因應廣告軟體安全威脅愈來愈大,微軟將加強管理措施。自明年三月底開始,廣告軟體的安裝、執行及移除都須遵守瀏覽器作法,否則將被視為惡意軟體而移除。
去年四月微軟已經開始實行管理政策,禁止違反使用者意願安裝、移除,或是掛羊頭賣狗肉的廣告軟體。但微軟工程師Michael Johnson指出,隨著廣告注入軟體的演化,現在已經採用各種中間人(man-in-the-middle)的技倆,包括透過proxy伺服器注入、更改DNS設定、網路層操控(network layer manipulation )等手法,這些軟體會攔截PC和網際網路間的通訊,並在不遵守瀏覽器規範下,從外部插入廣告及促銷網頁,侵害使用者控管權利。
更重要的是,這些作法可能增加使用者安全風險,而且不同大部份瀏覽器都會在變更設定時通知用戶,並取得用戶同意,這些廣告軟體並不會發出通知,甚至還會修改多數使用者無法察覺或難以修改的進階設定及控制。
為解決上述問題,微軟決定更新廣告軟體管理規範,自2016年3月31日起,凡是會在瀏覽器下產生廣告的程式,只能使用瀏覽器支援的安裝、執行、停止及移除的外掛模式。微軟並呼籲開發人員遵循上述規定,未能遵守的程式遭到偵測後將會移除。
廣告軟體氾濫已逐漸成為安全隱憂。在今年二月,聯想被爆在筆電中預載Superfish的Visual Discovery廣告軟體,這個軟體不但會擅自在瀏覽器中呈現廣告,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險,進而引起軒然大波。