简体正體
联想公司在美国因为“欲载恶意软件”的指控,被罚款350万美元。(网络图片)
联想公司在美国因为“欲载恶意软件”的指控,被罚款350万美元。(网络图片)

联想电脑因预载恶意软件遭美罚款350万美元

【希望之声2017年9月7日】(本台记者董雪综合报导)中国联想公司电脑因为“欲载恶意软件”的指控,9月5日与美国联邦贸易委员会及35个州签署了和解协议,被罚款支付350万美元,并承诺改进电脑软件程序,在20年内为笔记本电脑安装全面的软件安全程序。

联想在2014年8月以后,在笔记本电脑上开始欲载由SuperFish开发的名为VisualDiscovery的恶意广告软件。用户发现,这造成他们在搜索网页时出现第三方广告,同时也挡住了用户浏览器在该软件尝试访问时所发出的警报。

美国联邦贸易委员会(FTC)则表示,该软件还可拿到消费者的机密信息,例如社会安全号码。

FTC的代理主席Maureen Ohlhausen说:“联想的预先安装软件,在没有得到适当通知或同意使用的情况下,访问机密信息和消费者信息,从而危害了消费者的隐私。”

IT之家网站报导,联想用户iknorr去年9月间就在联想论坛上反映,他以Chrome浏览器使用Google搜寻时,搜寻结果中会被插入广告。经追查则发现,广告来自SuperFish这个广告软体,再仔细研究安装日期,发现竟是内建在自己的联想电脑中,这个广告软体会挟持用户电脑的搜寻结果,并擅自置入第三方广告。

今年1月,就有使用者zibartsk直言指出,更大的风险在于,SuperFish使用自行签章的HTTPS根凭证(RootCA),可蒙骗浏览器、认定为合法网站,并进而绑架SSL/TLS连线。

安全公司Errata Security安全研究人员Robert Graham解析了SuperFish的凭证,他仅用了3小时的逆向工程,就破解其加密密码为komodia。他表示,如果密码流传出去,就可用该凭证进行中间人攻击。而Komodia不但是密码,同时也是一家专门提供SSL“重新导向”工具的公司。

另一安全研究人员Filippo Valsorda指出,Superfish的广告置入功能就是使用了Komodia的SSL拦截引擎。

安全公司Security Research副总裁Rik Freguson在部落格分析SuperFish的安全风险,他更将该广告软体视为会隐藏在电脑中、偷窃使用者身份资料的间谍软体(Spyware)。

他认为,若进一步分析该广告软体特色,最关键在于:可以自行搜集使用者资讯,并安装自行签署的根凭证。这类的凭证都是为了确保透过SSL加密传输的资讯是安全的,但是,Rik Freguson指出,透过这些假凭证,SuperFish也可以伪装成安全、受信任的目的网站,进行中间人攻击。

联想公司声明中表示,该公司的确是在2014年9月开始在部分消费型笔电机型中预载SuperFish。FTC及美国32个州周二(9月5日)签署了和解协议。根据协议,联想承诺在笔记本电脑上安装此类软件之前征得消费者的同意。此外,联想需要在20年内为笔记本电脑安装全面的软件安全程序,以检测预装的大多数消费类软件。安全程序也将受到第三方审核。

责任编辑:元镇

中国广播台
美国联播网
粤语台