Компания Lenovo обязалась устанавливать ПО только с разрешения пользователей

Итогом почти двухлетнего судебного разбирательства стало мировое соглашение между Lenovo, 32 американскими штатами и Федеральной торговой комиссией США. Согласно постановлению последней, впредь производитель обязан получать согласие пользователей на установку программного обеспечения и не вводить их в заблуждение о его природе.

Программа Superfish, поставлявшаяся в комплекте с некоторыми моделями ноутбуков Lenovo, являлась по сути трояном и перехватывала трафик пользователя. Она также производила анализ поисковых запросов и вставляла рекламу на посещаемые сайты. Для этого приложение устанавливало свой сертификат в хранилище ключей Windows и получало доступ к зашифрованным данным, которые передавал пользователь.

Как выяснилось позже, доступ к личным данным мог получить (помимо Lenovo и, возможно, производителя Superfish) любой злоумышленник, который смог перехватить пользовательский трафик при подключении жертвы к открытой публичной Wi-Fi-сети (MITM-атака).

Первое сообщение о вредоносной природе Superfish появилось в 2014 году на официальном форуме Lenovo. В ходе дискуссии, растянувшейся на 16 страниц, представитель компании заявил, что Lenovo прекратит установку данного ПО, а пользователям уже отправлены инструкции по удалению программы. Тем не менее, указаний по удалению сертификатов Superfish, которые оставляют лазейку  для перехвата пользовательских данных, в этом документе нет, так что некоторые пользователи все еще могут стать жертвами преступников.

Модели ноутбуков, на которых была установлена Superfish:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G40-45, G50-45
  • U Series: U330P, U430P, U330Touch, U430Touch, U530Touch
  • Y Series: Y430P, Y40-70, Y50-70
  • Z Series: Z40-75, Z50-75, Z40-70, Z50-70
  • S Series: S310, S410, S40-70, S415, S415Touch, S20-30, S20-30Touch
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 14(BTM), Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-8, MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
  • E Series: E10-30

Категории: Кибероборона