Clever Geek Handbook

Lenovoはラップトップの所有者にSuperfishマルウェアのインストールに対して830万ドルの補償を支払う







WindowsキーストアのSuperfish CA証明書



2015年2月、Lenovo Superfishが開発したVisualDiscoveryマルウェアをラップトップにインストールしたことで有罪判決を受けました 。 詳細に検査すると、トラフィックをリッスンし、検索クエリを分析し、サードパーティのサイトのページに広告を挿入する典型的なマルウェアであることが判明しました。 HTTPSトラフィックを含むアプリケーションがインターセプトします。 これを行うには、SuperfishのルートCA CA証明書をWindowsのキーストアにインストールし(秘密キーを使用)、ホストとブラウザー間のすべてのトラフィックをプロキシし、証明書を独自の証明書に置き換えます。 pemcrack証明書クラッカーを使用した2203語の単純なブルートフォース辞書によりkomodia秘密鍵のパスワードが決定されました。



一般的に、物語は非常に不快になりました。 2014年9月以降、このマルウェアがLenovoラップトップにインストールされていることが判明しました。



さらなる調査により、合計でマルウェアが次のモデルの750,000台のラップトップにインストールされていることが明らかになりました:Eシリーズ、エッジシリーズ、フレックスシリーズ、Gシリーズ、Miixシリーズ、Sシリーズ、Uシリーズ、Yシリーズ、ヨガシリーズおよびZシリーズ。



マルウェア自体は、ユーザーの暗号化されたトラフィックに侵入しただけでなく、証明書の秘密キーと単純なパスワードのおかげで、外部の攻撃者がMitM攻撃を実行する機会を提供する可能性があり、金融​​データなどの情報の機密性が侵害されます。





Superfish CA証明書の秘密キー



スキャンダルが勃発した後、LenovoはSuperfishを自動的に削除するツールと、手動で削除するための指示を投稿しました 。 しかし、これは彼女を罰から救いませんでした。 最初、報復はLenovo.comの改ざんによるハッカー攻撃の形で行われ、今では中国企業は負傷したラップトップの所有者に補償金を支払うことを余儀なくされました。



カリフォルニア州北部地区連邦地方裁判所で、Lenovoに対して補償を求める集団訴訟(PDF)が提起され、2018年11月21日に裁判所はこれらの請求を暫定的に認めました。



しかし、Lenovoは、 裁判前の補償について730万ドルの金額で原告の代表者と合意したため、裁判所が設定した補償の支払いには至りませんでした。 この金額は、Lenovoが既に割り当てた100万ドルの以前の補償に追加されます。 したがって、影響を受けたアメリカのユーザーへの補償の支払いのための総資金は現在830万ドルです。







Lenovoは長い間、「第三者によるSuperfishプログラムの運用を認識していない」という理由で、原告の主張に同意しなかったことに注意する必要があります。 彼女は納得しなかったが、この2。5年のプロセスがついに終わったことに満足を表明した。 これは公式の(すでに削除された)プレスリリースに記載されてます。



基金からプロセスを実施するための法的サービスの費用を控除する必要があるかもしれません。 補償を750,000人の影響を受けるすべてのユーザーに分割すると、誰もが約10ドルしか得られません。 原則として、これは広告の導入によるMitMプロキシのインストールにはほとんどありません。たとえば、ユーザーが広告の表示に同意した場合、AmazonはKindleに20ドルの割引を提供します。 したがって、1人あたり10ドルは非常に少なく、Lenovoにとっても有益です。 評判への損害を除きます。



しかし実際には、補償金の支払い額は750,000をはるかに下回ることがあるため、支払い額は10ドルを超えます。 補償は、2014年9月1日から2015年2月28日までに米国で次のモデルのラップトップを購入した人にのみ提供されます。



  • Gシリーズ:G410、G510、G710、G40-70、G50-70、G40-30、G50-30、G50-45
  • Uシリーズ:U430P、U430Touch、U530Touch
  • Yシリーズ:Y40-70、Y50-70
  • Zシリーズ:Z50-75、Z40-70、Z50-70
  • Flexシリーズ:Flex2 14D、Flex2 15D、Flex2 14、Flex2 15、Flex2 15(BTM)、Flex 10
  • MIIXシリーズ:MIIX2-10、MIIX2-11
  • ヨガシリーズ:YOGA2Pro-13、YOGA2-13、YOGA2-11BTM、YOGA2-11HSW


正確な補償額は、基金に申請書を提出するユーザーの数によって異なります。 このお金に加えて、レノボは以前、連邦取引委員会と32州の当局と合意して、 350万ドルの罰金を2回支払いました。



ロシアでは、知られている限り、Lenovoに対して集団訴訟は起こされていないため、補償は提供されていません。







More articles:


All Articles