Lenovo jo je za vsiljevanje reklam odnesel zelo dobro

Matej Huš

5. sep 2017 ob 22:38:14

Od septembra 2014 do januarja 2015 je Lenovo na svoje računalnike nameščal program VisualDiscovery podjetja Superfish, ki je uporabnikom med brskanjem po spletu prikazoval reklame. Kadar so uporabniki z miško lebdeli nad podobnim izdelkom, kot ga prodajajo partnerji oglaševalca, se jim je odprlo pojavno okence z reklamo. Da pa je VisualDiscovery na enak način lahko manipuliral tudi strani, obiskane prek šifrirane povezave HTTPS, je VisualDiscovery na računalnik namestil lasten korenski certifikat (root). Potem je brskalnik zamenjal legitimne certifikate spletnih strani s tem lastnim, da je lahko stregel reklame. Lenovo je tako dvojno pokvaril HTTPS - program ni preverjal, ali je obiskana stran legitimna, zato je certifikate menjal kar vsem (tako brskalniki niso mogli opozoriti na nevarne strani z neveljavnimi certifikati), hkrati pa je uporabljal enostavna in na vseh računalnikih enaka gesla, kar bi napadalcem omogočilo prisluškovanje prometu.

Lenovo je kmalu po odkritju prenehal ponujati omenjeni program in izdal tudi navodila za njegovo odstranitev. Vseeno pa je Zvezna komisija za trgovino (FTC) izvedla preiskavo, ki je potrdila nepravilnosti. Toda Lenovo se je s FTC zelo uspešno poravnal, saj se je izognil kakršnikoli finančni kazni. Namesto tega bo moral Lenovo obljubiti, da tega ne bo več počel, pridobiti dovoljenje uporabnikov za namestitev podobne programske opreme, in v naslednjih 20 letih uvesti program za zagotavljanje varnosti naložene programske opreme, kamor bodo sodili tudi neodvisni zunanji pregledi (audit). Lenovo je torej dobil skoraj najmilejšo možno kazen.