Windows密钥库中的Superfish CA证书2015年2月,联想
因在笔记本电脑上安装Superfish开发的VisualDiscovery恶意软件
而被定罪 。 经过仔细检查,结果发现它是一种典型的恶意软件,可以监听流量,分析搜索查询并在第三方网站的页面上注入广告。 该应用程序进行拦截,包括HTTPS通信。 为此,它将Superfish的根CA证书安装到Windows密钥库中(带有私有密钥),并代理主机和浏览器之间的所有流量,并用其自己的证书替换。 一个简单的使用
pemcrack证书
破解器 的2203个单词的 蛮力 字典,确定了
komodia私钥的密码。
总的来说,这个故事非常令人不快。 事实证明,该恶意软件自2014年9月以来已安装在Lenovo笔记本电脑上。
进一步调查显示,在以下型号的750,000台笔记本电脑上总共安装了恶意软件:E系列,Edge系列,Flex系列,G系列,Miix系列,S系列,U系列,Y系列,Yoga系列和Z系列。
该恶意软件不仅入侵了加密用户的流量,而且由于来自证书的私钥和简单的密码,它有可能为第三方攻击者提供机会进行MitM攻击,从而破坏了包括金融数据等信息的机密性。
Superfish CA证书的私钥丑闻爆发后,联想
发布了一种自动删除Superfish
的工具 ,以及手动删除Superfish的说明。 但这并没有使她免于惩罚。 最初,报复是
通过Lenovo.com污损黑客攻击的形式进行的,现在这家中国公司被迫向受伤的笔记本电脑所有者支付赔偿。
联想在加利福尼亚州北区联邦地方法院针对联想提起了
集体诉讼 ,以寻求赔偿.2018年11月21日,法院临时批准了这些索赔。
但是,该案并未支付法院确定的赔偿,因为联想与原告代表商定了
730万美元的预审赔偿 。 这笔款项已添加到联想已经分配的先前的100万美元补偿中。 因此,用于向受影响的美国用户支付赔偿金的总资金现在为830万美元。
应当指出的是,联想长期以来不同意原告的主张,理由是它“不了解第三方对Superfish计划的操作”。 她仍然不服气,但对这个2.5年的过程终于结束感到满意。
官方(已删除)新闻稿中对此进行了说明。
也许必须从该基金中扣除进行该程序的法律服务费用。 如果我们将赔偿金分配给所有750,000个受影响的用户,那么每个人只会得到大约10美元。 原则上,在安装带有广告的MitM代理时,这几乎是很少的事情:例如,如果用户同意查看广告,亚马逊将在其Kindle上提供20美元的折扣。 因此,每人10美元是很小的,甚至对联想也有利。 除了声誉受损。
但实际上,赔偿金的金额可能远远少于750,000,因此赔偿金将超过10美元。 仅针对2014年9月1日至2015年2月28日在美国购买以下型号笔记本电脑的用户提供赔偿:
- G系列:G410,G510,G710,G40-70,G50-70,G40-30,G50-30,G50-45
- U系列:U430P,U430Touch,U530Touch
- Y系列:Y40-70,Y50-70
- Z系列:Z50-75,Z40-70,Z50-70
- Flex系列:Flex2 14D,Flex2 15D,Flex2 14,Flex2 15,Flex2 15(BTM),Flex 10
- MIIX系列:MIIX2-10,MIIX2-11
- YOGA系列:YOGA2Pro-13,YOGA2-13,YOGA2-11BTM,YOGA2-11HSW
确切的补偿金额取决于向基金提交申请的用户数量。 除了这笔钱,联想先前还与联邦贸易委员会和32个州的当局达成协议,支付了
两次350万美元的罚款 。
据了解,在俄罗斯,没有针对联想提起集体诉讼,因此未提供任何赔偿。
