全球最大電腦製造商之一的聯想(Lenovo)公司,就其預載惡意軟件的指控,同意支付350萬美元的罰款,並改變銷售手提電腦的做法,與美國聯邦貿易委員會及35個州達成和解。這些軟件對用戶安全構成威脅。

幾年前,聯想由於在手提電腦上預載了由SuperFish開發的名為VisualDiscovery的惡意廣告軟件,而遭受廣泛批評。

這一軟件被安裝在自2014年8月以來聯想交付的成千上萬台手提電腦上。用戶發現,此預載軟件不僅造成了他們在搜索網頁時出現第三方廣告,同時也擋住了用戶瀏覽器在該軟件嘗試訪問時所發出的警報。

根據美國聯邦貿易委員會(FTC),該軟件還可拿到消費者的機密信息,例如社會安全號碼。

「聯想的預先安裝軟件,在沒有得到適當通知或同意使用的情況下,訪問機密信息和消費者信息,從而危害了消費者的隱私。」FTC的代理主席Maureen Ohlhausen說,聯想的這一行為因此使消費者所依賴的互聯網安全惡化。

聯想公司與FTC及美國32個州周二(9月5日)簽署了和解協議。根據協議,聯想承諾在手提電腦上安裝此類軟件之前徵得消費者的同意。此外,聯想需要在20年內為手提電腦安裝全面的軟件安全程式,以檢測預裝的大多數消費類軟件。安全程式也將受到第三方審核。

據IT之家網站報道,在聯想用戶論壇上,從2014年9月到今年1月,陸續有用戶公開表示,部份安裝SuperFish的手提電腦都出現挾持用戶電腦的搜尋結果,並擅自置入第三方廣告,還會以假冒的HTTPS根憑證矇騙瀏覽器,進而綁架SSL/TLS連線等類似的惡意行為。

報道說,事實上,聯想用戶iknorr去年9月間就在聯想論壇上反映,他以Chrome瀏覽器使用Google搜尋時,搜尋結果中會被插入廣告。經追查則發現,廣告來自SuperFish這個廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告。

根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型手提電腦機型中預載SuperFish。

今年1月,就有使用者zibartsk直言指出,更大的風險在於,SuperFish使用自行簽章的HTTPS根憑證(RootCA),可矇騙瀏覽器、認定為合法網站,並進而綁架SSL/TLS連線。

另外,安全公司Errata Security安全研究人員Robert Graham解析了SuperFish的憑證,他僅用了3小時的逆向工程,就破解其加密密碼為komodia。他表示,如果密碼流傳出去,就可用該憑證進行中間人攻擊。而Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司。

另一安全研究人員Filippo Valsorda指出,Superfish的廣告置入功能就是使用了Komodia的SSL攔截引擎。

安全公司Security Research副總裁Rik Freguson在部落格分析SuperFish的安全風險,他更將該廣告軟體視為會隱藏在電腦中、偷竊使用者身份資料的間諜軟體(Spyware)。他認為,若進一步分析該廣告軟體特色,最關鍵在於:可以自行蒐集使用者資訊,並安裝自行簽署的根憑證。這類的憑證都是為了確保透過SSL加密傳輸的資訊是安全的,但是,Rik Freguson指出,透過這些假憑證,SuperFish也可以偽裝成安全、受信任的目的網站,進行中間人攻擊。

聯想集團有限公司(Lenovo Group),是中國一家總部設在北京市的科技公司,成立於1984年。後在美國北卡羅萊納州羅利市設立了第二個總部。