Kedden állapodott meg az amerikai Szövetségi Kereskedelmi Bizottság (Federal Trade Commission, FTC) és a Lenovo, egy több mint két éves vita lezárásaként. Utóbbi elfogadta, hogy 3,5 millió dolláros kártérítést fizet azért, mert több százezer laptopja előre telepítetten adware-rel került a boltokba.

Mennyi gondot okozhat a Szuperhal

Az FTC 2015-ben vádolta meg a Lenovo-t, mert a gyártó olyan előre telepített programmal szállította a gépeit, amely kényszerű reklámnézésre késztette azok későbbi tulajdonosait. A Superfish fejlesztette VisualDiscovery nevű adware a 2014 vége és 2015 eleje között forgalomba hozott noteszgépek egy részét érintette.

Avatatlan szem egy darabig észre sem vette az adware jelenlétét. A VisualDiscovery lekövette a felhasználók által meglátogatott website-okat és webes kereséseket, majd ezen információk ismeretében további reklámokat jelenített meg a megnyitott weboldalakon. Az FTC vádja szerint a felhasználó böngészőkének website-okkal való kapcsolódására is hatással volt a program. Ennek következtében súlyos sebezhetőségeket nyitott az adware-rel fertőzött rendszeren. Ennek létét nem is tagadta a Lenovo, de azt hangsúlyozta, hogy nem jutott tudomására olyan eset, melynek során ezt a lehetőséget rosszindulatú támadók kihasználták volna.

A VisualDiscovery nem csupán hozzáfért a felhasználó személyes dolgaihoz – beleértve a bejelentkezési információkat, TAJ-számokat, egészségügyi adatokat, pénzügyi és banki információkat –, de azokat online el is tudta küldeni. Ezzel a lehetőséggel nem élt az alkalmazás; amit az FTC is elismert. A program "csak" a felhasználó böngészési előzményeit és az IP-címét gyűjtögette, hogy megfelelően kiszolgálhassa hirdetőit.

Meghajoltak a felsőbb akarat előtt

A Lenovo valószínűleg elég hamar rájött, hogy bajba kerülhet az adware miatt. 2015 elején ugyanis felhagyott a VisualDiscovery előre telepítésének gyakorlatával. Sőt antivírus szoftverek fejlesztőivel együttműködve elérte, hogy a már leszállított laptopokról is eltűnhessen a nem kívánt reklámozó szoftver.

Ennek ellenére nem kerülhette el az FTC kíváncsiskodását. Végül azt is elfogadta, hogy kártérítést fizessen. Emellett számos korlátozásba is belement, illetve a vállalat kötelezte magát, hogy magáévá tesz az adware-ekkel kapcsolatos útmutatásokat is, elkerülendő a jövőben a hasonló helyzetek kialakulását. Ez nem jelenti, hogy ne futhatnának reklámokkal kapcsolatos alkalmazások a kínaiak által gyártott laptopokon, de azok telepítését a jövőben mindig felhasználói jóváhagyásnak kell megelőznie.

Emellett abba is beleegyezett a Lenovo, hogy a következő húsz évben egy szoftverbiztonsági program keretei között kerülnek a notebookjaira előre telepített formában az alkalmazások. Ezt egyébként az incidens kipattanása után nem sokkal önkéntesen kezdte el a vállalat. Belső szabályzatot hozott létre, mellyel korlátozza az előre telepített szoftverek mennyiségét és biztonsági illetve magánszféra-védelmi szempontokból átvizsgálja azokat.