Lenovo treft schikking met FTC over SuperFish-adware

Lenovo treft een schikking met de Amerikaanse Federal Trade Commission wegens het meeleveren van de voorgeïnstalleerde SuperFish-adware op consumentenlaptops. Deze adware bleek op zo’n 40 laptops standaard te worden meegeleverd, zonder dat gebruikers hierover geïnformeerd werden.

De aanwezigheid van de SuperFish-adware op laptops van Lenovo werd in februari 2015 ontdekt. Deze adware maakt gebruik van een eigen rootcertificaat, dat de software in staat stelt SSL-verbindingen te onderscheppen. Dit deed Lenovo met als doel gericht advertenties te kunnen injecteren in dataverkeer van gebruikers.

Man-in-the-Middle aanvallen

Het gebruik van de SuperFish-adware bleek niet zonder risico. Zo slaagden beveiligingsonderzoekers erin de privésleutel van het rootcertificaat waarvan SuperFish gebruik maakt te kraken, waardoor het in sommige gevallen mogelijk was Man-in-the-Middle-aanvallen op te zetten.

Lenovo nam eerder al maatregelen tegen de SuperFish-adware. Zo stelde het bedrijf een tool beschikbaar waarmee de adware kon worden verwijderd, werd nieuwe herstelsoftware beschikbaar gesteld waaruit SuperFish was verwijderd en stelde het bedrijf een gratis abonnement van zes maanden op McAfee software beschikbaar voor getroffen gebruikers.

Schikking met FTC

De FTC startte echter een onderzoek naar de werkwijze van Lenovo. In dit onderzoek treft het bedrijf nu een schikking. Lenovo betaalt 3,5 miljoen dollar aan de FTC. Daarnaast moet het bedrijf van de FTC voortaan expliciet toestemming vragen van gebruikers voordat dergelijke software wordt geïnstalleerd op systemen. Daarnaast verplicht de FTC Lenovo de komende 20 jaar een software security programma te implementeren voor de meeste consumentensoftware die voorgeïnstalleerd wordt meegeleverd op laptops van het bedrijf. Dit beveiligingsprogramma moet worden beoordeeld door een derde partij.