Lenovo een boete van $3,5 m voor pre-geïnstalleerd adware die kaapt HTTPS-verbindingen

0
140

Nul

Lenovo heeft een schikking bereikt met de amerikaanse Federal Trade Commission (FTC), het beëindigen van een twee-en-een-half-jaar geschil over de onderneming, pre-installatie van problematische derden adware in honderden duizenden laptops verkocht tussen eind 2014, begin 2015.

De Chinese fabrikant heeft ingestemd met het verkrijgen van instemming van de consument voorafgaand aan het installeren van adware programma ‘ s in de toekomst, evenals gecontroleerde veiligheid controles van de software voor de komende 20 jaar.

“Als onderdeel van de schikking met de FTC, Lenovo is verboden een verkeerde voorstelling te geven van alle functies van de software voorgeïnstalleerd op de laptops zal injecteren reclame in consumenten op het internet te browsen sessies of verzenden van gevoelige informatie van de consument aan derden,” de handel groep zei in een verklaring.

New Jersey Advocaat-Generaal Christopher Porrino in een aparte verklaring zegt dat zijn kantoor had afgerond voorwaarden met Lenovo op rekening van 32 staten van de VS, en dat de vennootschap is verplicht tot het betalen van $3,5 miljoen aan boetes.

“Dit is een belangrijke nederzetting voor de New Jersey consumenten, omdat het stelt een aantal voorwaarden is ontworpen om ervoor te zorgen dat, voor de toekomst, zal Lenovo een betere bescherming van de persoonlijk identificerende informatie van consumenten, transparanter worden over welke software is vooraf geïnstalleerd op de producten die het verkoopt, en bieden de consument duidelijker en toegankelijker manieren om opt-out van het hebben van dergelijke software geactiveerd — of aanwezig zijn op de machine,” Porrino zei in de verklaring.

In 2014, Lenovo werd gevonden te hebben geleverd, software, genaamd Visual Ontdekking, in de consumenten-Windows apparaten die niet alleen injecteert adverteren in de zoekmachine resultaten, maar heeft ook de mogelijkheid om te onderscheppen en kapen het verkeer stroomt via SSL-en TLS-verbindingen — vaak gebruikt door online retailers en banken om gegevens te beveiligen die, dankzij de installatie van een zelf-ondertekend certificaat autoriteit op de betreffende machines.

“Omdat van deze kwetsbaarheden in de beveiliging van de consumenten browsers niet kon waarschuwen de gebruikers als ze een bezoek mogelijk vervalste of schadelijke websites met een ongeldige digitale certificaten. De kwetsbaarheden ook ingeschakeld potentiële aanvallers te onderscheppen consumenten in de elektronische communicatie met de website, met inbegrip van financiële instellingen en medische zorgverleners, simpelweg door het kraken van de pre-geïnstalleerd wachtwoord” de FTC zei in een verklaring.

Na de openbaring, Lenovo klanten waren gewaarschuwd om geen gebruik te maken van hun laptops voor “een soort van veilige transactie”, als de software is in staat om de inhoud van verbindingen die versleuteld moet worden, dat sommige onderzoekers zeiden dat maakte de afgelopen tien jaar van werk in het maken van het web veilig irrelevant.

Volgens een voormalige social media manager bij Lenovo, de software — gebouwd door reclame stevig Superfish — is ontworpen om te “helpen gebruikers bij het vinden en ontdekken van producten visueel”. Visuele Ontdekking gepresenteerd pop-up advertenties van Superfish retail partners — zelfs op beveiligde sites — wanneer de gebruiker de cursor zweefde over een vergelijkbaar product op een website.

“De technologie direct analyses van afbeeldingen op het web en presenteert identieke en soortgelijke product biedt dat wellicht lagere prijzen, het helpen van gebruikers te zoeken voor beelden zonder precies te weten wat een item heet of hoe het te beschrijven in een typische tekst-gebaseerde zoekmachine,” de sociale media manager had geschreven op een Lenovo forum in februari 2015.

In het begin van 2015, als een resultaat van feedback van gebruikers om de software te interfereren met andere digitale certificaten alsmede smartcard lezers, het product werd uitgeschakeld door Superfish, en Lenovo gestopt met het vooraf laden van de software.

Lenovo zei op dinsdag dat er al een beleid ingevoerd om het bedrag van de vooraf geïnstalleerde software het laadt op zijn producten, en gemaakt beveiliging en privacy review processen-acties die het zei in overeenstemming zijn met de schikking.

Het bedrijf heeft ook verklaard dat hij niet op de hoogte van alle exemplaren van een derde partij, het benutten van de kwetsbaarheden die zijn geïntroduceerd door de software.

wat is hot op zdnet

Apple hoeft niet te worden een ‘first mover’ in de kunstmatige intelligentie

Big data en digitale transformatie: Hoe kan de andere

Orkaan Irma: Storm trackers en andere survival tools voor mobiele en desktop gebruikers

De Samsung Galaxy Note 8 review: De belichaming van een bedrijf-de eerste smartphone

0