Elke werkdag behandelt Computable een onderwerp waarover lezers kunnen discussiëren. Vandaag over de SSL-compromiterende adware op Lenovo’s consumentenlaptops. Die raakt niet alleen consumenten, maar ook bedrijven en het mkb zelfs hard.
Enerzijds omdat werknemers eigen (consumenten)laptops kunnen gebruiken voor werk – al dan niet officieel via byod-initiatieven. Anderzijds omdat bedrijven zich niet altijd ‘houden’ aan de scheiding van productlijnen die leveranciers hanteren voor zakelijke markt versus consumentenmarkt. Met name in het midden- en kleinbedrijf kunnen consumentencomputers veel in gebruik zijn. Complicatie daarbij is dat veel mkb’ers geen of nauwelijks it-beheer hebben die de benodigde verwijdertools én certificaatvernietiging handmatig uitvoeren. De zakelijke impact van dit consumentendebacle moet dus niet onderschat worden. Wat vind jij?
Gezien de aard van de adware+certificaat verwacht ik dat ‘eigen’ laptops net zo goed te maken zouden hebben met deze praktijken. Ik verwacht dat er een slimmerik op de marketing-afdeling heeft gezeten die dit heeft bedacht. Maar als klant en gebruiker kun en mag je dit absoluut niet accepteren.
ICT wordt vaker vergeleken met auto’s. Wat zou er nu gebeuren als midden op de voorruit plotseling een video van 5 seconden wordt getoond? Reken uit hoe ver je daarin rijdt, hoeveel risico jezelf en de omgeving loopt.
Hoeveel netwerken en organisaties zijn geïnfecteerd? Lijkt me tijd voor schadeclaims van gebruikers aan deze (momenteel) malafide leverancier.
Dat bedrijven de software installeren op hun producten is natuurlijk niet vreemd. Elke smartphone -behalve dan wellicht de google nexus lijn- is op de een of andere manier wel getweakt of zodanig ingericht dat je in eerste instantie te maken hebt met “proprietary” features. Op zich heb ik daar geen moeite mee, als je je als gebruiker maar op eenvoudige manier daarvan kan ontdoen. Dat zou dus ook gelden voor Superfish. Echter als er daarnaast ook nog daadwerkelijk een “man in the middle” constructie wordt toegepast wordt de deur voor beveiligingsinbreuken wel heel wijd open gezet, en dat is helemaal kwalijk als dat niet inzichtelijk is voor gebruikers of als specialistische kennis vereist is voor het verwijderen.
Het scheiden van de markt in business/zakelijke laptops en consumenten laptops is een heel slecht excuus. Net zoiets als dat je zegt: bij dit huis krijgt u alle sleutels, maar u betaalt meer, bij dat huis krijgt u niet alle sleutels en wij komen ook nog regelmatig de ramen bij u lappen en neem ons niet kwalijk dat we dan naar binnen gluren om te kijken wat u allemaal doet of hoe uw huis is ingericht..
Een heel slechte zaak dus, en lijkt me wellicht iets voor een CBP, ACM, of meldpunt internetfraude. Als ik nu een laptop zou moeten kopen dan zou ik nu zeker weten welk merk ik niet zou kopen …
@Frans Loth:
Je slaat de plank volledig mis! Het gaat niet om het pushen van fabrikant specifieke diensten, maar over het moedwillig installeren van malafide software, die feitelijk niets anders doet dan een MitM aanval uitvoeren. Daarnaast gaat het hier over PC’s, en niet over smartphones.
Het enige wat hieraan te doen is, is het massaal boycotten van Lenovo. Het moet zo voor alle fabrikanten duidelijk zijn dat als je zo met klanten omgaat, faillissement het gevolg is.
Voor alle duidelijkheid: Alle leveranciers installeren extra “nuttige” software en zoekmachines op hun PC’s, Notebooks en tablets.
Deze pre-installed software is een mogelijkheid om nog een beetje marge te verkrijgen op de apparatuur. Het staat of valt echter bij de diepe controle van die programmatuur. Overigens wordt ook door een standaard installatie van Java een zoekmachine geïnstalleerd 🙂
Lenovo heeft “handige” Adware functionaliteit meegeleverd op basis van Malware techniek.
Dit is de zoveelste keer dat een fabrikant dit doet. Andere voorbeelden zijn: Windows 10 Developer Preview, Samsung Smart TV’s, Samsung laptops, Apple, Google Nokia, HTC, Blackberry en Star smartphones (de eerste vijf leveranciers zouden het niet geweten hebben), Skype, Huawei routers, Sony CD’s met DRM.
Het gaat vaak om Spyware van “bevriende” geheime diensten en dat is vervelender dan extra zoekmachines en dergelijke ongenodigde software. Die Spyware kan uiteindelijk ook door andere partijen gebruikt worden, zoals criminelen en vijandelijke geheime diensten; een doos van Pandora dus. Dit is een grote bedreiging van de privacy van de consument en het bedrijfsgeheim van juist de kleine bedrijven.
@René Raak punt, het lijkt erop dat Lenovo zich vergaloppeert heeft, maar met iedere nieuwe machine komt er van alles mee en ben je eerst een tijd bezig zo een apparaat te fatsoeneren. Java noem je, maar er zijn er veel meer waar je moet opletten dat er niet van alles meekomt, het blijft opletten. Maar reclame is het niet voor Lenovo terwijl het zo een lekkere koelkast is die tegen een stootje kan.
Elke PC wordt geleverd met “bloatware”, software die inderdaad voor een beetje marge moet zorgen. Trialversies die lastig te verwijderen zijn, conflicterende virusscanners: bloatware is een ramp op een PC. Maar adware die met certificaten rommelt: dat is 10 stappen te ver!
Dit probleem is overigens eenvoudig te voorkomen door een MacBook te kopen. Apple heeft gezonde marges op al zijn producten, als gebruiker krijg je voor dat extra geld een mooie en complete laptop, die probleemloos werkt.
Toen IBM zijn PC divisie aan Lenovo verkocht was de intentie dat Lenovo dezelfde integriteit zou hebben. Die inschatting is dus een illusie gebleken. De US overheid had dat al gauw in de gaten en is overgestapt op Apple PC’s. Apple heeft dat slim opgepakt door de assemblage terug te halen naar eigen land.
Conclusie is dat outsourcing en verkoop van strategische goederen en diensten naar lage lonen landen, en zeker naar niet bondgenoten beter niet kunnen plaatsvinden.
De industrie zal met intellectuele goederen de juiste keuzes moeten maken, daarbij is een ethiek belangrijk.