شهادة المرجع المصدق Superfish في keystore Windowsفي فبراير 2015 ،
أدين Lenovo بتثبيت البرامج الضارة VisualDiscovery التي طورها Superfish على أجهزة الكمبيوتر المحمولة. بعد الفحص الدقيق ، تبين أنه برنامج ضار نموذجي يستمع إلى حركة المرور ، ويحلل استعلامات البحث ويحقن الإعلانات على صفحات مواقع الطرف الثالث. اعتراض التطبيق ، بما في ذلك حركة HTTPS. للقيام بذلك ، تقوم بتثبيت شهادة المرجع المصدق Superfish root في مخزن مفاتيح Windows (مع وجود مفتاح خاص لها) وتعيين كل حركة المرور بين المضيف والمستعرض ، مع استبدال الشهادة بشهادتها الخاصة. تحديد
قاموس bruteforce بسيط
من 2203 الكلمات باستخدام
تكسير شهادة
pemcrack كلمة المرور
للمفتاح الخاص
komodia .
بشكل عام ، جاءت القصة غير سارة للغاية. اتضح أن هذه البرامج الضارة قد تم تثبيتها على أجهزة لينوفو المحمولة منذ سبتمبر 2014.
كشفت التحقيقات الإضافية أنه تم تثبيت إجمالي من البرامج الضارة على 750،000 كمبيوتر محمول من الطرز التالية: E-Series و Edge Series و Flex-Series و G-Series و Miix Series و S-Series و U-Series و Y-Series و Yoga Series و Z- سلسلة.
لا يقتحم البرنامج الضار فقط حركة مرور المستخدم المشفرة ، ولكن بفضل المفتاح الخاص من الشهادة بكلمة مرور بسيطة ، من المحتمل أن يوفر فرصة لمهاجم طرف ثالث للقيام بهجوم MitM ، مما يعرض سرية المعلومات ، بما في ذلك البيانات المالية ، إلخ.
المفتاح الخاص لشهادة CA Superfishبعد اندلاع الفضيحة ،
نشرت لينوفو
أداة لإزالة Superfish وتعليمات إزالته يدويًا. لكن هذا لم ينقذها من العقاب. في البداية ، جاء الانتقام في صورة
هجوم قراصنة على موقع Lenovo.com ، والآن اضطرت الشركة الصينية إلى دفع تعويضات لأصحاب أجهزة الكمبيوتر المحمول المصابين.
تم
رفع دعوى جماعية (PDF) ضد شركة لينوفو في محكمة المقاطعة الفيدرالية الشمالية بكاليفورنيا للمطالبة بالتعويض ، وفي 21 نوفمبر 2018 ، وافقت المحكمة مؤقتًا على هذه المطالبات.
ومع ذلك ، فإن القضية لم تتم لتسديد التعويضات التي حددتها المحكمة ، لأن لينوفو اتفقت مع ممثلي المدعي على
تعويض ما قبل المحاكمة بمبلغ 7.3 مليون دولار . يضاف هذا المبلغ إلى التعويض السابق البالغ 1 مليون دولار ، الذي خصصته لينوفو بالفعل. وبالتالي ، فإن إجمالي صندوق دفع تعويضات للمستخدمين الأمريكيين المتضررين هو الآن 8.3 مليون دولار.
تجدر الإشارة إلى أن شركة Lenovo لمدة طويلة لم تتفق مع مطالبات المدعي على أساس أنها "ليست على علم بتشغيل برنامج Superfish من قبل أطراف ثالثة". بقيت غير مقتنعة ، لكنها أعربت عن ارتياحها لأن هذه العملية التي استمرت 2.5 عام قد انتهت. جاء ذلك في
البيان الصحفي الرسمي (المحذوف بالفعل) .
ربما يتعين خصم تكلفة الخدمات القانونية لإجراء العملية من الصندوق. إذا قسمنا التعويض إلى جميع المستخدمين المتضررين البالغ عددهم 750،000 ، فسيحصل الجميع على حوالي 10 دولارات فقط. من حيث المبدأ ، هذا قليل جدًا لتثبيت وكيل MitM مع تقديم الإعلانات: على سبيل المثال ، تمنح Amazon خصمًا بقيمة 20 دولارًا على Kindle إذا وافق المستخدم على عرض الإعلان. لذا فإن مبلغ 10 دولارات للشخص الواحد صغير جدًا ومفيد حتى بالنسبة لشركة Lenovo. باستثناء الأضرار التي لحقت سمعة.
لكن في الممارسة العملية ، يمكن أن تكون مدفوعات التعويض أقل بكثير من 750،000 ، بحيث تكون المدفوعات أكثر من 10 دولارات. يتم توفير التعويض فقط لأولئك الذين اشتروا أجهزة الكمبيوتر المحمولة من النماذج التالية في الولايات المتحدة من 1 سبتمبر 2014 إلى 28 فبراير 2015:
- السلسلة G: G410 ، G510 ، G710 ، G40-70 ، G50-70 ، G40-30 ، G50-30 ، G50-45
- سلسلة U: U430P ، U430Touch ، U530Touch
- سلسلة Y: Y40-70 ، Y50-70
- سلسلة Z: Z50-75 ، Z40-70 ، Z50-70
- سلسلة Flex: Flex2 14D ، Flex2 15D ، Flex2 14 ، Flex2 15 ، Flex2 15 (BTM) ، Flex 10
- سلسلة MIIX: MIIX2-10 ، MIIX2-11
- سلسلة YOGA: YOGA2Pro-13 ، YOGA2-13 ، YOGA2-11BTM ، YOGA2-11HSW
يعتمد مبلغ التعويض بالضبط على عدد المستخدمين الذين يقدمون طلبات إلى الصندوق. بالإضافة إلى هذه الأموال ، دفعت لينوفو في السابق
غرامات بقيمة 3.5 مليون دولار بالاتفاق مع لجنة التجارة الفيدرالية وسلطات 32 ولاية.
في روسيا ، كما هو معروف ، لم يتم رفع دعوى جماعية ضد لينوفو ، لذلك لم يتم تقديم أي تعويض.
