潛在附加軟件

潛在附加軟件（英語：Potentially unwanted program, PUP）^[1]或潛在有害應用（英語：Potentially unwanted application, PUA）是用戶可能認為不需要的軟件，通常在用戶不知情或不願意的情況下與用戶想安裝的軟件一起被安裝在用戶的電腦上。在中國大陸，這類軟件也被叫做捆綁軟件和流氓軟件。保安軟件或家長控制軟件會基於這類主觀的標準進行定義。

這種軟件可能會破壞用戶用戶私隱或電腦安全。軟件提供者通常使用戶下載目標程式的同時下載一個糖衣程式。然後在缺乏選擇排除的情況下，該程式可能在用戶電腦上安裝其他軟件^[2][3]，附加軟件通常沒有任何安裝提示，也無法解除安裝或在安裝時選擇排除。^[4]

防毒軟件會把這些捆綁軟件辨識為潛在附加軟件（PUP）^[4][5]或潛在有害應用（PUA），包括廣告軟件，或向廣告商出售用戶網絡活動的軟件，向用戶瀏覽的網頁上加入自己的廣告，使用高額短訊服務向用戶收費的軟件。^[6][7]這些行為被廣泛認為是不道德的，因為它們在沒有用戶知情的情況下危害了用戶的電腦安全。

一些附加軟件會在用戶裝置上安裝根證書，從而使得黑客可以繞過瀏覽器警告攔截私人資訊如銀行帳戶資訊。美國國土安全部建議用戶清除一個不安全的根證書，因為他們會使用戶暴露在嚴重的網絡攻擊下。^[8]

越來越多的開源軟件專案表示，第三方網站在不通知專案組的情況下對他們的軟件進行捆綁已經成為一個問題。幾乎每個第三方免費軟件下載網站都會在他們的下載中捆綁潛在附加軟件(PUP)。^[9]

軟件開發者和安全專家建議人們只從官方網站上下載最新版，或從可信任的軟件套件管理系統或應用商店下載程式。

來源

歷史上，首先利用潛在附加軟件(PUP)製造利潤的是美國的大公司們如Zango。在這些公司們被有關部門因為安裝侵略性的有害的軟件被調查後，這些行為減少了。^[10]

Download Valley

致力於用捆綁潛在附加軟件(PUP)來創造利潤的企業們與Israeli軟件公司們通常被叫做Download Valley。 這些公司們佔有了很大一部分的軟件下載安裝工具市場^[11]，這些工具會往用戶電腦上安裝捆綁軟件。這些公司幾乎不受有關部門干擾。

附加軟件

近年，附加軟件正在逐漸增多，2014年的一個研究顯示24.77% 的惡意軟件被分類成附加軟件。^[12]

很多軟件套件括附加的瀏覽器外掛程式會記錄用戶的網絡活動並向廣告商出售這些資訊，或在用戶瀏覽的網頁上插入廣告^[4] 在Google擁有的網站的訪問數據中，5%的瀏覽器訪問被電腦程式注入了程式自己的廣告。^[13][14][15] 研究人員篩選出了被用於廣告注入的50,870個Google Chrome外掛程式和34,407個程式。38%的外掛程式和17%的程式被分類為惡意軟件，其餘的被分類為潛在附加廣告程式。一些Google Chrome外掛程式開發者把她們的外掛程式出售給第三方公司，這些公司靜默的推播附加更新使外掛程式們變為廣告程式。^[16][17][18]

本地代理

間諜軟件會在用戶的電腦上安裝代理伺服器以監控所有通過代理伺服器的網絡流量，分析這些流量，提取用戶特徵並把它們出售給廣告商。

Superfish

Superfish是一個廣告注入軟件，它會在系統中生成自己的根證書使得該軟件可以在加密的谷歌搜尋結果中插入廣告並監視用戶的搜尋結果。

2015年1月，美國國土安全部建議用戶解除安裝Superfish和與它相關的根證書，因為他們會使用戶暴露在嚴重的網絡攻擊下，這些攻擊包括攔截通過瀏覽器傳輸的用戶密碼和敏感數據。^[8][19] Heise Security（英語：Heinz Heise） 在SAY Media和Lavasoft等公司的廣告軟件的中發現被捆綁在其中的Superfish的證書。^[20]

瀏覽器劫持

很多公司使用瀏覽器劫持來更改用戶的首頁和搜尋頁以增加特定網站的點擊量並通過廣告賺取利潤^[21] 一些公司盜取用戶瀏覽器中的cookies資訊，劫持他們到網站的網絡連接，並在不通知用戶的情況下用用戶的帳號進行操作（比如安裝Android應用）。

欺詐撥號

一些用戶使用撥號連接通過數據機訪問互聯網，這些用戶成為了欺詐軟件的目標，它們使用作業系統中的安全漏洞來向收費電話撥號。

很多Android裝置成為了惡意軟件的目標，它們使用收費短訊服務並向用戶收費。^[22][23][24]

第三方網站

2015年, 一個來自EMSISOFT的研究指出，所有免費下載網站在它們的下載中捆綁潛在附加軟件，Download.com被指為「最差分子」^[9] Lowell Heddings表達了他的沮喪："Sadly, even on Google all the top results for most open source and freeware are just ads for really terrible sites that are bundling crapware, adware, and malware on top of the installer."^[25]

Download.com

2011年12月，Download.com開始在他們的軟件中捆綁潛在附加軟件，Gordon Lyon對Download.com的做法表示強烈厭惡並對這些捆綁軟件表示擔憂。Gordon Lyon的文章被很多人在社交網絡上載播，並引起了幾十個媒體報道。主要的問題集中在Download.com提供的內容^[26][27] 和原作者創作的軟件的不同上；對Download.com的指責包括欺騙和版權與商標侵權。^[27]

2014年，The Register和US-CERT警告用戶：download.com的 "foistware"使"attacker may be able to download and execute arbitrary code".^[28]

Sourceforge

很多開源軟件開發者對打包他們的軟件並用他們的軟件賺取廣告費（它們總能佔據搜尋引擎的第一位）的公司們的行為表示挫敗與沮喪。這些網站越來越多的在下載中使用被捆綁的安裝器，其中就包括 潛在附加軟件，並讓捆綁軟件看起來像是開發者背書的官方下載頁面。

GIMP

2013年11月，GIMP，一個免費圖像編輯軟件，因為SourceForge上的誤導性的下載按鈕與進行捆綁安裝的SourceForge Windows安裝器，其開發者從SourceForge移除了它的下載連結。與之相比，GIMP的開發者曾經認為SourceForge是一個"useful and trustworthy place to develop and host FLOSS applications"，他們現在面臨"a problem with the ads they allow on their sites ..."^[29]2015年5月,GIMP的Windows版SourceForge專案的所有權被轉移到"SourceForge Editorial Staff" 帳號並且廣告軟件下載按鈕被恢復。^[30] 同樣的事情發生在nmap的開發者身上。^[31][32]

2015年5月，SourceForge取走了一些移到其他代碼寄存網站的開源專案的管理權限並把專案的下載連結換成廣告程式的下載連結。^[33]

Nmap

Gordon Lyon失去了Nmap專案的SourceForge頁面的管理權限，SourceForge接管了該頁面。Lyon說："So far they seem to be providing just the official Nmap files (as long as you don't click on the fake download buttons) and we haven't caught them trojaning Nmap the way they did with GIMP. But we certainly don't trust them one bit! Sourceforge is pulling the same scheme that CNet Download.com tried back when they started circling the drain".^[31][32]

VLC播放器

VideoLAN對它們的用戶在使用搜尋引擎搜尋它們時搜尋到廣告網頁表示失望。這些網站讓用戶下載被捆綁的軟件，捆綁軟件中包括惡意軟件，但是VideoLAN並沒有足夠的錢去起訴這麼多的公司濫用他們的商標。^{[25][34][35][36][37]}

參看

• 預裝軟件（英語：Pre-installed software）
• 盜版軟件