导语:近日,据路透社报道称,中国一家主流笔记本电脑制造商——联想公司已经同意支付350万美元与美国联邦贸易委员会(FTC)达成和解,并对其销售笔记本电脑的方式作出调整。

VisualDiscovery预装软件

近日,据路透社报道称,中国一家主流笔记本电脑制造商——联想公司已经同意支付350万美元与美国联邦贸易委员会(FTC)达成和解,并对其销售笔记本电脑的方式作出调整,以便解决FTC方面对其有关“在出售设备上使用预装软件”的指控,此举会严重影响用户的安全防护。

本周二(美国当地时间9月5日),联想公司与康涅狄格州、联邦贸易委员会以及其他31个州正式达成该协议。

据悉,联想公司在出售电脑上预装的软件被称为“VisualDiscovery”,该软件从2014年8月开始便已经安装在数十万台联想笔记本电脑上,目的是提供弹出式广告。此外,当用户试图访问恶意网站时,该软件还会阻止浏览器弹出警告窗口,可谓严重危害用户安全。

美国联邦贸易委员会还表示,该恶意软件还能够访问消费者的敏感信息,例如社会保障号码等。但是,这些信息并没有发送给出售“VisualDiscovery”的Superfish公司。

联想与Superfish的故事

1504751676230593.png

早在2015年就有研究人员发现,在2014年9月到2015年1月期间购买的联想消费级笔记本电脑中被植入了一个名叫“Superfish”的广告应用。这款不请自来的广告程序会在用户首次激活新购买联想电脑的时候自动安装,并且会以中间人的方式劫持SSL链接,同时在未经用户许可的情况下影响IE和Chrome等浏览器在谷歌(微博)等搜索引擎上的搜索结果。

最致命的是,Superfish还会为自己颁发一个可信赖证书,然后在系统中安装带有自己签名的CA证书,该证书允许这一软件对包括银行、Facebook网站等安全连接进行嗅探。这也就意味着,如果该软件出现安全漏洞将可能会造成更为严重的外部攻击。

事件发生后不久,联想公司发布声明显示,该公司已经推出了一款工具,帮助用户删除备受争议的Superfish软件。该工具可以自动卸载Superfish应用,并从网络浏览器中移除认证——这在以前只能通过手动操作完成。

联想在声明中表示:

我们正在与McAfee和微软合作,使用他们领先的工具和技术来隔离或删除Superfish软件及认证。此次行动已经开始,并将自动修复漏洞。即使是尚未知晓这一问题的用户,也可以获得自动修复服务。 

据悉,Superfish成立于2006年,在经过了四年的研发后才发布了自己的首款产品。2014年,该公司刚刚开始进军全新的应用开发领域,与联想公司存在商业合作关系。

VisualDiscovery事件回应

美国联邦贸易委员会主席Maureen Ohlhausen在一份声明中表示:

联想公司预装的软件可以在没有给出通知或得到用户同意的情况下访问消费者的敏感信息,这一现象已经损害了消费者的隐私。而这种行为导致的后果更为严重,因为该软件危及了消费者依赖的在线安全防护。

作为回应,联想公司在一份声明中表示,该公司在2015年初就已经停止销售含有预装软件的笔记本电脑。

该公司表示:

虽然联想并不认同这些申诉中的指控,但我们很高兴在2年半后结束这件事。到目前为止,我们并没有发现任何第三方利用这些漏洞来获取用户通讯信息访问权的实际案例。 

美国联邦贸易委员会表示,作为解决方案的一部分,联想公司同意在安装此类软件之前会先获得消费者的同意。只是,现在对于这事,你怎么看呢?还能安心的使用联想电脑了吗?

源链接

Hacking more

...