De Tovenaar van Oz had gelijk: “Let niet op de man achter het gordijn.” Dat komt omdat volgens an FTC-schikkingcomputerbedrijf Lenovo moet aandacht besteden aan de “man in the middle”. In dit geval heeft de “man in the middle” software geladen die advertenties injecteert die de persoonlijke gegevens van consumenten in gevaar brengen door kwaadaardige man-in-the-middle-aanvallen.
Wanneer mensen voor het eerst een winkelsite bezoeken met hun nieuwe Lenovo-computer, krijgen ze een pop-upmelding met de tekst: “Ontdek winkelen met VisualDiscovery: uw browser is uitgerust met VisualDiscovery, waarmee u visueel vergelijkbare producten en de beste prijzen kunt vinden terwijl u winkelt.” Wat is VisualDiscovery? Het was adware die was afgestemd op de specificaties van Lenovo door Palo Alto-ontwikkelaar Superfish. En wat doet VisualDiscovery? Elke keer dat een consument op een winkelsite over een productafbeelding beweegt, toont VisualDiscovery een pop-upadvertentie van een soortgelijk product dat wordt verkocht door de retailpartners van Superfish. Maar dat is niet alles.
Op aanwijzing van Lenovo heeft Superfish VisualDiscovery aangepast zodat het in alle browsers werkt, inclusief de browser die de consument na aankoop installeert. Om dit te doen bevat de software tools die de veiligheidsmaatregelen in gevaar brengen die worden gebruikt door sites met gecodeerde verbindingen. (Consumenten herkennen gecodeerde verbindingen aan de “s” in httpS:// URL.) Voor de details wil je de klacht lezen, maar hier is de korte versie van waarom het een noodlottige beslissing bleek te zijn.
Https://-websites gebruiken digitale certificaten als een vorm van elektronische identificatie die aan de browsers van consumenten wordt gepresenteerd om te helpen verifiëren dat de site echt is en geen oplichterij. VisualDiscovery vervangt echter het digitale certificaat voor de https:// website door een eigen certificaat. Softwarecertificaten laten sites en browsers geloven dat er een directe gecodeerde verbinding is, terwijl de software zichzelf in feite opwerpt als man-in-the-middle. Hierdoor krijgt de software toegang tot alle gevoelige informatie die consumenten via internet versturen, ook versleutelde sites. Bovendien stuurt de software naar Superfish de URL van de door de consument bezochte site, het IP-adres en een unieke identificatiecode die aan elke laptop is toegewezen. En dit alles gebeurt zonder medeweten of toestemming van de consument.
Dat klacht beweerde dat de man-in-the-middle-status van de software twee ernstige beveiligingsproblemen veroorzaakte. Ten eerste moeten consumenten worden gewaarschuwd wanneer consumenten sites bezoeken met onbetrouwbare verbindingen – bijvoorbeeld sites waar hackers gevoelige gegevens kunnen onderscheppen. Maar alle oplossingen voor certificaten zorgen ervoor dat consumenten niet de gebruikelijke waarschuwingen krijgen, waardoor hun gegevens in gevaar komen en de basisvormen van bescherming die door browsers worden geboden onbruikbaar worden.
Deze software creëert extra risico’s die de persoonlijke gegevens van consumenten in gevaar brengen. Om de gewenste functionaliteit te faciliteren, licentieert Superfish tools van derden. In plaats van voor elke laptop een uniek wachtwoord te gebruiken, gebruikt de tool dezelfde privé-coderingssleutel met een gemakkelijk te raden wachtwoord op elke laptop waarop VisualDiscovery is geïnstalleerd. Zodra criminelen het wachtwoord kraken, kunnen ze alle Lenovo-bezitters die VisualDiscovery op hun laptops hebben geïnstalleerd, aanvallen met een man-in-the-middle-aanval om zeer gevoelige informatie te onderscheppen, zoals burgerservice- en rekeningnummers, medische gegevens, inloggegevens en e-mail. Deze kwetsbaarheid maakt het voor aanvallers ook gemakkelijker om consumenten te misleiden om malware te downloaden op getroffen Lenovo-laptops. Hoe gemakkelijk is het wachtwoord te kraken? Het was de naam van het bedrijf dat de tool verkocht, een keuze die zo voor de hand liggend was dat beveiligingsonderzoekers er in minder dan een uur achter kwamen.
Tel één van hen klacht beweert dat Lenovo op frauduleuze wijze heeft nagelaten bekend te maken dat VisualDiscovery zou optreden als tussenpersoon tussen consumenten en de sites waarmee zij communiceren, inclusief gevoelige communicatie op gecodeerde https://-sites. De telling beweert ook dat ze misleidend waren door niet te onthullen dat de software browsegegevens van consumenten naar Superfish zou sturen. Punt twee beweerde dat het een oneerlijke praktijk was van Lenovo om man-in-the-middle-software vooraf te installeren zonder de consumenten hiervan adequaat op de hoogte te stellen en hun toestemming te verkrijgen. Punt drie beweerde dat het onvermogen van Lenovo om redelijke stappen te ondernemen om de veiligheidsrisico’s van vooraf geïnstalleerde software te beoordelen en aan te pakken eveneens oneerlijke praktijken vormde.
Dat voorgestelde volgorde verbiedt Lenovo een verkeerde voorstelling van zaken te geven over bepaalde vooraf geïnstalleerde softwarefuncties, inclusief de vraag of de software advertenties, inclusief pop-upadvertenties, weergeeft of persoonlijke informatie van consumenten verzendt. Het bevel verbiedt Lenovo ook om bepaalde software vooraf te installeren zonder eerst expliciete toestemming van de consument te verkrijgen. Bovendien moet Lenovo een uitgebreid softwarebeveiligingsprogramma implementeren. U kunt openbare opmerkingen indienen over voorgestelde oplossing uiterlijk 5 oktober 2017.
Wat kunnen andere bedrijven leren van de rechtszaak van Lenovo?
Als het gaat om de privacy van de persoonlijke informatie van consumenten, is transparantie het beste beleid. Volgens de klacht kwam Lenovo in de problemen omdat het consumenten niet vertelde – en hun toestemming niet kreeg – dat VisualDiscovery al hun internetcommunicatie zou onderscheppen, ook op gevoelige websites, en bepaalde browse-informatie naar Superfish zou sturen. Sommigen vragen zich misschien af waarom consumenten VisualDiscovery niet gewoon uitschakelen. Het probleem is dat Lenovo consumenten nooit duidelijk heeft uitgelegd wat er achter de schermen gebeurde – en achter de schermen. Het voorgestelde bevel zou onder meer vereisen dat Lenovo over een mechanisme beschikt waarmee consumenten hun uitdrukkelijke toestemming kunnen intrekken door zich af te melden of de gedekte software uit te schakelen. Bestelvoorwaarden zijn uiteraard alleen van toepassing op dat bedrijf, maar voor elk bedrijf zal het duidelijk vooraf uitleggen van zaken en het aanbieden van eenvoudig te implementeren opties de loyaliteit van de consument bevorderen.
Houd rekening met de risico’s van het wijzigen van bestaande beveiligingsfuncties. Als Begin met beveiliging Voor alle duidelijkheid: beveiligingsprotocollen bestaan niet voor niets en het gebruik ervan kan riskant zijn. Zorg ervoor dat software van derden die u in uw product gebruikt, de persoonlijke gegevens van consumenten niet in gevaar brengt.
Houd uw softwareleveranciers in de gaten. Zelfs als u een externe leverancier inhuurt, is de veiligheid van uw product uiteindelijk uw verantwoordelijkheid. In de klacht wordt aangevoerd dat het onvermogen van Lenovo om redelijke maatregelen te nemen om de veiligheidsrisico’s die voortvloeien uit de installatie van software van derden te beoordelen en aan te pakken, een oneerlijke praktijk vormt. Welke tips kunt u meenemen voor uw bedrijf? Doe uw due diligence. Voordat u een verkoper inhuurt, moet u ervoor zorgen dat deze in staat is een redelijke beveiliging te handhaven. Neem bepalingen op in uw contract die betrekking hebben op de beveiliging. En voer uw eigen tests uit of vraag uw leverancier om u robuuste documentatie te verstrekken om te bevestigen dat zij de juiste tests hebben uitgevoerd.
