联想公司在美国因为“欲载恶意软件”的指控，被罚款350万美元。（网络图片）

记者/主持人：董雪

来源:希望之声  （记者董雪综合报导）中国联想公司电脑因为“欲载恶意软件”的指控，9月5日与美国联邦贸易委员会及35个州签署了和解协议，被罚款支付350万美元，并承诺改进电脑软件程序，在20年内为笔记本电脑安装全面的软件安全程序。

联想在2014年8月以后，在笔记本电脑上开始欲载由SuperFish开发的名为VisualDiscovery的恶意广告软件。用户发现，这造成他们在搜索网页时出现第三方广告，同时也挡住了用户浏览器在该软件尝试访问时所发出的警报。

美国联邦贸易委员会（FTC）则表示，该软件还可拿到消费者的机密信息，例如社会安全号码。

FTC的代理主席Maureen Ohlhausen说：“联想的预先安装软件，在没有得到适当通知或同意使用的情况下，访问机密信息和消费者信息，从而危害了消费者的隐私。”

IT之家网站报导，联想用户iknorr去年9月间就在联想论坛上反映，他以Chrome浏览器使用Google搜寻时，搜寻结果中会被插入广告。经追查则发现，广告来自SuperFish这个广告软体，再仔细研究安装日期，发现竟是内建在自己的联想电脑中，这个广告软体会挟持用户电脑的搜寻结果，并擅自置入第三方广告。

今年1月，就有使用者zibartsk直言指出，更大的风险在于，SuperFish使用自行签章的HTTPS根凭证（RootCA），可蒙骗浏览器、认定为合法网站，并进而绑架SSL/TLS连线。

安全公司Errata Security安全研究人员Robert Graham解析了SuperFish的凭证，他仅用了3小时的逆向工程，就破解其加密密码为komodia。他表示，如果密码流传出去，就可用该凭证进行中间人攻击。而Komodia不但是密码，同时也是一家专门提供SSL“重新导向”工具的公司。

另一安全研究人员Filippo Valsorda指出，Superfish的广告置入功能就是使用了Komodia的SSL拦截引擎。

安全公司Security Research副总裁Rik Freguson在部落格分析SuperFish的安全风险，他更将该广告软体视为会隐藏在电脑中、偷窃使用者身份资料的间谍软体（Spyware）。

他认为，若进一步分析该广告软体特色，最关键在于：可以自行搜集使用者资讯，并安装自行签署的根凭证。这类的凭证都是为了确保透过SSL加密传输的资讯是安全的，但是，Rik Freguson指出，透过这些假凭证，SuperFish也可以伪装成安全、受信任的目的网站，进行中间人攻击。

• 电子前哨基金会敦促美国联邦贸易委员会解决 Android TV 电视盒预装恶意软件的问题
• Discord 将切换到临时文件链接以阻止恶意软件传播
• ↩️ 尽管被 FBI 取缔，Qakbot 幕后黑客仍在向新受害者发送钓鱼邮件 研究人员表示，最近被美国联邦调查局摧毁的全球恶意软件网络背后的黑客仍然活跃，并继续瞄准...
• 中文恶意软件可能“挑战”俄罗斯在网络犯罪中的龙头地位
• 俄黑客利用Android恶意软件攻击乌军

• 🔥法国犹太老板：神告诉我们，只有一位中国人能救人类
• 🔥华人必看：中华文化的飓风 幸福感无法描述
• 🔥解锁ChatGPT|全平台高速翻墙:高清视频秒开,超低延迟
• 🔥免费PC翻墙、安卓VPN翻墙APP

联想公司声明中表示，该公司的确是在2014年9月开始在部分消费型笔电机型中预载SuperFish。FTC及美国32个州周二（9月5日）签署了和解协议。根据协议，联想承诺在笔记本电脑上安装此类软件之前征得消费者的同意。此外，联想需要在20年内为笔记本电脑安装全面的软件安全程序，以检测预装的大多数消费类软件。安全程序也将受到第三方审核。