med at forudindlæse VisualDiscovery og samarbejde med anti-virusleverandører om at disable og fjerne denne software fra eksisterende pc'er.«

»Til dags dato er vi ikke klar over nogen faktiske omstændigheder, hvor tredjeparter har udnyttet sårbarhederne til at opnå adgang til en brugers kommunikation.«

I forhold til det sidste Lenovo-udsagn bemærker The Register, at sikkerhedsforskeren Robert Graham i starten af 2015 publicerede et proof-of-concept for at demonstrere, hvorfor SuperFish udgør et sikkerhedsmæssigt problem.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (3)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Albert Jensen

Kun ret og rimeligt med bøde til Lenovo.

Nu venter vi så på: - at Intel får bøde for sin IME der spionerer mod brugerne på vegne af NSA - at Google får bøde for sin omfattende spionage mod brugere af Googles produkter - ditto for Yahoo - at Facebook får bøde for sin omfattende spionage mod Facebook brugere - ... osv. Forlæng selv listen

  • 8
  • 0
Log ind eller Opret konto for at kommentere