预装恶意软件 中国联想在美遭罚350万美元

全球最大的电子制造商之一的联想（Lenovo）公司，就其预载恶意软件的指控，同意支付350万美元的罚款，并改变销售笔记本电脑的做法，与美国联邦贸易委员会及35个州达成和解。这些软件对用户安全构成威胁。

几年前，联想由于在笔记本电脑上预载了由SuperFish开发的名为VisualDiscovery的恶意广告软件，而遭受广泛批评。

这一软件被安装在自2014年8月以来联想交付的成千上万台笔记本电脑上。用户发现，此预载软件不仅造成了他们在搜索网页时出现第三方广告，同时也挡住了用户浏览器在该软件尝试访问时所发出的警报。

根据美国联邦贸易委员会（FTC），该软件还可拿到消费者的机密信息，例如社会安全号码。

“联想的预先安装软件，在没有得到适当通知或同意使用的情况下，访问机密信息和消费者信息，从而危害了消费者的隐私。”FTC的代理主席Maureen Ohlhausen说，联想的这一行为因此使消费者所依赖的互联网安全恶化。

联想公司与FTC及美国32个州周二（9月5日）签署了和解协议。根据协议，联想承诺在笔记本电脑上安装此类软件之前征得消费者的同意。此外，联想需要在20年内为笔记本电脑安装全面的软件安全程序，以检测预装的大多数消费类软件。安全程序也将受到第三方审核。

据IT之家网站报导，在联想用户论坛上，从2014年9月到今年1月，陆续有用户公开表示，部分安装SuperFish的笔记型电脑都出现挟持用户电脑的搜寻结果，并擅自置入第三方广告，还会以假冒的HTTPS根凭证蒙骗浏览器，进而绑架SSL/TLS连线等类似的恶意行为。

报导说，事实上，联想用户iknorr去年9月间就在联想论坛上反映，他以Chrome浏览器使用Google搜寻时，搜寻结果中会被插入广告。经追查则发现，广告来自SuperFish这个广告软体，再仔细研究安装日期，发现竟是内建在自己的联想电脑中，这个广告软体会挟持用户电脑的搜寻结果，并擅自置入第三方广告。

根据联想事后发出的声明，该公司的确是在2014年9月开始在部分消费型笔电机型中预载SuperFish。

今年1月，就有使用者zibartsk直言指出，更大的风险在于，SuperFish使用自行签章的HTTPS根凭证（RootCA），可蒙骗浏览器、认定为合法网站，并进而绑架SSL/TLS连线。

另外，安全公司Errata Security安全研究人员Robert Graham解析了SuperFish的凭证，他仅用了3小时的逆向工程，就破解其加密密码为komodia。他表示，如果密码流传出去，就可用该凭证进行中间人攻击。而Komodia不但是密码，同时也是一家专门提供SSL“重新导向”工具的公司。

另一安全研究人员Filippo Valsorda指出，Superfish的广告置入功能就是使用了Komodia的SSL拦截引擎。

安全公司Security Research副总裁Rik Freguson在部落格分析SuperFish的安全风险，他更将该广告软体视为会隐藏在电脑中、偷窃使用者身份资料的间谍软体（Spyware）。他认为，若进一步分析该广告软体特色，最关键在于：可以自行搜集使用者资讯，并安装自行签署的根凭证。这类的凭证都是为了确保透过SSL加密传输的资讯是安全的，但是，Rik Freguson指出，透过这些假凭证，SuperFish也可以伪装成安全、受信任的目的网站，进行中间人攻击。

联想集团有限公司（LenovoGroup），是中国一家总部设在北京市的科技公司，成立于1984年。后在美国北卡罗莱纳州罗利市设立了第二个总部。