“Superfish”是一款廣告應用,這款廣告程序會在用戶首次激活新購買聯想集團的時候自動安裝,并且會以中間人的方式劫持SSL鏈接,同時在未經用戶許可的情況下影響IE和Chrome等瀏覽器在谷歌(新浪微博)等搜索引擎上的搜索結果。Superfish公司創立于2006年,總部位于加利福尼亞州,后因安全問題而在2015年改名為JustVisual。
軟件簡介
Superfish公司位于加州帕洛阿爾托,該公司CEO阿迪-平哈斯(Adi Pinhas)在發送給TNW的電子郵件中表示,Superfish之所以會以中間人的方式劫持SSL鏈接主要是因為谷歌在去年默認開啟了SSL連接協議,這就意味著Superfish無法繼續在谷歌搜索結果中顯示自己的廣告內容。Superfish這款應用就本身而言本沒有什么壞處,但它卻有著一個比較致命的缺陷,那就是Superfish會為自己頒發一個可信賴證書,然后在系統中安裝帶有自己簽名的CA證書,該證書允許這一軟件對包括銀行、Facebook網站等安全連接進行嗅探。這也就意味著,如果該軟件出現安全漏洞將可能會造成更為嚴重的外部攻擊。
相關事件
聯想官方網站聯想集團com2015年2月26日凌晨5點左右被黑客攻擊,頁面被劫持不斷播放人物照片,背景音樂一直播放Breaking Free。懷疑本次攻擊可能是不滿聯想剛剛出現的“插件門”事件。劫持聯想官網的黑客可能來自Lizard Squad,攻擊者只劫持lenovo.com域名,將其重新指向到自己控制的服務器。
本次攻擊并沒有侵入聯想的內部網絡,完全是針對外部基礎設施進行的。最近聯想收到指責,該公司的電腦捆綁了Superfish加密廣告程序,引起了消費者不滿,由于壓力,聯想方面最終決定刪除這一軟件,并且向消費者道歉。懷疑此次攻擊就是因為對Superfish不滿進行的,在人們對該軟件充滿質疑的時候,官網被攻擊確實有些尷尬。聯想在PC端中預裝了名為“Superfish”的軟件,從而向用戶推送廣告。這一消息引發了隱私保護人士的憤怒。因為 Superfish有可能被黑客利用,泄露用戶個人信息。聯想已就此事向用戶道歉,并采取積極措施解決問題。從另一方面來講,Superfish事件突出了微軟堅持surface電腦研發的必要性,因為很多電腦制造商無法從硬件技術上取得突破,只好通過捆綁垃圾軟件而獲取利潤。微軟卻不將捆綁垃圾軟件視為盈利來源,而是在軟件技術上取得突破,Surface電腦就是很好的證明。
在用戶發現這家全球最大PC制造商預裝了Superfish廣告軟件,并將其隱藏在用戶和殺毒軟件難以發現的地方后,輿論嘩然。這款廣告軟件雖然只是為了給用戶發送精準廣告,但達成這一目的的方法卻是劫持網站用來與瀏覽器建立安全連接的授信證書。Superfish的這種做法可能導致用戶的電腦被黑客攻擊。Superfish并沒有作出回應,但聯想上周發布了自動刪除工具,幫助用戶從聯想產品中徹底刪除Superfish,但用戶和安全研究人員表示,這似乎仍然不足以挽回局勢,人們今后難以繼續信任聯想。2015年2月25日上午消息,聯想集團CTO彼得·霍騰休斯(Peter Hortensius)就預裝Superfish一事接受了《紐約時報》專訪,就此事發生的原因做出了解釋,并公開道歉,還透露了該公司的一些解決方案。
聯想迅速公布了如何刪除該軟件的方法,引導用戶卸載Superfish以及如何刪除安全證書,步驟實際上相當簡單,大約只需要幾分鐘就可以完成,大多數受影響的聯想計算機生產與2014年9月和12月,型號如下:
G系列:G410,G510,G710,G40-70,G50-70,G40-30,G50-30,G40-45,G50-45
U系列:U330P,U430P,U330Touch,U430Touch,U530Touch
Y系列:Y430P,Y40-70,Y50-70
Z系列:Z40-75,Z50-75,Z40-70,Z50-70
S系列:S310,S410,S40-70,S415,S415Touch,S20-30,S20-30Touch
Flex系列:14D的Flex2,15D的Flex2,14的Flex2,15的Flex2,14的Flex2(BTM)的Flex2 15(BTM),Flex的10
MIIX系列:MIIX2-8,MIIX2-10,MIIX2-11
YOGA系列:YOGA2Pro-13,YOGA2-13,YOGA2-11BTM,YOGA2-11HSW
E系列:E10-30
聯想還宣布將會向受影響用戶提供保安軟件,并承諾未來推出的新電腦上只會預載保安軟件和一些必要的驅動程式。資安專家建議購買聯想產品者“重新安裝Windows系統”。2017年9月,聯想與美國聯邦貿易委員會(FTC)就此事引發的集體訴訟達成和解,同意支付350萬美元,并且在未來預裝軟件前須征得消費者同意。
參考資料 >