Az FTC Lenovo-ügyének tanulságai: Ügyeljen a középső emberre
Óz varázslójának igaza volt: „Ne figyelj a függöny mögött álló emberre.” Ennek az az oka, hogy az FTC egyezsége szerint a Lenovo számítástechnikai cégnek a „középemberre” kellett volna összpontosítania. Ebben az esetben az „ember a közepén” előre telepített reklámbefecskendező szoftver volt, amely veszélyezteti a fogyasztók személyes adatait a káros ember a közepén támadásokkal szemben.
Amikor az emberek először böngésztek egy vásárlási webhelyet új Lenovo számítógépükkel, egyszer egy felugró értesítést kaptak, amely ezt írta: „Fedezze fel a vásárlást a VisualDiscovery segítségével: A böngészőben engedélyezve van a VisualDiscovery, amely lehetővé teszi, hogy hasonló termékeket és a legjobb árakat fedezzen fel vásárlás közben”. Mi volt a VisualDiscovery? A Palo Alto fejlesztője, a Superfish készítette testreszabott reklámprogramként a Lenovo specifikációi szerint. És mit csinált a VisualDiscovery? Amikor a fogyasztó megtekint egy termékképet egy bevásárló oldalon, a VisualDiscovery felugró hirdetéseket jelenít meg a Superfish kiskereskedelmi partnerei által értékesített hasonló megjelenésű termékekhez. De nem csak ezt.
A Lenovo utasítására a Superfish úgy módosította a VisualDiscovery-t, hogy az minden böngészőn működjön, beleértve azokat is, amelyeket a fogyasztók a vásárlás után telepítettek. Ennek érdekében a szoftverbe bekerült egy olyan eszköz, amely veszélyeztette a titkosított kapcsolattal rendelkező oldalak biztonsági óvintézkedéseit. (A fogyasztók a titkosított kapcsolatokat az „s” betűvel ismerik fel a HTTP-ben.)S://url.) A részletekért érdemes elolvasni a panaszt, de itt van a rövid verzió, hogy miért bizonyult ez szerencsétlen döntésnek.
A Https:// webhelyek digitális tanúsítványokat használnak elektronikus hitelesítő adatokként, amelyeket a fogyasztók böngészőiben jelenítenek meg annak ellenőrzésére, hogy a webhely hiteles-e és nem csalárd. A VisualDiscovery azonban lecserélte a https:// webhelyek digitális tanúsítványait saját tanúsítványaikra. A szoftver tanúsítványai becsapták a webhelyet és a böngészőt is, és elhitették, hogy közvetlen, titkosított kapcsolat van, miközben a valóságban a szoftver közvetítőként állította be magát. Ezáltal a szoftver hozzáfért a fogyasztók által az interneten keresztül továbbított összes érzékeny információhoz, beleértve a titkosított webhelyeket is. Ezenkívül a szoftver elküldi a Superfish-nek a fogyasztók által meglátogatott webhelyek URL-címeit, IP-címeit, valamint minden laptophoz rendelt egyedi azonosítót. És mindez a fogyasztók tudta és beleegyezése nélkül történt.
A panasz azt állítja, hogy a szoftver „ember-in-the-midd” helyzete két komoly biztonsági rést okozott. Először is, amikor a fogyasztó egy nem megbízható kapcsolattal rendelkező webhelyet keres fel – például ahol a hackerek érzékeny adatokat hallgathatnak el –, a fogyasztónak figyelmeztetést kell kapnia. A tanúsítványokkal kapcsolatos rendetlenség azonban azt jelentette, hogy a fogyasztók nem kapták meg a szokásos figyelmeztetéseket, ami veszélybe sodorta adataikat, és használhatatlanná tette a böngésző által nyújtott alapvető biztonságot.
A szoftver további kockázatot jelentett, amely veszélyeztette a fogyasztók személyes adatait. A kívánt funkcionalitás megkönnyítése érdekében a Superfish licencelt egy eszközt egy harmadik féltől. Ahelyett, hogy minden laptophoz egyedi jelszót használt volna, az eszköz ugyanazt a privát titkosítási kulcsot és ugyanazt a könnyen kitalálható jelszót használta minden VisualDiscoveryvel telepített laptopon. Miután a rosszfiúk feltörték a jelszót, az összes Lenovo-tulajdonost megcélozhatták a laptopjukra telepített VisualDiscovery segítségével, középütő támadásokkal, hogy elfoghassák a rendkívül érzékeny információkat, például társadalombiztosítási és számlaszámokat, egészségügyi adatokat, bejelentkezési adatokat és e-maileket. A biztonsági rés megkönnyítette a támadók számára, hogy rávegyék a fogyasztókat rosszindulatú programok letöltésére bármely érintett Lenovo laptopra. Mennyire volt egyszerű feltörni a jelszót? Ez volt az eszközt értékesítő cég neve, amely olyan nyilvánvaló választás volt, hogy a biztonsági kutatók kevesebb mint egy óra alatt rájöttek.
Az egyik panasz azt állítja, hogy a Lenovo félrevezető módon elmulasztotta felfedni, hogy a VisualDiscovery közvetítőként fog működni a fogyasztók és azon webhelyek között, amelyekkel kommunikáltak, ideértve a titkosított https:// webhelyeken keresztüli érzékeny kommunikációt is. Ez a szám azt is állítja, hogy félrevezető volt, ha nem közölték, hogy a szoftver elküldi a fogyasztók böngészési adatait a Superfishnek. A Count Two azt állítja, hogy a Lenovo részéről tisztességtelen gyakorlat volt a köztes szoftver előtelepítése anélkül, hogy a fogyasztókat megfelelő módon értesítette volna, és nem kapta volna meg a beleegyezésüket. A Count Three azt állítja, hogy az is tisztességtelen gyakorlatnak minősül, ha a Lenovo nem tette meg az ésszerű lépéseket az előre telepített szoftverek jelentette biztonsági kockázatok felmérésére és kezelésére.
A javasolt rendelet megtiltja a Lenovo számára, hogy hamis állításokat tegyen bizonyos előre telepített szoftverek számos funkciójáról, beleértve azt is, hogy az hirdetéseket, köztük felugró hirdetéseket jelenít meg, vagy továbbítja-e a fogyasztók személyes adatait. A rendelet azt is megakadályozza, hogy a Lenovo előre telepítsen bizonyos típusú szoftvereket a fogyasztók jóváhagyása nélkül. Ezenkívül a Lenovónak átfogó szoftverbiztonsági programot kell telepítenie. A települési javaslattal kapcsolatos lakossági észrevételeket 2017. október 5-ig lehet benyújtani.
Mit tanulhatnak más cégek a Lenovo-perből?
Amikor a fogyasztók személyes adatainak védelméről van szó, az átláthatóság a legjobb politika. A panasz szerint a Lenovo azért került bajba, mert nem közölte a fogyasztókkal – és nem kapta meg a beleegyezésüket –, hogy a VisualDiscovery elfogja az összes internetes kommunikációjukat, beleértve az érzékeny webhelyeket is, és bizonyos böngészési információkat továbbít a Superfish-nek. Néhányan feltehetik a kérdést, hogy a fogyasztók miért nem tiltják le a VisualDiscovery funkciót. A probléma az volt, hogy a Lenovo soha nem mondta el egyértelműen a fogyasztóknak, hogy mi történik a színfalak mögött és a képernyő mögött. A javasolt rendelet többek között előírja, hogy a Lenovo olyan mechanizmust biztosítson a fogyasztóknak, amely visszavonhatja kifejezett beleegyezését az érintett szoftver leiratkozásával vagy letiltásával. Természetesen a rendelési rendelkezések csak arra a cégre vonatkoznak, de minden vállalkozásnál a dolgok világos elmagyarázása és a könnyen gyakorolható lehetőségek felkínálása ösztönzi a fogyasztói hűséget.
Vegye figyelembe a meglévő biztonsági funkciók módosításának kockázatait. Amint azt a Start With Security egyértelművé teszi, a biztonsági protokollok okkal léteznek, és kockázatos lehet velük rontani. Győződjön meg arról, hogy a termékbe beépített harmadik féltől származó szoftverek nem veszélyeztetik a fogyasztók személyes adatait.
Tartsa szemmel szoftverszállítóit. Még ha külső szállítókat alkalmaz is, termékei biztonsága végső soron az Ön felelőssége. A panasz azt állítja, hogy tisztességtelen gyakorlat volt az, hogy a Lenovo nem értékelte és nem tette meg a megfelelő intézkedéseket a harmadik féltől származó szoftverek telepítéséből származó biztonsági kockázatok kezelésére. Mi az elvihető tipp a vállalkozásod számára? Végezze el kellő gondosságát. Mielőtt eladókat vesz fel, győződjön meg arról, hogy képesek-e fenntartani a megfelelő biztonságot. A biztonságra vonatkozó rendelkezéseket foglaljon bele a szerződésébe. És vagy végezze el a saját tesztelését, vagy ragaszkodjon ahhoz, hogy szállítója szilárd dokumentációval igazolja, hogy elvégezte a megfelelő tesztelést.
Megjelenési Dátum: 2017-09-05 15:16:37
Forráslink: www.ftc.gov
