预载恶意软件 中国联想在美遭罚350万美元

人气 3429

【大纪元2017年09月07日讯】(大纪元记者林南综合报导)全球最大的电子制造商之一的联想(Lenovo)公司,就其预载恶意软件的指控,同意支付350万美元的罚款,并改变销售笔记本电脑的做法,与美国联邦贸易委员会及35个州达成和解。这些软件对用户安全构成威胁。

几年前,联想由于在笔记本电脑上预载了由SuperFish开发的名为VisualDiscovery的恶意广告软件,而遭受广泛批评。

这一软件被安装在自2014年8月以来联想交付的成千上万台笔记本电脑上。用户发现,此预载软件不仅造成了他们在搜索网页时出现第三方广告,同时也挡住了用户浏览器在该软件尝试访问时所发出的警报。

根据美国联邦贸易委员会(FTC),该软件还可拿到消费者的机密信息,例如社会安全号码。

“联想的预先安装软件,在没有得到适当通知或同意使用的情况下,访问机密信息和消费者信息,从而危害了消费者的隐私。”FTC的代理主席Maureen Ohlhausen说,联想的这一行为因此使消费者所依赖的互联网安全恶化。

联想公司与FTC及美国32个州周二(9月5日)签署了和解协议。根据协议,联想承诺在笔记本电脑上安装此类软件之前征得消费者的同意。此外,联想需要在20年内为笔记本电脑安装全面的软件安全程序,以检测预装的大多数消费类软件。安全程序也将受到第三方审核。

据IT之家网站报导,在联想用户论坛上,从2014年9月到今年1月,陆续有用户公开表示,部分安装SuperFish的笔记型电脑都出现挟持用户电脑的搜寻结果,并擅自置入第三方广告,还会以假冒的HTTPS根凭证蒙骗浏览器,进而绑架SSL/TLS连线等类似的恶意行为。

报导说,事实上,联想用户iknorr去年9月间就在联想论坛上反映,他以Chrome浏览器使用Google搜寻时,搜寻结果中会被插入广告。经追查则发现,广告来自SuperFish这个广告软体,再仔细研究安装日期,发现竟是内建在自己的联想电脑中,这个广告软体会挟持用户电脑的搜寻结果,并擅自置入第三方广告。

根据联想事后发出的声明,该公司的确是在2014年9月开始在部分消费型笔电机型中预载SuperFish。

今年1月,就有使用者zibartsk直言指出,更大的风险在于,SuperFish使用自行签章的HTTPS根凭证(RootCA),可蒙骗浏览器、认定为合法网站,并进而绑架SSL/TLS连线。

另外,安全公司Errata Security安全研究人员Robert Graham解析了SuperFish的凭证,他仅用了3小时的逆向工程,就破解其加密密码为komodia。他表示,如果密码流传出去,就可用该凭证进行中间人攻击。而Komodia不但是密码,同时也是一家专门提供SSL“重新导向”工具的公司。

另一安全研究人员Filippo Valsorda指出,Superfish的广告置入功能就是使用了Komodia的SSL拦截引擎。

安全公司Security Research副总裁Rik Freguson在部落格分析SuperFish的安全风险,他更将该广告软体视为会隐藏在电脑中、偷窃使用者身份资料的间谍软体(Spyware)。他认为,若进一步分析该广告软体特色,最关键在于:可以自行搜集使用者资讯,并安装自行签署的根凭证。这类的凭证都是为了确保透过SSL加密传输的资讯是安全的,但是,Rik Freguson指出,透过这些假凭证,SuperFish也可以伪装成安全、受信任的目的网站,进行中间人攻击。

联想集团有限公司(LenovoGroup),是中国一家总部设在北京市的科技公司,成立于1984年。后在美国北卡罗莱纳州罗利市设立了第二个总部。#

责任编辑:林妍

相关新闻
联想净利盈转亏1.28亿美元
专家再披露:联想Thinkpad预装黑客后门
五角大楼报告:联想产品带来网攻威胁
澳超级电脑系统用中国“联想”产品 引安全担忧
最热视频
【拍案惊奇】猴痘疫情大爆发 世卫:极不寻常
【微视频】北京封控保卫中南海 常委会出逃否
【远见快评】北京政局诡谲 拜登亚洲行释2信号
【新闻看点】铜井大院现病例 病毒逼近中南海?
【神韵早期节目】穆桂英挂帅(2012年制作)
如果您有新闻线索或资料给大纪元,请进入安全投稿爆料平台
评论