Certificado de Superfish CA en el almacén de claves de WindowsEn febrero de 2015, Lenovo
fue condenado por instalar el malware VisualDiscovery desarrollado por Superfish en computadoras portátiles. Tras una inspección más cercana, resultó ser un malware típico que escucha el tráfico, analiza las consultas de búsqueda e inyecta anuncios en páginas de sitios de terceros. La aplicación intercepta, incluido el tráfico HTTPS. Para hacer esto, instala el certificado de CA raíz de Superfish en el almacén de claves de Windows (con una clave privada) y representa todo el tráfico entre el host y el navegador, reemplazando el certificado por el suyo. Un simple
diccionario de fuerza bruta
de 2203 palabras que usa el
cracker de certificado
pemcrack determinó la contraseña para la clave privada de
komodia .
En general, la historia salió extremadamente desagradable. Resultó que este malware se ha instalado en las computadoras portátiles Lenovo desde septiembre de 2014.
La investigación adicional reveló que se instaló un total de malware en 750,000 computadoras portátiles de los siguientes modelos: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series y la serie Z
El malware no solo se entrometió en el tráfico del usuario cifrado, sino que gracias a la clave privada del certificado con una contraseña simple, potencialmente brindó la oportunidad a un atacante externo de realizar un ataque MitM, lo que compromete la confidencialidad de la información, incluidos los datos financieros, etc.
Clave privada para el certificado de Superfish CADespués de que estalló el escándalo, Lenovo
publicó una herramienta para eliminar automáticamente Superfish e instrucciones para eliminarlo manualmente. Pero esto no la salvó del castigo. Al principio, las represalias se produjeron en forma de un
ataque de un
pirata informático con la destrucción de Lenovo.com , y ahora la compañía china se vio obligada a pagar una indemnización a los propietarios de portátiles heridos.
Se presentó una
demanda colectiva (PDF) contra Lenovo en el Tribunal del Distrito Federal del Distrito Norte de California para obtener una indemnización, y el 21 de noviembre de 2018, el tribunal otorgó provisionalmente estos reclamos.
Sin embargo, el caso no llegó al pago de la compensación establecida por el tribunal, porque Lenovo estuvo de acuerdo con los representantes del demandante en
la compensación previa al juicio por un monto de $ 7.3 millones . Esta cantidad se agrega a la compensación anterior de $ 1 millón, que Lenovo ya ha asignado. Por lo tanto, el fondo total para el pago de compensaciones a los usuarios estadounidenses afectados es ahora de $ 8.3 millones.
Cabe señalar que Lenovo durante mucho tiempo no estuvo de acuerdo con las afirmaciones del demandante porque "no tiene conocimiento de la operación del programa Superfish por parte de terceros". Ella no se convenció, pero expresó su satisfacción de que este proceso de 2.5 años finalmente haya terminado. Esto se afirma en el
comunicado de prensa oficial (ya eliminado) .
Quizás el costo de los servicios legales para llevar a cabo el proceso tendrá que deducirse del fondo. Si dividimos la compensación en los 750,000 usuarios afectados, entonces todos obtendrían solo alrededor de $ 10. En principio, esto es muy poco para instalar un proxy MitM con la introducción de publicidad: por ejemplo, Amazon ofrece un descuento de $ 20 en su Kindle si el usuario acepta ver el anuncio. Entonces, $ 10 por persona es muy pequeño e incluso beneficioso para Lenovo. Excepto por el daño a la reputación.
Pero en la práctica, el monto de los pagos de compensación puede ser mucho menor que 750,000, por lo que los pagos serán más de $ 10. La compensación se proporciona solo para aquellos que compraron computadoras portátiles de los siguientes modelos en los Estados Unidos desde el 1 de septiembre de 2014 hasta el 28 de febrero de 2015:
- Serie G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- Serie U: U430P, U430Touch, U530Touch
- Serie Y: Y40-70, Y50-70
- Serie Z: Z50-75, Z40-70, Z50-70
- Serie Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15 (BTM), Flex 10
- Serie MIIX: MIIX2-10, MIIX2-11
- Serie YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
El monto exacto de la compensación depende del número de usuarios que presenten solicitudes al fondo. Además de este dinero, Lenovo previamente pagó
dos multas de $ 3.5 millones de acuerdo con la Comisión Federal de Comercio y las autoridades de 32 estados.
En Rusia, hasta donde se sabe, no se entabló una demanda colectiva contra Lenovo, por lo que no se proporciona compensación.
