Lenovo kwam deze week flink onder vuur te liggen toen bleek dat het laptops verkoopt met malware erop. Maar wat is er nou precies gebeurd? Wat deed het bedrijf verkeerd en waarom is dat gevaarlijk voor Lenovo-gebruikers? En heeft het bedrijf hiermee onherstelbare schade opgelopen? We leggen het voor je uit in 5 vragen.

1. Wat deed Lenovo?

Lenovo leverde laptops met daarop zogenaamde 'adware'. Dat betekent dat adverteerders ruimte konden inkopen bij Lenovo, die via speciale certificaten werden getoond wanneer de gebruiker naar een bepaalde website ging. Zo krijg je bijvoorbeeld een pop-up te zien wanneer je wilt internetbankieren bij de ING. Die pop-ups waren ook met adblockers niet uit te schakelen.

Dat is opzich al vervelend genoeg, maar het werd nog een graadje erger. De manier waarop Lenovo de advertenties liet zien, bleek namelijk gevaarlijk onveilig te zijn.

Eigen certificaat
Om de advertenties te tonen, moet Lenovo namelijk een eigen certificaat gebruiken. Dat wordt aan de browser gegeven, zodat die weet wanneer iets een veilige website is en wanneer niet. Het probleem bij de Lenovo-certificaten is echter dat ze over bestaande certificaten heen werden geplaatst.

Dat betekent dat je browser geen idee meer heeft of een website veilig is. Als je naar ING.nl of Gmail.com gaat en inlogt, dan controleert de browser of dat wel veilig is. Als dat certificaat oud is, of verlopen, of gewoon niet veilig, dan krijg je een waarschuwing en kun je beter niet op de site.

Overschrijven
De certificaten die Lenovo gebruikte om de advertenties te serveren waren zó hardnekkig, dat ze bestaande certificaten overschreven. Je browser dacht dus áltijd dat een website veilig was, ongeacht of dat zo was of wanneer niet.
 

2. Wat betekent dat in de praktijk?

In de praktijk kun je dus nooit zien of een website veilig of onveilig is. Ook weet je niet wie er allemaal meeluistert met jouw verbinding.

SSL gekaapt
Het wordt nog een graadje erger, omdat de Lenovo-certificaten allemaal dezelfde encryptiesleutel gebruikten, zo ontdekte deze onderzoeker. Dat betekent dat je met één wachtwoord álle verbindingen van álle Lenovo-computers kunt onderscheppen. Dat kan makkelijk via een man-in-the-middle-aanval, wanneer je op hetzelfde wifi-netwerk zit als het slachtoffer.
 

3. Waarom doet Lenovo zoiets?

Lenovo verkoopt voornamelijk laptops met Windows erop, maar verdient daar amper geld mee. Dat doet overigens bijna geen enkele fabrikant: De marge op een laptop of computer die met Windows geleverd wordt is flinterdun. In veel gevallen maken computerfabrikanten zelfs verlies op zulke systemen. Dat betekent dat fabrikanten vaak op zoek gaan naar andere verdienmodellen.

'Geen geld, maar relevantie'
Eén van de populairste daarvan is het installeren van programma's op de pc. Dat gebeurt vaak niet omdat die programma's nou zo handig voor je zijn (al moeten ze volgens de fabrikanten "natuurlijk wel relevant zijn voor de koper"), maar omdat ze veel geld opleveren.

De adware van Lenovo bracht waarschijnlijk veel geld op - al ontkent het bedrijf dat met klem. Lenovo dat er helemaal niet veel geld gemoeid ging met de deal. "Superfish werd vooral gebruikt om gebruikers relevante producten en aanbiedingen te tonen", zegt het bedrijf in een verklaring.
 

4. Mag dat?

Nee. In ieder geval overtreedt Lenovo de cookiewet, waarin staat dat je niet zomaar tracking-software mag leveren op laptops. Dat zeggen onder andere internetjuristen als Arnoud Engelfriet. Die vindt dat de Autoriteit Consument & Markt zou moeten optreden tegen Lenovo.

Computervredebreuk
Buiten de redelijk onschuldige overtreding van de cookiewet maakt Lenovo zich ook mogelijk schuldig aan computervredebreuk. Het zorgt er namelijk moedwillig voor dat laptops van gebruikers minder veilig zijn. Het luistert gebruikers af en zorgt ervoor dat ze kwetsbaar zijn voor aanvallen. Dat is een veel ernstiger vergrijp.

Ethisch
Maar of het nou legaal is of niet, de belangrijkste vraag is of dit ethisch is. Kan Lenovo dit maken tegenover zijn (potentiële) kopers? Die raken nu ieder vertrouwen kwijt dat ze ooit hadden in het bedrijf, en het is maar de vraag of je ooit nog iets kunt vertrouwen dat van Lenovo af komt.
 

5. Wat is Lenovo's excuus?

De reactie van Lenovo op dit schandaal lijkt voorbij te gaan aan de zorgen van kopers. Het bedrijf zegt dat "Superfish voor negatieve reacties" zorgde bij gebruikers, en daarom zou Lenovo de malware hebben verwijderd.

'Niks aan de hand!'
Lenovo durft zelfs te stellen dat er "nooit substantieel gevaar was" voor de gebruikers, en dat zij altijd de keus hebben gehad om een product te gebruiken. Dat er nooit toestemming is gevraagd voor het gebruik van de malware, wordt daarbij niet vernoemd. Ook zegt Lenovo-ceo in een interview dat het "vooral gaat om een technisch theoretisch probleem", een grove onderschatting van het probleem.

Inmiddels worden er geen laptops meer geleverd met de Superfish-malware, en worden er in de toekomst geen nieuwe computers op de markt gebracht met Superfish.

Opgelost?
Het blijft echter de vraag wat er gebeurt met de huidige laptops waar Superfish op staat. Lenovo zegt: "We hebben gezorgd dat servers geen gebruik meer kunnen maken van Superfish en de malware is niet langer actief is." Dat betekent echter niet dat Superfish is verwijderd van de computers. Sterker nog, het gaat om een root-certificaat dat zo diep in het systeem zit dat Superfish ook in de toekomst nog bestaande SSL-certificaten blijft overstemmen. Er zijn dus nog een hoop stappen te zetten voor Lenovo het vertrouwen van zijn gebruikers weer terug heeft gewonnen.

Bungie, de studio achter de Destiny-franchise en de eerste Halo-games, heeft de releasedatum van hun nieuwe shooter Marathon aangekondigd. Het spel verschijnt op 5 maart.

Eind vorig jaar werd al aangekondigd dat de multiplayergame ergens in maart van dit jaar zou verschijnen, maar nu is dus de exacte releasedatum bekend. Het spel komt op die dag naar PlayStation 5, Xbox Series X en S en Steam.

Verschillende edities

Mensen kunnen de game nu ook alvast reserveren. Er zijn verschillende edities beschikbaar, waarbij de standaard editie 39,99 euro kost. Mensen die deze editie (of de andere edities) aanschaffen, krijgen het gehele jaar door nieuwe content voorgeschoteld, inclusief nieuwe maps en evenementen. Door deze editie te reserveren ontvangt men ook bonussen in de game, waaronder wapenstickers, emblemen en 'charms' voor wapens.

Daarnaast is er ook een Deluxe Edition voor 59,99 euro beschikbaar. Hierbij ontvangt men onder andere extra cosmetische items voor wapens, een voucher voor een Premium Rewards Pass en 200 'Silk Rewards Pass Tokens'. Tot slot is er een Collector's Edition die via de Bungie Store beschikbaar komt met daarin een Thief Runner Shell-beeldje, een miniatuur WEAVEworm en meer.

Stemmencast

Bungie heeft verder ook de Engelstalige cast bekendgemaakt die stemmen voor de game verzorgd. Onder de stemacteurs vallen Krizia Bajos, Samantha Béart, Beau Bridgland, Ry Chase, Roger Clark, Darin De Paul, Jennifer English, Dave Fennoy, Nika Futterman, Morla Gorrondona, Reina Guthrie, Donnla Hughes, Keston John, Sohm Kapila, Rich Keeble, Elliot Knight, Erica Lindbeck, Piotr Michael, Brent Mukai, Neil Newbon, Ariana Nicole George, Emily O’Brien, Lee Shorten, Jason Spisak, Ben Starr, JB Tadena, Fred Tatasciore, Craig Lee Thomas, Elias Toufexis, Oliver Vaquer, Scott Whyte, Tracy Wiles en Erin Yvette.

Over Marathon

Marathon is een player-versus-player extraction-shooter met een sciencefictionthema. In de game besturen spelers een soort futuristische huurmoordenaars die ook wel Runners worden genoemd. Spelers verkennen een verloren kolonie op de planeet Tau Ceti IV en vechten het tijdens het verzamelen van loot tegen elkaar uit. Er kan in teamsverband of alleen gespeeld worden.

Het ontwikkeltraject van de nieuwe Marathon alles behalve vlekkeloos verlopen. De game had in eerste instantie afgelopen september moeten uitkomen. Tijdens alfatests gaven spelers echter wisselende feedback over de ervaring. Daarnaast bleek er artwork in de game te zitten die was gestolen. Hoewel de persoon die daar verantwoordelijk voor was niet meer werkzaam was bij het bedrijf toen dit ontdekt werd, moest het spel toch uitgesteld worden - niet alleen om de ervaring te verbeteren, maar ook om de gestolen assets te vervangen.

Overigens is Marathon geen compleet nieuwe franchise. Bungie ontwikkelde in de jaren negentig van de vorige eeuw - nog voordat het bedrijf voor Microsoft de Halo-franchise creëerde - al Marathon-spellen. In feite keert de ontwikkelaar, die inmiddels onderdeel uitmaakt van PlayStation Studios, met de nieuwe Marathon dus weer terug naar zijn roots.

Het ziet er naar uit dat Microsoft binnenkort een gratis Xbox Cloud Gaming-abonnement beschikbaar stelt. Hiermee zou je in ruil voor het bekijken van advertenties gratis Xbox-games via de cloud kunnen spelen.

Vorig jaar gaf Microsoft al aan tests uit te voeren met een gratis abonnement op Xbox Cloud Gaming, al werden er toen nog geen andere details gegeven en liet Microsoft ook niet weten wanneer dit abonnement beschikbaar zou komen. Op dit moment is er nog altijd een betaald Xbox Game Pass-abonnement nodig om gebruik te kunnen maken van Xbox Cloud Gaming.

Een uur per sessie

Onlangs lekte een advertentie waarop gemeld wordt dat men "een uur aan door advertenties ondersteunde speeltijd per sessie" kan innen voor Xbox Cloud Gaming. Volgens een artikel van Windows Central zou deze advertentie bedoeld zijn voor de promotie van een gratis 'tier' van Xbox Cloud Gaming die ergens in de loop van dit jaar beschikbaar komt.

Het zou daarbij specifiek gaan om Xbox-games die men al in het bezit heeft, en dus niet games die op het betaalde Xbox Game Pass staan. Via Xbox Cloud Gaming kan men de Xbox-games die men in het bezit heeft op elk ondersteund apparaat spelen.

Meer details zijn er nog niet, maar vorig jaar gingen er al geruchten dat de gratis tier inderdaad voor een uur per sessie is, en maximaal vijf uur per maand. Daarbij krijgen mensen natuurlijk wel zo nu en dan advertenties te zien in ruil voor de gratis service.

Op moment van schrijven heeft Microsoft geen officiële aankondiging gedaan over wanneer de gratis versie van Xbox Cloud Gaming beschikbaar komt.