Oz’s wizard had gelijk: “Let niet op de man achter het scherm.” In overeenstemming met een FTCHet computerbedrijf Lenovo had zich moeten concentreren op “mensen in het midden”. In dit geval zijn de “mensen in het midden” vooraf geïnjecteerde advertentie-injectiesoftware waardoor klanten persoonlijke informatie van schadelijke man-in-medium-aanval riskeerden.
Toen mensen voor het eerst op een winkelsloceerden met hun nieuwe Lenovo-computers, ontvingen ze een eenmalige pop-upbericht die zei: “Verken winkelen met VisualDiskovary: uw browser is ingeschakeld met VisualDiskovary die u een soortgelijk product en de beste prijs geeft wanneer u winkelt.” Wat was VisualDiskoVary? Het was aangepast Adwar op de Lenovo -specificaties van de Palo Alto -ontwikkelaar. En wat deed VisualDiskovary? Telkens wanneer een klant op een productafbeelding op een winkelslocatie sprong, biedt de VisualDiskovary Superfish pop-upadvertenties op vergelijkbare uiterlijkproducten die door retailers worden verkocht. Maar niet alles.
In opdracht van Lenovo veranderde de Superfish VisualDiskovary zodat het werkt op alle browsers, inclusief browsers die door klanten na aankoop zijn geïnstalleerd. Om dit te doen, heeft de software een tool opgenomen die de beveiligingsmeldingen in gevaar brengt die worden gebruikt door sites met gecodeerde verbindingen. (Klanten herkennen een gecodeerde verbinding door “S” in HTTPS: // URL.) U wilt de klacht voor meer informatie lezen, maar hier is de korte versie van waarom het een ongelukkige beslissing bleek te zijn.
Https: // websites gebruiken digitale referenties als een vorm van elektronische certificaten die helpen te verifiëren dat klanten in browsers worden gepresenteerd dat de site puur is en geen voorstander is. VisualDiskoVary vervangt echter digitale referenties door HTTPS: // Website’s eigen certificaat. Software-certificaat gelooft zowel de site als de browser dat er een directe, gecodeerde verbinding was toen de software zich in werkelijkheid als half-midden plaatste. Het heeft toegang tot de software van alle gevoelige informatie die op internet is geïnfecteerd, inclusief gecodeerde sites. Bovendien is de software verzonden naar Superfish, de URL’s van de site die door klanten is bezocht, een unieke identiteit die is toegewezen aan de IP -adressen en elke laptop. En alles wat er is gebeurd zonder de kennis of toestemming van de klanten.
De klacht beweert dat de man-in-the-medium situatie van de software twee ernstige beveiligingszwaktes heeft gecreëerd. Ten eerste, wanneer een klant een site bezoekt met een onbetrouwbare verbinding – bijvoorbeeld wanneer hackers gevoelige gegevens kunnen voorkomen – moet de klant een waarschuwing krijgen. Finageren met referenties betekent echter dat klanten geen gemeenschappelijke voorzorgsmaatregelen hebben gekregen, zodat hun gegevens in gevaar liepen en een basisvorm van bescherming door browsers maakten.
De software heeft een extra risico gecreëerd dat klanten op persoonlijke gegevensschade brengt. Om de gewenste effectiviteit te vereenvoudigen, heeft Superfish een licentie voor een apparatuur van een derde partij. In plaats van een uniek wachtwoord voor elke laptop te gebruiken, gebruikt de apparatuur dezelfde privé-coderingssleutel met hetzelfde eenvoudig aangeprepageerde wachtwoord op elke laptop die is geïnstalleerd met VisualDiscover. Nadat de slechteriken het wachtwoord hebben gekraakt, kunnen ze alle Lenovo-eigenaren op hun laptops opmerken met man-in-mediummoderne aanvallen om hoge gevoelige informatie zoals sociale zekerheid en accountnummers, medische gegevens, inloggegevens en e-mail te voorkomen. De zwakte maakte het gemakkelijker om klanten ertoe te brengen malware te downloaden op een geïnfecteerde Lenovo -laptop. Hoe gemakkelijk was het wachtwoord kraken? Het is de naam van het bedrijf dat deze tool heeft verkocht, een keuze is zo duidelijk dat beveiligingsonderzoekers het in minder dan een uur konden vinden.
Een van de klachten berekent dat Lenovo niet heeft onthuld dat VisualDiskoVary gecodeerde https: // zal fungeren als een midden-middelste term tussen klanten en sites met gevoelige contacten op sites. Deze berekening klaagde verder dat de software frauduleus was om niet te onthullen dat de software consumenten zou sturen naar surfen op gegevenssuperphones. Tel de twee klachten dat Lenovo een onrechtvaardige praktijk had om de man-in-medische software principe te principe zonder voldoende kennis te geven aan klanten en zonder hun geïnformeerde toestemming. Stel drie klachten in dat het falen van Lenovo ook een oneerlijke praktijk was om redelijke stappen te ondernemen om de beveiligingsrisico’s veroorzaakt door vooraf geïnstalleerde software te evalueren en op te lossen.
De voorgestelde bestelling heeft Lenovo verboden om verkeerde interpretaties van verschillende functies te maken voor bepaalde principiële software, waaronder pop-upadvertenties of om persoonlijke informatie naar klanten te sturen. De bestelling voorkomt eerst dat Lenovo specifieke soorten software vooraf installeert zonder de positieve uitdrukkelijke toestemming van klanten te krijgen. Lenovo moet ook in een breed softwarebeschermingsprogramma worden geplaatst. U kunt vóór 5 oktober 2017 een universele opmerking over de voorgestelde schikking indienen.
Wat kunnen andere bedrijven leren van de Lenovo -zaak?
Als het gaat om de privacy van de persoonlijke informatie van de klanten, is transparantie het beste beleid. Volgens de klacht zat Lenovo in de problemen omdat het de klanten niet informeerde – en het kreeg niet hun toestemming – dat VisualDiskovary al hun internetcommunicatie zou voorkomen, inclusief gevoelige websites en informatie naar het specifieke browsen zou verzenden. Sommigen vragen misschien waarom klanten niet alleen visualDiscoverry hebben uitgeschakeld. Het probleem is dat Lenovo ooit achter de scène is geweest – en de consument heeft duidelijk uitgelegd wat er achter het scherm gebeurt. De voorgestelde bestelling vereist onder andere dat Lenovo een actie onderneemt om de toestemming van de klanten in te trekken door de coversoftware te kiezen of uit te schakelen. Orderbepalingen zijn zeker van toepassing op die organisatie, maar voor elk bedrijf verklaren dingen duidelijk het front en bieden ze gemakkelijk praktijkopties die de loyaliteit van de consument aanmoedigen.
Overweeg het risico van het corrigeren van bestaande beveiligingsfuncties. De beschermingsprotocollen zijn om de een of andere reden omdat ze beginnen met bescherming en kunnen het risico lopen om met hen te aap. Met uw product heeft u software voor derde partijen opgenomen die de persoonlijke informatie van klanten niet in gevaar brengt.
Controleer uw softwareleveranciers. Zelfs als u de derde partijverkopers inhuurt, is de beveiliging van uw producten uw verantwoordelijkheid tot het einde. Er wordt beweerd dat Lenovo het falen om redelijke actie te ondernemen om de beveiligingsrisico’s te evalueren en op te lossen die zijn gecreëerd door het opzetten van software van derden een oneerlijke praktijk was. Wat is de tekway -tip voor uw bedrijf? Maak uw juiste werk. Voordat u verkopers inhuurt om ervoor te zorgen dat ze in staat zijn om redelijke bescherming te behouden. Neem bepalingen in uw contract op om de bescherming aan te pakken. En voer ofwel uw eigen test uit of benadruk dat uw leveranciers u een rotsoplossingsdocumentatie geven dat zij hun eigen juiste tests hebben uitgevoerd.
