潛在附加軟體

潛在附加軟體（英語：Potentially unwanted program, PUP）^[1]或潛在有害應用（英語：Potentially unwanted application, PUA）是使用者可能認為不需要的軟體，通常在使用者不知情或不願意的情況下與使用者想安裝的軟體一起被安裝在使用者的電腦上。在中國大陸，這類軟體也被叫做捆綁軟體和流氓軟體。安全軟體或家長控制軟體會基於這類主觀的標準進行定義。

這種軟體可能會破壞使用者使用者隱私或電腦安全。軟體提供者通常使使用者下載目標程式的同時下載一個糖衣程式。然後在缺乏選擇排除的情況下，該程式可能在使用者電腦上安裝其他軟體^[2][3]，附加軟體通常沒有任何安裝提示，也無法解除安裝或在安裝時選擇排除。^[4]

防毒軟體會把這些捆綁軟體辨識為潛在附加軟體（PUP）^[4][5]或潛在有害應用（PUA），包括廣告軟體，或向廣告商出售使用者網路活動的軟體，向使用者瀏覽的網頁上加入自己的廣告，使用高額簡訊服務向使用者收費的軟體。^[6][7]這些行為被廣泛認為是不道德的，因為它們在沒有使用者知情的情況下危害了使用者的電腦安全。

一些附加軟體會在使用者裝置上安裝根憑證，從而使得駭客可以繞過瀏覽器警告攔截私人資訊如銀行帳戶資訊。美國國土安全部建議使用者清除一個不安全的根憑證，因為他們會使使用者暴露在嚴重的網路攻擊下。^[8]

越來越多的開源軟體專案表示，第三方網站在不通知專案組的情況下對他們的軟體進行捆綁已經成為一個問題。幾乎每個第三方免費軟體下載網站都會在他們的下載中捆綁潛在附加軟體(PUP)。^[9]

軟體開發者和安全專家建議人們只從官方網站上下載最新版，或從可信任的軟體套件管理系統或應用商店下載程式。

來源

歷史上，首先利用潛在附加軟體(PUP)製造利潤的是美國的大公司們如Zango。在這些公司們被有關部門因為安裝侵略性的有害的軟體被調查後，這些行為減少了。^[10]

Download Valley

致力於用捆綁潛在附加軟體(PUP)來創造利潤的企業們與Israeli軟體公司們通常被叫做Download Valley。 這些公司們占有了很大一部分的軟體下載安裝工具市場^[11]，這些工具會往使用者電腦上安裝捆綁軟體。這些公司幾乎不受有關部門干擾。

附加軟體

近年，附加軟體正在逐漸增多，2014年的一個研究顯示24.77% 的惡意軟體被分類成附加軟體。^[12]

很多軟體套件括附加的瀏覽器外掛程式會記錄使用者的網路活動並向廣告商出售這些資訊，或在使用者瀏覽的網頁上插入廣告^[4] 在Google擁有的網站的訪問資料中，5%的瀏覽器訪問被電腦程式注入了程式自己的廣告。^[13][14][15] 研究人員篩選出了被用於廣告注入的50,870個Google Chrome外掛程式和34,407個程式。38%的外掛程式和17%的程式被分類為惡意軟體，其餘的被分類為潛在附加廣告程式。一些Google Chrome外掛程式開發者把她們的外掛程式出售給第三方公司，這些公司靜默的推播附加更新使外掛程式們變為廣告程式。^[16][17][18]

本地代理

間諜軟體會在使用者的電腦上安裝代理伺服器以監控所有通過代理伺服器的網路流量，分析這些流量，提取使用者特徵並把它們出售給廣告商。

Superfish

Superfish是一個廣告注入軟體，它會在系統中生成自己的根憑證使得該軟體可以在加密的谷歌搜尋結果中插入廣告並監視使用者的搜尋結果。

2015年1月，美國國土安全部建議使用者解除安裝Superfish和與它相關的根憑證，因為他們會使使用者暴露在嚴重的網路攻擊下，這些攻擊包括攔截通過瀏覽器傳輸的使用者密碼和敏感資料。^[8][19] Heise Security（英語：Heinz Heise） 在SAY Media和Lavasoft等公司的廣告軟體的中發現被捆綁在其中的Superfish的憑證。^[20]

瀏覽器劫持

很多公司使用瀏覽器劫持來更改使用者的首頁和搜尋頁以增加特定網站的點擊量並通過廣告賺取利潤^[21] 一些公司盜取使用者瀏覽器中的cookies資訊，劫持他們到網站的網路連接，並在不通知使用者的情況下用使用者的帳號進行操作（比如安裝Android應用）。

欺詐撥號

一些使用者使用撥號連接通過數據機訪問網際網路，這些使用者成為了欺詐軟體的目標，它們使用作業系統中的安全漏洞來向收費電話撥號。

很多Android裝置成為了惡意軟體的目標，它們使用收費簡訊服務並向使用者收費。^[22][23][24]

第三方網站

2015年, 一個來自EMSISOFT的研究指出，所有免費下載網站在它們的下載中捆綁潛在附加軟體，Download.com被指為「最差分子」^[9] Lowell Heddings表達了他的沮喪："Sadly, even on Google all the top results for most open source and freeware are just ads for really terrible sites that are bundling crapware, adware, and malware on top of the installer."^[25]

Download.com

2011年12月，Download.com開始在他們的軟體中捆綁潛在附加軟體，Gordon Lyon對Download.com的做法表示強烈厭惡並對這些捆綁軟體表示擔憂。Gordon Lyon的文章被很多人在社群網路上傳播，並引起了幾十個媒體報道。主要的問題集中在Download.com提供的內容^[26][27] 和原作者創作的軟體的不同上；對Download.com的指責包括欺騙和著作權與商標侵權。^[27]

2014年，The Register和US-CERT警告使用者：download.com的 "foistware"使"attacker may be able to download and execute arbitrary code".^[28]

Sourceforge

很多開源軟體開發者對打包他們的軟體並用他們的軟體賺取廣告費（它們總能占據搜尋引擎的第一位）的公司們的行為表示挫敗與沮喪。這些網站越來越多的在下載中使用被捆綁的安裝器，其中就包括 潛在附加軟體，並讓捆綁軟體看起來像是開發者背書的官方下載頁面。

GIMP

2013年11月，GIMP，一個免費圖像編輯軟體，因為SourceForge上的誤導性的下載按鈕與進行捆綁安裝的SourceForge Windows安裝器，其開發者從SourceForge移除了它的下載連結。與之相比，GIMP的開發者曾經認為SourceForge是一個"useful and trustworthy place to develop and host FLOSS applications"，他們現在面臨"a problem with the ads they allow on their sites ..."^[29]2015年5月,GIMP的Windows版SourceForge專案的所有權被轉移到"SourceForge Editorial Staff" 帳號並且廣告軟體下載按鈕被恢復。^[30] 同樣的事情發生在nmap的開發者身上。^[31][32]

2015年5月，SourceForge取走了一些移到其他代碼代管網站的開源專案的管理權限並把專案的下載連結換成廣告程式的下載連結。^[33]

Nmap

Gordon Lyon失去了Nmap專案的SourceForge頁面的管理權限，SourceForge接管了該頁面。Lyon說："So far they seem to be providing just the official Nmap files (as long as you don't click on the fake download buttons) and we haven't caught them trojaning Nmap the way they did with GIMP. But we certainly don't trust them one bit! Sourceforge is pulling the same scheme that CNet Download.com tried back when they started circling the drain".^[31][32]

VLC播放器

VideoLAN對它們的使用者在使用搜尋引擎搜尋它們時搜尋到廣告網頁表示失望。這些網站讓使用者下載被捆綁的軟體，捆綁軟體中包括惡意軟體，但是VideoLAN並沒有足夠的錢去起訴這麼多的公司濫用他們的商標。^{[25][34][35][36][37]}

參看

• 預裝軟體（英語：Pre-installed software）
• 盜版軟體