Certificado de CA Superfish no keystore do WindowsEm fevereiro de 2015, a Lenovo
foi condenada por instalar o malware VisualDiscovery desenvolvido pela Superfish em laptops. Após uma inspeção mais minuciosa, acabou sendo um malware típico que escuta tráfego, analisa consultas de pesquisa e injeta anúncios em páginas de sites de terceiros. O aplicativo intercepta, incluindo tráfego HTTPS. Para fazer isso, instala o certificado de CA raiz do Superfish no armazenamento de chaves do Windows (com uma chave privada) e proxies todo o tráfego entre o host e o navegador, substituindo o certificado pelo próprio. Um
dicionário simples
do bruteforce de 2203 palavras usando o
cracker de certificado
pemcrack determinou a senha da chave privada
komodia .
Em geral, a história saiu extremamente desagradável. Acontece que esse malware está instalado nos laptops da Lenovo desde setembro de 2014.
Investigações posteriores revelaram que um total de malware foi instalado em 750.000 laptops dos seguintes modelos: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series e Z-Series.
O malware não apenas invadiu o tráfego criptografado do usuário, mas, graças à chave privada do certificado com uma senha simples, potencialmente forneceu uma oportunidade para um invasor de terceiros realizar um ataque do MitM, o que compromete a confidencialidade das informações, incluindo dados financeiros, etc.
Chave privada para certificado CA SuperfishApós o escândalo, a Lenovo
publicou uma ferramenta para remover automaticamente o Superfish e instruções para removê-lo manualmente. Mas isso não a salvou da punição. A princípio, a retaliação ocorreu na forma de um
ataque de hackers com o desfecho do Lenovo.com , e agora a empresa chinesa foi forçada a pagar uma indenização aos proprietários de laptops feridos.
Uma
ação coletiva (PDF) foi movida contra a Lenovo no Tribunal do Distrito Federal do Distrito Norte da Califórnia exigindo indenização e, em 21 de novembro de 2018, o tribunal concedeu provisoriamente essas reivindicações.
No entanto, o caso não chegou ao pagamento da indenização estabelecida pelo tribunal, porque a Lenovo concordou com os representantes da autora em
indenização antes do julgamento no valor de US $ 7,3 milhões . Esse valor é adicionado à remuneração anterior de US $ 1 milhão, que a Lenovo já alocou. Assim, o fundo total para o pagamento de compensações aos usuários americanos afetados é agora de US $ 8,3 milhões.
Deve-se observar que a Lenovo, durante muito tempo, não concordou com as reivindicações do autor, alegando que "não está ciente da operação do programa Superfish por terceiros". Ela não ficou convencida, mas expressou satisfação por esse processo de 2,5 anos finalmente ter terminado. Isto é afirmado no
comunicado de imprensa oficial (já excluído) .
Talvez o custo dos serviços jurídicos para conduzir o processo deva ser deduzido do fundo. Se dividirmos a compensação em todos os 750.000 usuários afetados, todos receberão apenas cerca de US $ 10. Em princípio, isso é muito pouco para a instalação de um proxy MitM com a introdução da publicidade: por exemplo, a Amazon oferece um desconto de US $ 20 no Kindle, se o usuário concorda em visualizar o anúncio. Portanto, US $ 10 por pessoa é muito pequeno e até benéfico para a Lenovo. Exceto por danos à reputação.
Mas, na prática, o valor dos pagamentos de compensação pode ser muito menor que 750.000, de modo que os pagamentos serão superiores a US $ 10. A compensação é fornecida apenas para aqueles que compraram laptops dos seguintes modelos nos Estados Unidos de 1 de setembro de 2014 a 28 de fevereiro de 2015:
- Série G: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
- Série U: U430P, U430Touch, U530Touch
- Série Y: Y40-70, Y50-70
- Série Z: Z50-75, Z40-70, Z50-70
- Série Flex: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15 (BTM), Flex 10
- Série MIIX: MIIX2-10, MIIX2-11
- Série YOGA: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW
O valor exato da compensação depende do número de usuários que enviam solicitações ao fundo. Além desse dinheiro, a Lenovo pagou anteriormente
duas multas de US $ 3,5 milhões em acordo com a Federal Trade Commission e as autoridades de 32 estados.
Na Rússia, até onde se sabe, nenhuma ação coletiva foi movida contra a Lenovo; portanto, nenhuma compensação é fornecida.
