广告软件.

广告软件会在用户体验中插入广告——弹窗、横幅、劫持搜索结果或重定向——通常是为运营者带来收入。它常与免费工具、浏览器扩展或盗版软件捆绑,并经常包含上报浏览习惯的追踪组件。虽然不一定算严格意义上的恶意软件,但激进的广告软件会拖慢系统、损害隐私,并可能成为更有害载荷的跳板。

Superfish 事件表明,“不过是广告”也可能非常危险。从 2014 年底起,联想在消费级笔记本电脑上预装了 Superfish VisualDiscovery 以注入购物广告。为了把广告插入加密页面,它安装了一个自签名根 CA 证书并运行本地 TLS 代理——这是对用户自身 HTTPS 流量蓄意发起的中间人攻击。由于该代理(基于 Komodia 的 SDK 构建)在每台机器上都附带相同的私钥,且该密钥的口令可被轻易破解,同一网络中的任何攻击者都能在毫无警告的情况下冒充任意 HTTPS 站点。CISA 于 2015 年 2 月发布了 TA15-051A 警报,联想随后发布了移除工具。Fireball(Check Point,2017 年)同样大规模地把浏览器变成了广告变现的僵尸。

防御措施包括只从可信来源安装、审查浏览器扩展权限、使用广告/脚本拦截器、反 PUP 扫描器、卸载不必要的捆绑软件,以及审计系统信任库中是否存在意料之外的根证书。

flowchart TD
  A[免费工具 / 捆绑安装包 /<br/>预装 OEM 软件] --> B[广告软件被安装]
  B --> C[注入广告:弹窗、<br/>横幅、搜索劫持]
  B --> D[追踪浏览习惯]
  B --> E[安装流氓根 CA<br/>+ 本地 TLS 代理]
  E --> F[解密 HTTPS 以注入广告<br/>= 中间人攻击]
  F --> G[共享密钥 → 任何人都能<br/>冒充任意站点 如 Superfish]
  C --> H[防御:反 PUP 扫描、广告拦截、<br/>扩展审查、审计信任库]
  E --> H