- PVSM.RU - https://www.pvsm.ru -

Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish

Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish - 1

CA-сертификат Superfish в хранилище ключей Windows

В феврале 2015 года компанию Lenovo уличили [1] в установке на ноутбуки вредоносной программы VisualDiscovery, разработанной Superfish. При подробном рассмотрении это оказался типичный зловред, который прослушивает трафик, анализирует поисковые запросы и внедряет рекламу на страницы сторонних сайтов. Приложение перехватывает, в том числе, HTTPS-трафик. Для этого, оно устанавливает корневой CA-сертификат Superfish в хранилище ключей Windows (с приватным ключом к нему) и проксирует весь трафик между хостом и браузером, подменяя сертификат на свой. Простой брутфорс по словарю из 2203 слов [2] с помощью взломщика сертификатов pemcrack [3] определил пароль для приватного ключа komodia.

В общем, история вышла крайне неприятная. Выяснилось, что данный зловред устанавливается на ноутбуки Lenovo с сентября 2014 года.

Дальнейшее расследование показало, что в общей сложности зловред был установлен на 750 000 ноутбуков следующих моделей: E-Series, Edge Series, Flex-Series, G-Series, Miix Series, S-Series, U-Series, Y-Series, Yoga Series и Z-Series.

Зловред не только сам вторгался в зашифрованный трафик пользователя, но благодаря приватному ключу от сертификата с простым паролем потенциально предоставлял возможность для проведения MitM-атаки стороннему злоумышленнику, что ставит под угрозу конфиденциальность информации, в том числе финансовых данных и проч.

Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish - 2
Приватный ключ [4] для CA-сертификата Superfish

После разразившегося скандала Lenovo выложила инструмент [5] для автоматического удаления Superfish и инструкцию по его удалению вручную. Но это не спасло её от наказания. Сначала возмездие пришло в виде хакерской атаки с дефейсом Lenovo.com [6], а сейчас китайскую фирму заставили выплатить компенсацию пострадавшим владельцам ноутбуков.

Против компании Lenovo был подан коллективный иск (PDF) [7] в Федеральный окружной суд Северного округа Калифорнии с требованием о выплате компенсации, и 21 ноября 2018 года суд предварительно удовлетворил эти требования.

Однако до выплаты установленной судом компенсации дело не дошло, потому что Lenovo договорилась с представителями истца о досудебной компенсации в размере $7,3 млн [8]. Эта сумма добавляется к предыдущей компенсации $1 млн, которую уже выделила Lenovo. Таким образом, общий объём фонда для выплаты компенсации пострадавшим американским пользователям теперь составляет $8,3 млн.

Lenovo заплатит владельцам ноутбуков компенсацию $8,3 млн за установку зловреда Superfish - 3

Нужно заметить, что Lenovo долго не соглашалась с требованиями истца на том основании, что ей «неизвестно об эксплуатации программы Superfish третьими лицами». Она осталась при своём мнении, но выразила удовлетворение тем, что этот 2,5-летний процесс наконец-то закончен. Об этом сказано в официальном (уже удалённом) пресс-релизе [9].

Возможно, из фонда придётся вычесть стоимость юридических услуг на ведение процесса. Если разделить компенсацию на всех 750 000 пострадавших пользователей, то каждому досталось бы всего лишь около $10. В принципе, это очень мало за установку MitM-прокси с внедрением рекламы: например, Amazon даёт скидку $20 на свои Kindle, если пользователь соглашается на просмотр рекламы. Так что $10 за человека — очень мало и даже выгодно для Lenovo. Если не считать ущерб для репутации.

Но на практике количество компенсационных выплат может быть гораздо меньше, чем 750 000, так что и выплаты будут побольше, чем $10. Компенсация предусмотрена только для тех, кто в период с 1 сентября 2014 года по 28 февраля 2015 года купил на территории США ноутбуки следующих моделей:

  • G Series: G410, G510, G710, G40-70, G50-70, G40-30, G50-30, G50-45
  • U Series: U430P, U430Touch, U530Touch
  • Y Series: Y40-70, Y50-70
  • Z Series: Z50-75, Z40-70, Z50-70
  • Flex Series: Flex2 14D, Flex2 15D, Flex2 14, Flex2 15, Flex2 15(BTM), Flex 10
  • MIIX Series: MIIX2-10, MIIX2-11
  • YOGA Series: YOGA2Pro-13, YOGA2-13, YOGA2-11BTM, YOGA2-11HSW

Точный размер суммы компенсации зависит от количества пользователей, которые подадут заявления в фонд. Кроме этих денег, ранее Lenovo уже заплатила два штрафа по $3,5 млн [10] по соглашению с Федеральной торговой комиссией и властями 32 штатов.

В России коллективный иск против Lenovo, насколько известно, не подавался, поэтому компенсация ущерба не предусмотрена.

АКЦИЯ GMO GlobalSign Russia для подписчиков Habr

Автор: GlobalSign_admin

Источник [11]

Сайт-источник PVSM.RU: https://www.pvsm.ru

Путь до страницы источника: https://www.pvsm.ru/lenovo/301229

Ссылки в тексте:

[1] уличили: https://habr.com/post/251069/

[2] по словарю из 2203 слов: http://blog.erratasec.com:80/2015/02/extracting-superfish-certificate.html

[3] pemcrack: https://github.com/robertdavidgraham/pemcrack

[4] Приватный ключ: https://github.com/robertdavidgraham/pemcrack/blob/master/test.pem

[5] выложила инструмент: https://habr.com/post/365143/

[6] хакерской атаки с дефейсом Lenovo.com: https://habr.com/company/pt/blog/251609/

[7] коллективный иск (PDF): https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/lenovosettle21nov2018.pdf

[8] досудебной компенсации в размере $7,3 млн: https://dd80b675424c132b90b3-e48385e382d2e5d17821a5e1d8e4c86b.ssl.cf1.rackcdn.com/external/lenovomotion-tosettle11jul2018.pdf

[9] официальном (уже удалённом) пресс-релизе: https://webcache.googleusercontent.com/search?q=cache:YCu0FhnZ-Q0J:https://news.lenovo.com/pressroom/press-releases/lenovo-statement-on-federal-trade-commission-ftc-ruling.htm+&cd=1&hl=en&ct=clnk&gl=uk

[10] два штрафа по $3,5 млн: https://www.ftc.gov/news-events/press-releases/2017/09/lenovo-settles-ftc-charges-it-harmed-consumers-preinstalled

[11] Источник: https://habr.com/post/432120/?utm_campaign=432120