標籤:

因筆記本電腦預裝廣告軟體問題,聯想支付350萬美元與FTC和解

VisualDiscovery預裝軟體

近日,據路透社報道稱,中國一家主流筆記本電腦製造商——聯想公司已經同意支付350萬美元與美國聯邦貿易委員會(FTC)達成和解,並對其銷售筆記本電腦的方式作出調整,以便解決FTC方面對其有關「在出售設備上使用預裝軟體」的指控,此舉會嚴重影響用戶的安全防護。

本周二(美國當地時間9月5日),聯想公司與康涅狄格州、聯邦貿易委員會以及其他31個州正式達成該協議。

據悉,聯想公司在出售電腦上預裝的軟體被稱為「VisualDiscovery」,該軟體從2014年8月開始便已經安裝在數十萬台聯想筆記本電腦上,目的是提供彈出式廣告。此外,當用戶試圖訪問惡意網站時,該軟體還會阻止瀏覽器彈出警告窗口,可謂嚴重危害用戶安全。

美國聯邦貿易委員會還表示,該惡意軟體還能夠訪問消費者的敏感信息,例如社會保障號碼等。但是,這些信息並沒有發送給出售「VisualDiscovery」的Superfish公司。

聯想與Superfish的故事

早在2015年就有研究人員發現,在2014年9月到2015年1月期間購買的聯想消費級筆記本電腦中被植入了一個名叫「Superfish」的廣告應用。這款不請自來的廣告程序會在用戶首次激活新購買聯想電腦的時候自動安裝,並且會以中間人的方式劫持SSL鏈接,同時在未經用戶許可的情況下影響IE和Chrome等瀏覽器在谷歌(微博)等搜索引擎上的搜索結果。

最致命的是,Superfish還會為自己頒發一個可信賴證書,然後在系統中安裝帶有自己簽名的CA證書,該證書允許這一軟體對包括銀行、Facebook網站等安全連接進行嗅探。這也就意味著,如果該軟體出現安全漏洞將可能會造成更為嚴重的外部攻擊。

事件發生後不久,聯想公司發布聲明顯示,該公司已經推出了一款工具,幫助用戶刪除備受爭議的Superfish軟體。該工具可以自動卸載Superfish應用,並從網路瀏覽器中移除認證——這在以前只能通過手動操作完成。

聯想在聲明中表示:

我們正在與McAfee和微軟合作,使用他們領先的工具和技術來隔離或刪除Superfish軟體及認證。此次行動已經開始,並將自動修復漏洞。即使是尚未知曉這一問題的用戶,也可以獲得自動修復服務。

據悉,Superfish成立於2006年,在經過了四年的研發後才發布了自己的首款產品。2014年,該公司剛剛開始進軍全新的應用開發領域,與聯想公司存在商業合作關係。

VisualDiscovery事件回應

美國聯邦貿易委員會主席Maureen Ohlhausen在一份聲明中表示:

聯想公司預裝的軟體可以在沒有給出通知或得到用戶同意的情況下訪問消費者的敏感信息,這一現象已經損害了消費者的隱私。而這種行為導致的後果更為嚴重,因為該軟體危及了消費者依賴的在線安全防護。

作為回應,聯想公司在一份聲明中表示,該公司在2015年初就已經停止銷售含有預裝軟體的筆記本電腦。

該公司表示:

雖然聯想並不認同這些申訴中的指控,但我們很高興在2年半後結束這件事。到目前為止,我們並沒有發現任何第三方利用這些漏洞來獲取用戶通訊信息訪問權的實際案例。

美國聯邦貿易委員會表示,作為解決方案的一部分,聯想公司同意在安裝此類軟體之前會先獲得消費者的同意。只是,現在對於這事,你怎麼看呢?還能安心的使用聯想電腦了嗎?

本文翻譯自:venturebeat.com/2017/09,如若轉載,請註明來源於嘶吼: 4hou.com/info/news/7580 更多內容請關注「嘶吼專業版」——Pro4hou

推薦閱讀:

SamSam勒索軟體重現江湖:醫院、市政府、ICS公司紛紛中招
以太坊錢包Parity存在重大安全漏洞,2.85億美元的以太幣被凍結
NO.5 Kali Linux 所謂安全軍火庫
內鬼出沒!美國國土安全部泄露24.7萬名員工信息
為什麼我明明關掉了應用的位置授權,但所有的應用依舊能準確的獲得我的位置,例如某某店家距離你多少米?

TAG:信息安全 |