Il produttore cinese è stato giudicato colpevole di aver compromesso la sicurezza online degli utenti. Questo è il risultato dell’indagine avviata dalla FTC statunitense in seguito alla scoperta di un adware, noto come Superfish VisualDiscovery, installato su diversi notebook venduti tra agosto 2014 e settembre 2015. Tuttavia Lenovo non dovrà pagare un multa per il suo errore.
Dopo aver chiesto scusa, il produttore cinese ha pubblicato le istruzioni per la rimozione manuale e automatica del tool che, in origine, doveva servire per mostrare prodotti correlati analizzando le immagini visualizzare all’interno del browser. In realtà, alcuni ricercatori hanno scoperto che l’adware può essere sfruttato per eseguire attacchi man-in-the-middle. Inoltre, vengono installati certificati HTTPS che consentono di intercettare il traffico web criptato. VisualDiscovery raccoglieva e trasmetteva ai server di Superfish diverse informazioni sensibili, tra cui le credenziali di login e i dati della carta di credito.
Il tool sostituiva i certificati digitali dei siti web con quelli di Superfish, utilizzando però la stessa password (facilmente craccabile) per tutti i notebook. La grave vulnerabilità poteva consentire ad un malintenzionato di intercettare il traffico durante la navigazione. Lenovo non ha verificato l’esistenza del problema prima di installare il software di terze parti sui notebook. Nonostante ciò, Lenovo non pagherà nessuna multa, essendo questa la prima violazione.
La FTC ha vietato però l’installazione di simili tool, senza la preventiva autorizzazione degli utenti. Lenovo deve inoltre implementare un programma di sicurezza per il software preinstallato che prevede il controllo da parte di un audit esterno per i prossimi 20 anni. Niente multa, quindi, ma sicuramente un incremento dei costi.