聯想預載惡意軟體 遭美罰逾1億元

全球最大的電子製造商之一的聯想（Lenovo）公司，就其預載惡意軟體的指控，同意支付350萬美元的罰款，並改變銷售筆記型電腦的做法，與美國聯邦貿易委員會及35個州達成和解。這些軟體對用戶安全構成威脅。 幾年前，聯想由於在筆記型電腦上預載了由SuperFish開發的名為VisualDiscovery的惡意廣告軟體，而遭受批評。

這一軟體被安裝在自2014年8月以來聯想交付的成千上萬台筆記型電腦上。用戶發現，此預載軟體不僅造成了他們在搜索網頁時出現第三方廣告，同時也擋住了用戶瀏覽器在該軟體嘗試訪問時所發出的警報。

根據美國聯邦貿易委員會（FTC），該軟體還可拿到消費者的機密信息，例如社會安全號碼。

「聯想的預先安裝軟體，在沒有得到適當通知或同意使用的情況下，訪問機密信息和消費者信息，從而危害了消費者的隱私。」FTC的代理主席Maureen Ohlhausen說，聯想的這一行為因此使消費者所依賴的互聯網安全惡化。

聯想公司與FTC及美國32個州週二（9月5日）簽署了和解協議。根據協議，聯想承諾在筆記型電腦上安裝此類軟體之前徵得消費者的同意。此外，聯想需要在20年內為筆記型電腦安裝全面的軟體安全程序，以檢測預裝的大多數消費類軟體。安全程序也將受到第三方審核。

據IT之家網站報導，在聯想用戶論壇上，從2014年9月到今年1月，陸續有用戶公開表示，部分安裝SuperFish的筆記型電腦都出現挾持用戶電腦的搜尋結果，並擅自置入第三方廣告，還會以假冒的HTTPS根憑證矇騙瀏覽器，進而綁架SSL/TLS連線等類似的惡意行為。

報導說，事實上，聯想用戶iknorr去年9月間就在聯想論壇上反映，他以Chrome瀏覽器使用Google搜尋時，搜尋結果中會被插入廣告。經追查則發現，廣告來自SuperFish這個廣告軟體，再仔細研究安裝日期，發現竟是內建在自己的聯想電腦中，這個廣告軟體會挾持用戶電腦的搜尋結果，並擅自置入第三方廣告。

根據聯想事後發出的聲明，該公司的確是在2014年9月開始在部分消費型筆電機型中預載SuperFish。

今年1月，就有使用者zibartsk直言指出，更大的風險在於，SuperFish使用自行簽章的HTTPS根憑證（RootCA），可矇騙瀏覽器、認定為合法網站，並進而綁架SSL/TLS連線。

另外，安全公司Errata Security安全研究人員Robert Graham解析了SuperFish的憑證，他僅用了3小時的逆向工程，就破解其加密密碼為komodia。他表示，如果密碼流傳出去，就可用該憑證進行中間人攻擊。而Komodia不但是密碼，同時也是一家專門提供SSL「重新導向」工具的公司。

另一安全研究人員Filippo Valsorda指出，Superfish的廣告置入功能就是使用了Komodia的SSL攔截引擎。

安全公司Security Research副總裁Rik Freguson在部落格分析SuperFish的安全風險，他更將該廣告軟體視為會隱藏在電腦中、偷竊使用者身分資料的間諜軟體（Spyware）。他認為，若進一步分析該廣告軟體特色，最關鍵在於：可以自行蒐集使用者資訊，並安裝自行簽署的根憑證。這類的憑證都是為了確保透過SSL加密傳輸的資訊是安全的，但是，Rik Freguson指出，透過這些假憑證，SuperFish也可以偽裝成安全、受信任的目的網站，進行中間人攻擊。

聯想集團有限公司（LenovoGroup），是中國一家總部設在北京市的科技公司，成立於1984年。後在美國北卡羅萊納州羅利市設立了第二個總部。◇