潜在有害程序

潜在有害程序(英语:Potentially unwanted program, PUP[1]潜在有害应用(英语:Potentially unwanted application, PUA)是用户可能认为不需要的软件,通常在用户不知情或不愿意的情况下与用户想安装的软件一起被安装在用户的电脑上。在中国大陆,这类软件也被叫做捆绑软件流氓软件安全软件家长控制软件会基于这类主观的标准进行定义。

这种软件可能会破坏用户用户隐私或电脑安全。软件提供者通常使用户下载目标程序的同时下载一个糖衣程序。然后在缺乏选择排除的情况下,该程序可能在用户电脑上安装其他软件[2][3],附加软件通常没有任何安装提示,也无法卸载或在安装时选择排除。[4]

杀毒软件会把这些捆绑软件识别为潜在有害程序(PUP)[4][5]或潜在有害应用(PUA),包括广告软件,或向广告商出售用户网络活动的软件,向用户浏览的网页上加入自己的广告,使用高额简讯服务向用户收费的软件。[6][7]这些行为被广泛认为是不道德的,因为它们在没有用户知情的情况下危害了用户的电脑安全

一些附加软件会在用户装置上安装根证书,从而使得骇客可以绕过浏览器警告拦截私人资讯如银行账户资讯。美国国土安全部建议用户清除一个不安全的根证书,因为他们会使用户暴露在严重的网络攻击下。[8]

越来越多的开源软件项目表示,第三方网站在不通知项目组的情况下对他们的软件进行捆绑已经成为一个问题。几乎每个第三方免费软件下载网站都会在他们的下载中捆绑潜在附加软件(PUP)。[9]

软件开发者和安全专家建议人们只从官方网站上下载最新版,或从可信任的软件包管理系统应用商店下载程序。

来源

编辑

历史上,首先利用潜在附加软件(PUP)制造利润的是美国的大公司们如Zango。在这些公司们被有关部门因为安装侵略性的有害的软件被调查后,这些行为减少了。[10]

Download Valley

编辑

致力于用捆绑潜在附加软件(PUP)来创造利润的企业们与Israeli软件公司们通常被叫做Download Valley。 这些公司们占有了很大一部分的软件下载安装工具市场[11],这些工具会往用户电脑上安装捆绑软件。这些公司几乎不受有关部门干扰。

附加软件

编辑

近年,附加软件正在逐渐增多,2014年的一个研究显示24.77% 的恶意软件被分类成附加软件。[12]

很多软件包括附加的浏览器插件会记录用户的网络活动并向广告商出售这些资讯,或在用户浏览的网页上插入广告[4] 在Google拥有的网站的访问数据中,5%的浏览器访问被电脑程序注入了程序自己的广告。[13][14][15] 研究人员筛选出了被用于广告注入的50,870个Google Chrome插件和34,407个程序。38%的插件和17%的程序被分类为恶意软件,其余的被分类为潜在附加广告程序。一些Google Chrome插件开发者把她们的插件出售给第三方公司,这些公司静默的推送附加更新使插件们变为广告程序。[16][17][18]

本地代理

编辑

间谍软件会在用户的电脑上安装代理伺服器以监控所有通过代理伺服器的网络流量,分析这些流量,提取用户特征并把它们出售给广告商。

Superfish

编辑

Superfish是一个广告注入软件,它会在系统中生成自己的根证书使得该软件可以在加密的谷歌搜索结果中插入广告并监视用户的搜索结果。

2015年1月,美国国土安全部建议用户卸载Superfish和与它相关的根证书,因为他们会使用户暴露在严重的网络攻击下,这些攻击包括拦截通过浏览器传输的用户密码和敏感数据。[8][19] Heise Security英语Heinz Heise 在SAY Media和Lavasoft等公司的广告软件的中发现被捆绑在其中的Superfish的证书。[20]

浏览器劫持

编辑

很多公司使用浏览器劫持来更改用户的首页和搜索页以增加特定网站的点击量并通过广告赚取利润[21] 一些公司盗取用户浏览器中的cookies资讯,劫持他们到网站的网络连接,并在不通知用户的情况下用用户的账号进行操作(比如安装Android应用)。

欺诈拨号

编辑

一些用户使用拨号连接通过调制解调器访问互联网,这些用户成为了欺诈软件的目标,它们使用操作系统中的安全漏洞来向收费电话拨号。

很多Android装置成为了恶意软件的目标,它们使用收费简讯服务并向用户收费。[22][23][24]

第三方网站

编辑

2015年, 一个来自EMSISOFT的研究指出,所有免费下载网站在它们的下载中捆绑潜在附加软件,Download.com被指为“最差分子”[9] Lowell Heddings表达了他的沮丧:"Sadly, even on Google all the top results for most open source and freeware are just ads for really terrible sites that are bundling crapware, adware, and malware on top of the installer."[25]

Download.com

编辑

2011年12月,Download.com开始在他们的软件中捆绑潜在附加软件,Gordon Lyon对Download.com的做法表示强烈厌恶并对这些捆绑软件表示担忧。Gordon Lyon的文章被很多人在社交网络上传播,并引起了几十个媒体报道。主要的问题集中在Download.com提供的内容[26][27] 和原作者创作的软件的不同上;对Download.com的指责包括欺骗和著作权与商标侵权。[27]

2014年,The Register和US-CERT警告用户:download.com的 "foistware"使"attacker may be able to download and execute arbitrary code".[28]

Sourceforge

编辑

很多开源软件开发者对打包他们的软件并用他们的软件赚取广告费(它们总能占据搜索引擎的第一位)的公司们的行为表示挫败与沮丧。这些网站越来越多的在下载中使用被捆绑的安装器,其中就包括 潜在附加软件,并让捆绑软件看起来像是开发者背书的官方下载页面。

2013年11月,GIMP,一个免费图像编辑软件,因为SourceForge上的误导性的下载按钮与进行捆绑安装的SourceForge Windows安装器,其开发者从SourceForge移除了它的下载链接。与之相比,GIMP的开发者曾经认为SourceForge是一个"useful and trustworthy place to develop and host FLOSS applications",他们现在面临"a problem with the ads they allow on their sites ..."[29]2015年5月,GIMP的Windows版SourceForge项目的所有权被转移到"SourceForge Editorial Staff" 账号并且广告软件下载按钮被恢复。[30] 同样的事情发生在nmap的开发者身上。[31][32]

2015年5月,SourceForge取走了一些移到其他代码托管网站的开源项目的管理权限并把项目的下载链接换成广告程序的下载链接。[33]

Gordon Lyon失去了Nmap项目的SourceForge页面的管理权限,SourceForge接管了该页面。Lyon说:"So far they seem to be providing just the official Nmap files (as long as you don't click on the fake download buttons) and we haven't caught them trojaning Nmap the way they did with GIMP. But we certainly don't trust them one bit! Sourceforge is pulling the same scheme that CNet Download.com tried back when they started circling the drain".[31][32]

VLC播放器

编辑

VideoLAN对它们的用户在使用搜索引擎搜索它们时搜索到广告网页表示失望。这些网站让用户下载被捆绑的软件,捆绑软件中包括恶意软件,但是VideoLAN并没有足够的钱去起诉这么多的公司滥用他们的商标。[25][34][35][36][37]

参看

编辑

参考资料

编辑
  1. ^ DT科技评论第36期. 人民网. [2019-01-11]. (原始内容存档于2020-11-29). 
  2. ^ Facebook: The 'Evil Interface?'. msnbc.com. [2016-05-11]. (原始内容存档于2019-07-17). 
  3. ^ Facebook's "Evil Interfaces". Electronic Frontier Foundation. [2016-05-11]. (原始内容存档于2021-11-10). 
  4. ^ 4.0 4.1 4.2 Malwarebytes Potentially Unwanted Program Criteria. Malwarebytes. [2016-05-11]. (原始内容存档于2016-04-09).  引用错误:带有name属性“malwarebytes”的<ref>标签用不同内容定义了多次
  5. ^ Rating the best anti-malware solutions. Arstechnica. [28 January 2014]. (原始内容存档于2014-02-02). 
  6. ^ Threat Encyclopedia – Generic Grayware. Trend Micro. [27 November 2012]. (原始内容存档于2014-07-14). 
  7. ^ PUP Criteria. Malwarebytes. 
  8. ^ 8.0 8.1 U.S. government urges Lenovo customers to remove Superfish software. Reuters. February 20, 2015 [February 20, 2015]. (原始内容存档于2015-02-20).  引用错误:带有name属性“reutersdhs”的<ref>标签用不同内容定义了多次
  9. ^ 9.0 9.1 Mind the PUP: Top download portals to avoid. EMSISOFT. March 11, 2015 [May 4, 2015]. (原始内容存档于2015-05-05).  引用错误:带有name属性“emisoft1”的<ref>标签用不同内容定义了多次
  10. ^ CDT Files Complaints Against Major Adware Distributor (archived)页面存档备份,存于互联网档案馆) January 27, 2006
  11. ^ 3.. [2016-05-11]. (原始内容存档于2020-12-02). 
  12. ^ 62% of the Top 50 Download.com applications bundle toolbars and other PUPs. EMSISOFT blog. 26 Feb 2015 [2016-05-11]. (原始内容存档于2015-05-05). 
  13. ^ Ad Injection at Scale: Assessing Deceptive Advertisement Modifications (PDF). [2016-05-11]. (原始内容存档 (PDF)于2015-06-05). 
  14. ^ 存档副本. [2016-05-11]. (原始内容存档于2020-10-27). 
  15. ^ 存档副本. [2016-05-11]. (原始内容存档于2019-12-11). 
  16. ^ Adware vendors buy Chrome Extensions to send ad- and malware-filled updates. Ars Technica. [20 January 2014]. (原始内容存档于2014-01-20). 
  17. ^ Google Removes Two Chrome Extensions Amid Ad Uproar. Wall Street Journal. [20 January 2014]. (原始内容存档于2020-07-27). 
  18. ^ Bruce Schneier. Adware Vendors Buy and Abuse Chrome Extensions. 21 Jan 2014 [2016-05-11]. (原始内容存档于2021-11-15). 
  19. ^ Alert: Lenovo "Superfish" Adware Vulnerable to HTTPS Spoofing. United States Computer Emergency Readiness Team. February 20, 2015 [February 20, 2015]. (原始内容存档于2017-08-20). 
  20. ^ Gefährliche Adware: Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat [Dangerous Aware: More than a Dozen Applications spreading Superfish Certificate]. Heise Security英语Heinz Heise. February 24, 2015 [May 5, 2015]. 
  21. ^ Rudis Muiznieks. Exploiting Android Users for Fun and Profit. The Code Word. [2016-05-11]. (原始内容存档于2019-06-11). 
  22. ^ Android trojan sends premium SMS messages, targets U.S. users for first time. SC Magazine. [2016-05-11]. (原始内容存档于2016-06-24). 
  23. ^ New malware attack through Google Play. MediaCenter Panda Security. [2016-05-11]. (原始内容存档于2020-09-26). 
  24. ^ Swati Khandelwal. 300000 Android Devices infected by Premium SMS-Sending Malware. The Hacker News - Biggest Information Security Channel. 15 February 2014 [2016-05-11]. (原始内容存档于2021-12-28). 
  25. ^ 25.0 25.1 Yes, Every Freeware Download Site is Serving Crapware (Here’s the Proof). HowToGeek.com. 21 Jan 2015 [2016-05-11]. (原始内容存档于2021-11-07). Sadly, even on Google all the top results for most open source and freeware are just ads for really terrible sites that are bundling crapware, adware, and malware on top of the installer. Most geeks will know that they shouldn’t click on the ads, but obviously enough people are clicking those ads for them to be able to afford to pay the high per-click prices for Google AdWords.  引用错误:带有name属性“howtogeek”的<ref>标签用不同内容定义了多次
  26. ^ Brian Krebs. Download.com Bundling Toolbars, Trojans?. Krebs on security. 2011-12-06 [2015-05-04]. (原始内容存档于2021-11-04). 
  27. ^ 27.0 27.1 Gordon Lyon. Download.com Caught Adding Malware to Nmap & Other Software. 2012-06-27 [2015-05-04]. (原始内容存档于2022-01-07). we suggest avoiding CNET Download.com entirely  引用错误:带有name属性“insecure”的<ref>标签用不同内容定义了多次
  28. ^ Darren Pauli. Insecure AVG search tool shoved down users' throats, says US CERT. The Register. 2014-07-08 [2015-05-04]. (原始内容存档于2019-12-11). Sneaky 'foistware' downloads install things you never asked for 
  29. ^ Sharwood, Simon. GIMP flees SourceForge over dodgy ads and installer. The Register. November 8, 2013 [November 21, 2013]. (原始内容存档于2020-05-01). 
  30. ^ SourceForge locked in projects of fleeing users, cashed in on malvertising. Ars Technica. [2 June 2015]. (原始内容存档于2015-06-02). 
  31. ^ 31.0 31.1 Sourceforge Hijacks the Nmap Sourceforge Account. Seclists.org. 3 June 2015 [2016-05-11]. (原始内容存档于2021-04-19).  引用错误:带有name属性“auto”的<ref>标签用不同内容定义了多次
  32. ^ 32.0 32.1 Sean Gallagher. Black "mirror": SourceForge has now seized Nmap audit tool project. Ars Technica. 4 June 2015 [2016-05-11]. (原始内容存档于2017-07-08).  引用错误:带有name属性“auto1”的<ref>标签用不同内容定义了多次
  33. ^ SourceForge grabs GIMP for Windows’ account, wraps installer in bundle-pushing adware [Updated]. [2015-05-30]. (原始内容存档于2016-05-05). 
  34. ^ These companies that mislead our users. 7 Jul 2011 [2016-05-11]. (原始内容存档于2021-11-20). 
  35. ^ VLC media player suffering in face of crapware and uncaring Google. Geek.com. 7 Jul 2011 [2016-05-11]. (原始内容存档于2017-03-23). 
  36. ^ VideoLAN Calls Out for Help to Protect Users from VLC Scams. 16 Jul 2011 [2016-05-11]. (原始内容存档于2019-12-12). 
  37. ^ Adware in new installer. The VideoLAN forums. [2016-05-11]. (原始内容存档于2019-06-13).