維基共享資源;作者:Costaricapro
聯想(Lenovo)被爆在筆電中預載Superfish的Visual Discovery廣告軟體,這個軟體不但會擅自在瀏覽器中呈現廣告,還會冒充合法網站的SSL憑證而讓用戶曝露於中間人攻擊的風險。在引起軒然大波之後,聯想對外致歉並釋出移除工具。
事實上聯想用戶iknorr去年九月間就在聯想論壇上反映,他以Chrome使用Google搜尋時搜尋結果中會被插入廣告。經過追查發現,廣告來自Superfish的廣告軟體,再仔細研究安裝日期,發現竟是內建在自己的聯想電腦中,這個廣告軟體會挾持用戶電腦的搜尋結果,並擅自置入第三方廣告。根據聯想事後發出的聲明,該公司的確是在2014年9月開始在部份消費型筆電機型中預載Superfish。
Superfish主要影響微軟的IE與Google Chrome兩款瀏覽器,Firefox用戶則不受影響。
一月中聯想曾經說明指出,預載的Superfish可分析網頁上的圖片,主要是要協助消費者視覺化搜尋,讓用戶無需確切知道或描述產品特徵就可找到類似的產品。
但實際上Superfish除了在未經使用者同意之下擅自於搜尋結果中插入廣告之外,還有其他相當危險的功能。
聯想論壇一位名為zibartsk的用戶指出,Superfish/Visual Discovery使用自行簽章的HTTPS根憑證,可矇騙瀏覽器,進而綁架SSL/TLS連線。
安全研究人員Marc Rogers則表示,Superfish具備的功能包括了會綁架合法連線、監控使用者活動、蒐集個人資料並上傳到伺服器,將廣告注入合法網頁、以廣告軟體展示跳出視窗、使用中間人攻擊破解開放的安全連線,並提供冒充的合法網站憑證等。這意味著,消費者根本無法信任任何網站。他並展示一個由Superfish冒充美國銀行所發出的憑證。
Errata Security安全研究人員Robert Graham解析Superfish的憑證,僅用了三小時反向工程即破解其加密密碼為komodia。他表示,如果金鑰流傳出去,就可用該憑證進行中間人攻擊。Komodia不但是密碼,同時也是一家專門提供SSL「重新導向」工具的公司,另一安全研究人員Filippo Valsorda指出,Superfish的廣告注射功能就是使用了Komodia的SSL攔截引擎。
消息曝光之後,引發媒體躂伐及消費者的強大反彈,並已有Yoga 2用戶Jessica Bennett向美國南加州地方法院對聯想提出集體訴訟。
立即移除!
根據聯想聲明,預載Superfish的包括G、U、Y、Z、S、Flex、MIIX及Yoga等系列的特定機種。聯想並強調,只在特定的消費型筆電機型上預載Superfish,從未在任何ThinkPad筆電、桌機、平板、智慧型手機或伺服器安裝Superfish。
在強大的輿論壓力之下,聯想表示已從一月起停止預載Superfish,並關閉伺服器連線,另外還提供移除工具,並且和微軟及McAfee合作更新安全軟體,以移除及隔離Superfish並自動修補這項漏洞。聯想技術長Peter Hortensius也發表聲明公開道歉。
美國國土安全部發出安全警告指出,聯想電腦預載的Superfish廣告軟體漏洞會導致HTTPS連線被監聽,並建議立即移除相關軟體及CA憑證。(編譯/林妍溱)
熱門新聞
2024-12-24
2024-08-14
2024-12-22
2024-12-20
2024-12-23