Lenovo YOGA Pro 2 er blant pc-ene som har blitt levert med Superfish Visual Discovery. (Bilde: Lenovo)

Alvorlig knekk for Lenovos omdømme

KOMMENTAR: Dette søksmålet fortjener de.

Lenovo står overfor to forskjellige gruppesøksmål i USA etter distribusjon av det lumske annonseprogrammet Superfish Visual Discovery. Det fulgte med en rekke av selskapets nye pc-er i fjor høst. Søksmålet ble anlagt fredag, dagen etter at Superfish-saken «tok av» i media, melder amerikanske PC World.

Skadet pc-en

Det er bloggeren Jessica Bennett som står bak det ene søksmålet. I rettsdokumentene fremgår det at saksøkerens Lenovo Yoga 2-maskin ble skadd som et resultat av Superfish, ved at hun ble servert annonser med bilder av lettkledde kvinner på nettstedet til en kunde, mens hun skrev et blogginnlegg for kunden. Deretter opplevde hun at det dukket opp pop-up-annonser på et annet nettsted. Hun antok da at maskinen var hacket eller infisert med skadevare. Etter å ha søkt i fora på nettet fant hun at også andre opplevde det samme med Lenovo-maskiner.

Bennett konkluderte med at Superfish var årsaken, men dette var sannsynligvis lenge før det ble kjent at programmet ikke bare var irriterende, men også en betydelig personvern- og sikkerhetsrisiko. I søksmålet klages det over at programmet brukte minneressurser og båndbredde, men Lenovo og Superfish blir også anklaget for å invadere privatlivet hennes, samt for å tjene penger på å studere hennes surfevaner.

Ifølge Lenovo er hver Superfish-økt helt uavhengig av de tidligere, så noen registrering av atferden til brukerne skal ikke skje. Men med så dårlig kontroll som Lenovo har hatt over hva Superfish-programvaren egentlig har gjort på selskapets maskiner, så er ikke Lenovos forsikringer i dette tilfellet særlig mye verdt.

Også advokatfirmaet The Rosen Law Firm inviterer til et separat gruppesøksmål mot Lenovo.

Man kan si mye om det amerikanske rettssystemet og amerikanernes trang til å saksøke for den minste ting. Men i dette tilfellet ville det ha vært svært overraskende om saken ikke ville ha fått et rettslig etterspill, i alle fall i USA, men også i andre land. For Lenovo har utsatt kundenes personvern for risiko.

Tilbakeholdne

Det er tydelig at Lenovo ikke studerte de sikkerhetsmessige aspektene ved Superfish-programvaren før etter at sikkerhetsspesialisten Marc Rogers offentliggjorde det hele. Og selv etter dette har selskapet vært nølende med å innrømme risikoen ved å la all kryptert webtrafikk dekrypteres av en lokal og mangelfull proxyserver med et heller lemfeldig forhold til sikkerhet.

Riktignok sluttet Lenovo å forhåndsinstallere denne programvaren allerede i januar. Men begrunnelsen var at kundene var misfornøyde med funksjonaliteten, ikke fraværet av sikkerhet.

Hva bør kunne forventes?

Spørsmålene som melder seg nå i ettertid handler først og fremst hva man burde kunne forvente av en av verdens største pc-leverandører. Skal man forvente at leverandøren gjør sitt ytterste for ikke utsette kundene sine for risiko eller ubehagelige opplevelser? Og når dette først har skjedd, skal man da kunne forvente at leverandøren gjør sitt ytterste for å informere alle kundene om den faktiske situasjonen så tidlig som mulig? Det er slike ting som skaper troverdighet og godt omdømme – ikke forsøk på brannslukking etterpå.

Det nytter ikke å skjule en kjempebrøler som dette, når saken allerede er oppdaget av IT-pressen. Når Lenovo ikke innser dette umiddelbart og med det samme legger seg langflate, så fører det til at selskapets troverdighet synker til bunns. Omdømmet til selskapet er nå alvorlig svekket, men bare innen visse grupper.

Fortsatt uvitende

For de berørte maskinene var beregnet for forbrukermarkedet. Blant kundene, både de faktiske og de potensielle, er det helt sikkert mange som aldri besøker teknologinettsteder. I Norge er saken tilsynelatende bare omtalt av teknologipressen, samt av Norsk senter for informasjonssikring (NorSIS).

Mange vil derfor aldri få høre om skandalen. Sannsynligvis vil de heller ikke kunne kvitte seg med sikkerhetsproblemet som Superfish-programmet og -sertifikatet utgjør – med mindre noen løser det for dem. Den nærmeste til å gjøre dette er trolig Microsoft, som i alle fall kan fjerne sertifikatet ved hjelp av en automatisk oppdatering gjennom Windows Update. Inntil dette skjer bør Lenovo Norge jobbe hardt for å informere alle de berørte kundene, også de som ikke er spesielt teknologi-interesserte.

Søppelvare

Årsaken til at pc-ene som Lenovo leverer til bedriftsmarkedet ikke er berørt av denne situasjonen, er at selskapet ikke forhåndsinstallerer lavkvalitets programvare fra tredjeparter på dem. Det er bare forbrukerkundene som må slite med dette. Pc-ene med slik forhåndsinstallert søppelprogramvare kan sikkert selges noen kroner billigere, for pc-leverandørene får penger for å gjøre dette. Men dette blir på ingen måte kommunisert godt nok til de potensielle, i alle fall ikke av Lenovo eller de fleste andre pc-leverandører.

Kundene må gis et mulighet til å velge om de vil ha en gitt pc med en mengde ubrukelige programmer som potensielt forringer brukeropplevelsen, eller betale litt ekstra en identisk maskin som er fri for søppel. Problemet med dette oppstår hos forhandlerne, som da må kunne tilby pc-er både med og uten slik forhåndsinstallert programvare.

Også andre

Superfish Visual Discovery er ikke den eneste programvaren som tar i bruk den samme, usikre teknologien. Også relativt kjente leverandører som Lavasoft og Comodo har ifølge Ars Technica utgitt produkter med de samme problemene. Men dette er i programvare som antatt velinformerte brukere har installert på egenhånd, ikke noe som er påtvunget mannen i gata av en leverandør som syntes det hele var en god idé.

 

Til toppen