A ThinkPadek is hazatelefonálnak
A gyártó az üzleti felhasználásra szánt Think-sorozatú gépekre is telepít hazatelefonáló szoftvert, amely egyes Lenovo-alkalmazások használati statisztikáit küldi el a cégnek. Biztonsági kockázat egyelőre nem merült fel, de az egyenes, egyértelmű kommunikáció ismét hiányzik.
Józan paraszti ésszel gondolkodva azt hihetné az ember, hogy ha egy cég rövid időn belül kétszer is megégette magát a fogyasztói bizalmat romboló ügyekkel, teljesen átvilágítja adatgyűjtési gyakorlatát, és az arra alkalmas szoftvereinek működését messzemenőkig transzparenssé teszi. Akkor is, ha ez azzal jár, hogy újabb, addig nem nagy dobra vert funkciókat kell utólag a nyilvánosság elé tárnia.
Úgy fest, a Lenovónál nem így működnek a dolgok. Miután a vállalat az év elején először a reklámterjesztésre használt Superfish miatt került a címlapokra, majd nyáron kiderült, hogy egy windowsos, a Microsoft által eszközbiztonságra fenntartott gyári kiskaput használt ki perzisztens bloatware-telepítésre, a Lenovo most újra, idén már a harmadik alkalommal kerülhet nem kívánt reflektorfénybe.
A szétszteroidozott diversity alkonya Évtizedekben mérhető folyamatokat nem lehet profitorientált cégek asszisztálásával pár év alatt lezavarni, DEI csomagolásban.
A háttérben működő Lenovo-szoftverről a Computerworld egyik szerzője írt először, aki nemrég fedezte fel azt két laptopján is. Mindkét Thinkpad gépet felújítottként, az IBM-től (és nem a Lenovótól) vásárolta, gyárilag előtelepített Windows 7-tel. Az újságíró egy olvasói levél hatására (melyben az olvasó kifejezte örömét, hogy az előző két ügy az üzleti Think-sorozatú gépeket nem érintette) nézett rá próbaképpen T420 és T520 notebookjain az időzített feladatok listájára és tűnt fel neki a Lenovo.TVT.CustomerFeedback.Agent.exe. Ez minden nap délután két óra körül próbál lefutni, hivatalosan a Lenovo Customer Feedback Program 64 névre hallgat, és leírása szerint felhasználói viselkedésre vonatkozó analitikai adatokat tölt fel (HTTPS kapcsolaton) a Lenovónak.
A Lenovo oldalán található dokumentáció szerint a funkció alapértelmezésben a ThinkCentre, ThinkStation és ThinkPad termékcsaládokba tartozó gépeket érinti, és Lenovo alkalmazások (Companion, Support, Settings, System, QuickControl, QuickDisplay, SHAREit, Solution Center, Simple Tap, Experience Improvement) személyes azonosításra nem alkalmas használati adatait gyűjti és továbbítja. Az ütemezés (ahogy fentebb is írtuk) napi, és az eddigi információk alapján minden érintett gépen délután 2 óra magasságában próbál lefutni.
Ahogy a Computerworld újságírója megjegyezte, számos Lenovo Think-géppel volt dolga, és egyáltalán nem emlékszik olyan esetre, amikor a Lenovo direktben rákérdezett volna arra, telepítheti és/vagy engedélyezheti-e a szoftvert és az adatgyűjtést. Mivel szerkesztőségünk tagjainak többsége is valamilyen ThinkPadet használ munkagépként, nekünk is rögtön megakadt a szemünk a híren, ugyanis mi sem tudtunk felidézni olyan alkalmat, amikor ezzel a háttérfunkcióval bárhogy találkoztunk volna. Gyorsan ellenőriztük is laptopjainkat, és meglepetésünkre mi is megtaláltuk a kérdéses szoftvert, pedig ezeken a ThinkPadeken rég nem a Lenovo által gyárilag előtelepített operációs rendszerek futnak.
Az adatforgalom utólagos ellenőrzése alapján gyanús részletet nem találtunk. Ugyanakkor a fent említett exe mellett van egy Lenovo.TVT.CustomerFeedback.OmnitureSiteCatalyst.dll is a könyvtárban, amiről egyelőre nem tudni, mire használja a Lenovo. A név egy, az Adobe által néhány éve felvásárolt amerikai online marketinggel és webanalitikával foglalkozó cégre utal, melynek termékei jelenleg már az Adobe Marketing Cloud részei. Bár a Superfish-hez hasonló reklámkiszolgáló tevékenységnek jelen esetben nincs nyoma, a Lenovo dokumentációjában erről az állományról semmi információ nincs – így viszont aggasztó, hogy miért is van a gépeken.
A hivatalos leírásban az sincs egyértelműen feltüntetve, hogy a Customer Feedback Program nem csak gyári előtelepítéssel, hanem utólag is felkerülhet a Think-gépekre – ahogy a mi laptopjainkra is. Mivel az általunk vizsgált ThinkPadeknél a legkisebb közös nevező a ThinkVantage System Update alkalmazás, erős a gyanúnk, hogy annak telepítésekor vagy első futtatásakor kerül a gépre, mindennemű külön kérdés, jóváhagyás kérése nélkül.
A Lenovo szerint (ez még nem a mostani hírre kiadott hivatalos álláspont) erre a végfelhasználói licencmegállapodás ad lehetőséget, amit minden felhasználónak el kell olvasnia és fogadnia, mielőtt használatba vennének egy érintett Lenovo gépet. Ebben tényleg szerepel, hogy a Lenovo gyűjt alapvető használati adatokat saját alkalmazásairól, és arra is kitér, hogy ez opt-out, azaz bármikor kikapcsolható az érintett szoftverek beállításai között. Érdekesség, hogy az egyik gépünkön bár ki van kapcsolva (legalábbis egyéb kikapcsolási lehetőséget a telepített Lenovo-appokban nem találtunk), az ütemezőben továbbra is ott figyel a szoftver és rendszeresen le is fut.
A Lenovónak a két előző eset után el kell fogadnia, hogy a háttérben futó szoftvereit a korábbinál jóval kritikusabb szemmel vizsgálják és fogják vizsgálni a jövőben. Érthetetlen, hogy a vállalat miért nem képes transzparensen kezelni egy ilyen kérdést – különös tekintettel arra, hogy ebben az esetben már az üzleti felhasználásra szánt Think-gépek érintettek, nem "csak" konzumer termékek. A vállalati szegmensben pedig alapvető fontosságú egy bizalmi kapcsolat felépítése és ápolása a vevőkkel, az egyenes, lényegre törő tájékoztatás hiánya pedig épp ezt ássa alá.
Kérdéseinkkel megkerestük a Lenovo hazai képviseletét, a cég későbbre ígért tájékoztatást.